24시간 신고 의무 위반 과태료·결제정보 유출·2차 피해 없어
쿠팡에서 유출된 개인정보 규모가 정부 추정대로 3300만 건을 넘어선 데다 쿠팡 전 직원이 배송지 주소 등을 1억5000회 가까이 조회한 것으로 파악됐다. 다만 사건 발생 두 달이 넘은 현재까지 결제정보 유출 및 2차 피해는 없는 것으로 확인됐다.
과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해사고 관련 민관합동조사단(조사단) 조사결과 발표를 통해 지난해 11월 29일부터 남아있는 쿠팡의 웹 접속기록(로그) 25.6테라바이트(TB) 분량(데이터 6642억 건)을 분석한 결과 쿠팡 '내 정보 수정 페이지'에서 이용자 이름, 이메일 3367만여 건이 유출된 것을 확인했다. 여기에 쿠팡이 최근 추가로 밝힌 16만5000여 계정 유출 건은 포함되지 않았다.
특히 '배송지 목록 페이지'에선 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보를 범인이 1억4800만여 차례 조회해 정보가 유출된 것을 파악했다. 여기에는 쿠팡 계정 소유자 본인 외에도 물품을 대신 구매해 배송한 가족, 친구 등의 이름, 전화번호, 배송지 주소 등 제3자 정보도 다수 포함돼 정보 유출 대상자 범위가 확대될 가능성이 있다. 공동현관 비밀번호가 포함된 배송지 목록 수정 페이지 역시 5만474회 조회됐다. 결제 정보는 유출 대상에 포함되지 않았고 주소, 공동현관 비밀번호 등 민감한 개인정보의 제3자 전송 등 실제 2차 피해로 이어졌는지 확인되지 않았다.
조사단은 "웹 접속기록 등을 기반으로 유출 규모를 산정했고 정확한 개인정보 유출 규모에 대해서는 향후 개인정보보호위원회에서 확정해 발표할 예정"이라고 했다. 조사 대상에는 범행에 쓰인 것으로 추정되는 공격자의 PC 저장장치 4대가 포함됐고 현재 재직 중인 쿠팡 개발자 노트북도 포렌식 조사했다. 다만 조사단은 이번 사건 범인을 중국인이라고 특정해 표현하지는 않았다.
이번 조사 과정에서 쿠팡의 인증체계 전반의 관리 미흡이 드러났다. 쿠팡은 모의해킹을 통해 ‘전자출입증(토큰)’ 기반 인증 체계의 취약점을 발굴·개선하는 작업을 진행했지만, 발견된 개별 취약점 보완에 그쳤을 뿐 관문서버 이용자 인증 체계 전반에 대한 구조적 점검과 개선은 이뤄지지 않은 것으로 조사됐다.
조사단은 정상 발급 절차를 거치지 않은 전자출입증에 대한 탐지·차단 체계를 도입하고, 모의해킹에서 확인된 취약점에 대해서도 부분 보완이 아닌 근본적 개선 대책이 필요하다고 판단했다. 과기정통부는 개인정보 유출 사실을 인지한 사업자는 24시간 이내에 당국에 신고해야 하지만, 쿠팡이 해당 기한을 지키지 않았다고 보고 ‘과태료’를 부과할 방침이다.
과기정통부는 조사 결과를 토대로 쿠팡에 재발 방지 대책에 따른 이행계획을 이달 중 제출하도록 하고 7월까지 이행 결과를 점검할 계획이다.
