'사전 공격 테스트'까지 했는데…보안은 '숭숭'

<앵커>

오늘(10일) 발표에선 그동안 지적돼왔던 쿠팡의 허술한 보안체계가 여실히 드러났습니다. 유출자는 이미 지난해 1월, 고객 정보에 접근할 수 있는지를 사전에 시험했고, 쿠팡이 실시한 여러 차례의 모의 해킹은 사실상 유명무실했습니다.

홍영재 기자가 보도합니다.

<기자>

가입자 개인정보를 빼돌린 전직 직원 A 씨는 쿠팡의 인증 시스템을 만든 장본인이었습니다.

A 씨는 쿠팡 퇴사 뒤인 지난해 1월 근무 당시 빼돌린 서명키로 전자 출입증을 만들어 고객 정보에 접근할 수 있는지 시험해 봤습니다.

결과는 성공이었습니다.

석 달 뒤인 지난해 4월 A 씨는, 자동으로 사이트 정보를 긁어모으는 크롤링 공격 도구를 준비해 7개월 동안 고객 정보를 빼냈습니다.

접속 주소인 IP를 2천313개나 동원해 추적을 피했습니다.

퇴사 이후에도 서명키가 정상적으로 작동한 데다, 별도 보관해야 할 서명키가 재직자 노트북에서도 발견되는 등 관리 체계 전반이 부실했다고 조사단은 밝혔습니다.

쿠팡은 또, 모의 해킹을 통해 비정상적으로 발급된 출입증이 악용될 수 있다는 점을 인지하고도 방치한 것으로 드러났습니다.

[최우혁/과기정통부 정보보호네트워크정책실장 : 전자 출입증이 위·변조되었는지에 대해서도 확인을 진행해야 합니다. 하지만 조사 결과 관련 확인 절차가 부재한 상황이었습니다.]

위변조 된 출입증이 반복적으로 쓰이는 비정상 접속 행위를 전혀 탐지하지 못한 점도 문제로 지적됐습니다.

외부 전송에 따른 2차 피해 여부는 이번 조사에서도 밝혀지지 않았습니다.

조사단이 A 씨의 하드디스크에서 고객 정보를 온라인 저장 공간인 클라우드 서버로 빼내는 기능을 발견했지만, 해외 서버를 들여다볼 권한이 없어 실제 전송 여부는 확인하지 못했습니다.

[김승주/고려대 정보보호대학원 교수 : 어떤 해외 클라우드 전송 기능이 있다면 그 대상이 되는 해외 클라우드의 수사 협조를 얻어서 거기를 또 조사해야 되는 거고요.]

정부는 인증체계와 서명키 관리 등에 보완 대책을 주문하고 이행 여부도 점검할 계획입니다.

(영상편집 : 정용화)