쿠팡 정보 유출 3,367만 명…배송지 등 1억 4,800만 건 조회했다

쿠팡 전 직원이 유출한 개인정보 규모가 정부의 당초 추정대로 3천300만 건을 넘는 것으로 파악됐습니다.

범인이 들여다본 배송지 주소 등 개인정보 조회 횟수는 1억 5천만 건에 달합니다.

과학기술정보통신부는 오늘(10일) 정부서울청사에서 쿠팡 침해 사고에 대한 민관 합동 조사 결과를 잠정 발표했습니다.

과기정통부는 지난해 11월 29일부터 남아 있던 쿠팡의 웹 접속 기록 25.6테라바이트 분량, 데이터 기준 6천642억 건을 분석한 결과를 설명했습니다.

그 결과 쿠팡 '내 정보 수정 페이지'에서 이용자 이름과 이메일 등 개인정보 3천367만여 건이 유출된 사실을 확인했습니다.

조사 대상에는 범행에 쓰인 것으로 추정되는 공격자의 PC 저장장치 4대가 포함됐습니다.

현재 재직 중인 쿠팡 개발자의 노트북도 포렌식 조사를 진행했습니다.

'배송지 목록 페이지'에서는 이름과 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보를 범인이 1억 4천800만여 차례 조회한 것으로 파악됐습니다.

이 정보에는 쿠팡 계정 소유자 본인뿐 아니라 물품을 대신 구매해 배송한 가족과 친구 등의 이름과 전화번호, 배송지 주소 등 제삼자 정보도 다수 포함돼 있습니다.

이에 따라 정보 유출 대상자 범위가 더 확대될 가능성도 있습니다.

조사단이 파악한 개인정보 유출 규모에는 쿠팡이 최근 추가로 밝힌 16만 5천여 계정 유출 건은 포함되지 않았습니다.

조사단은 웹 접속 기록 등을 기반으로 유출 규모를 산정했다며, 정확한 개인정보 유출 규모는 향후 개인정보보호위원회에서 확정해 발표할 예정이라고 설명했습니다.

2차 범죄에 악용될 우려가 컸던 공동현관 비밀번호는 '배송지 목록 수정 페이지'를 통해 이름과 전화번호, 주소와 함께 5만여 건 조회된 것으로 나타났습니다.

최근 주문한 상품 목록은 '주문 목록 페이지'에서 10만여 차례 조회됐습니다.

조사단이 파악한 정보 유출 규모는 중국 국적의 전 직원이 지난해 11월 25일 쿠팡에 보낸 이메일에서 주장한 수치보다는 적은 수준입니다.

이 전 직원은 이메일에서 1억 2천만 개 이상의 배송 주소 데이터와 5억 6천만 개 이상의 주문 데이터, 3천300만 개 이상의 이메일 주소 데이터를 확인했다고 주장한 바 있습니다.

조사단은 이 인물이 쿠팡 재직 당시 시스템 장애에 대비한 이용자 인증 시스템 설계를 맡았던 개발자였다고 설명했습니다.

지난해 1월부터 쿠팡 서버의 인증 취약점을 발견하고 공격 가능성을 시험한 뒤, 지난해 4월 14일부터 본격적인 무단 유출에 나선 것으로 파악했습니다.

범인은 지난해 11월 8일까지 자동화된 웹 크롤링 공격 도구를 이용해 이용자 개인정보를 수집했습니다.

해당 정보가 외부 클라우드로 전송됐는지는 아직 확인되지 않았습니다.

조사단은 이용자 인증 취약점을 악용해 정상적인 로그인 없이 계정에 접속해 대규모 정보 유출이 발생했는데도 쿠팡이 이를 인지하지 못했다고 지적했습니다.

또, 정상적인 발급 절차를 거치지 않은 전자 출입증, 이른바 토큰이 사이버 공격에 악용될 수 있다는 점이 쿠팡의 사전 모의 해킹에서 드러났지만 개선되지 않았다고 설명했습니다.

조사단은 쿠팡에 인증키 발급과 사용 이력 관리 강화, 비정상 접속 행위 탐지 모니터링 확대를 요구했습니다.

자체 보안 규정 준수 여부에 대한 정기 점검도 실시하라고 요청했습니다.

아울러 쿠팡이 사이버 침해 사고를 인지하고 최고정보보호책임자에게 보고한 시점인 지난해 11월 17일 오후 4시보다 만 이틀이 지난 19일 오후 9시 35분에 당국에 신고한 점도 지적했습니다.

이에 대해 24시간 내 신고 규정 위반으로 과태료 처분을 할 계획입니다.

과기정통부는 또, 지난해 11월 19일 정보 유출 사고 원인 분석을 위해 쿠팡에 자료 보전을 명령했지만 이를 따르지 않았다고 밝혔습니다.

이 과정에서 2024년 7월부터 약 5개월 치 웹 접속기록이 삭제됐고, 지난해 5월 23일부터 6월 2일까지의 애플리케이션 접속 기록도 사라진 사실이 확인돼 수사를 의뢰했습니다.

과기정통부는 조사 결과를 토대로 쿠팡에 재발 방지 대책에 따른 이행 계획을 이달 중 제출하도록 했습니다.

올해 7월까지 이행 결과를 점검할 계획입니다.