10일 과기정통부는 쿠팡 침해사고에 대한 민관합동조사단이 쿠팡 웹 및 애플리케이션 접속기록(로그) 데이터를 분석한 결과 내정보 수정, 배송지 목록, 주문 목록 등 페이지에서 쿠팡의 이용자 정보가 유출됐음을 확인했다고 밝혔다.
내정보 수정 페이지에서 성명, 이메일이 포함된 이용자 정보 3367만 3817건이 유출됐다. 성명, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 배송지 목록 페이지는 1억 4805만 6502회 조회해 정보가 유출됐음을 확인했다. 배송지 목록 페이지에는 계정 소유자 본인 외에도 가족, 친구 등 제3자의 성명과 전화번호, 배송지 주소 등 정보가 다수 포함돼 있다. 성명, 전화번호, 배송지 주소 외에 공동현관 비밀번호가 포함된 배송지 목록 수정 페이지를 5만474회 조회했음을 확인했다. 이용자가 최근 주문한 상품 목록이 포함된 주문 목록 페이지를 10만2682회 조회한 점도 드러났다.
조사단은 웹 접속기록 등을 기반으로 유출 규모를 산정했으며 향후 개인정보 유출 규모에 대해서는 개인정보보호위원회에서 확정해 발표할 예정이다.
조사단은 조사를 통해 쿠팡의 정보보호 체계에 문제점을 발견하고 재발방지 대책을 마련했다. 조사단은 공격자가 위·변조한 ‘전자 출입증’을 사용해 쿠팡 서비스에 무단으로 접속한 것을 확인했고 정상적인 발급 절차를 거친 ‘전자 출입증’인지 여부를 검증하는 체계가 부재한 사실을 확인했다.
쿠팡은 모의해킹을 통해 ‘전자 출입증’ 기반 인증 체계의 취약점 발굴·개선을 추진했으나 발견된 문제에 한해 해결책을 모색하고 쿠팡의 관문서버 이용자 인증 체계 개선 등 전반적인 문제점 검토는 이뤄지지 않았다. 쿠팡은 정상 발급절차를 거치지 않은 ‘전자 출입증’에 대한 탐지 및 차단 체계를 도입하고, 모의해킹에서 발견된 취약점에 대해서는 근본적인 문제개선 방안을 마련해야 한다.
또 쿠팡은 이번 침해사고가 동일한 서버사용자 식별번호를 반복적으로 사용했으며 위·변조된 ‘전자 출입증’을 활용한 비정상 접속행위가 발생했음에도 해당 공격 행위를 통한 정보유출을 탐지·차단하지 못했다. 접속기록(로그)를 일관된 기준 없이 저장·관리해 피해 이용자 식별 및 정보유출 규모 산정에 어려움이 발생한 점도 문제였다. 이에 정부는 쿠팡에 비정상 접속행위 탐지 모니터링을 강화하고 사고원인 분석 및 피해규모 식별 등 목적에 맞는 로그 저장관리 정책을 수립 및 정비할 것을 주문했다. 자체 보안규정 준수 여부에 대한 정기 점검을 실시하고 미준수 사항 발생 시 즉각 개선하는 관리체계 구축 또한 당부했다.
법 위반 사실에 따른 제재 방안도 정해졌다. 쿠팡은 정보통신망법 제48조의3에 따라 침해사고를 인지한 후 24시간 이내에 과기정통부 또는 KISA에 신고해야 했다. 그러나 정보보호 최고책임자(CISO)에게 보고한 시점으로부터 24시간이 지난 후 KISA에 신고했다. 이에 정부는 정보통신망법에 따른 과태료를 부과할 예정이다.
과기정통부는 정보통신망법 제48조의4에 따라 쿠팡에 침해사고 원인 분석을 위해 자료보전을 명령했다. 그러나 쿠팡은 자료보전 명령에도 불구하고 자사 접속기록의 자동 로그 저장 정책을 조정하지 않아 약 5개월 분량의 웹 접속기록이 삭제됐다. 또한 애플리케이션 접속기록(로그)도 지난해 5월 23일부터 6월 2일까지의 데이터가 삭제됐다. 정부는 자료보전 명령 위반과 관련해 수사기관에 수사를 의뢰했다.
과기정통부는 이번 조사단의 조사결과를 토대로 쿠팡에 재발방지 대책에 따른 이행계획을 이달 내 제출토록 하고, 3월부터 5월까지의 쿠팡 이행 여부를 6월과 7월에 걸쳐 점검할 계획이다. 이행점검 결과 보완이 필요한 사항에 대해서는 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획이다.
