3367만건의 개인정보가 유출된 쿠팡의 개인정보 유출 사고에 대해 정부가 지능화된 공격이라기보다는 기업의 관리 부실에 따른 결과라고 확인했다.
최우혁 과학기술정보통신부 정보보호네트워크정책실장은 10일 정부서울청사에서 열린 쿠팡 개인정보 유출사고 브리핑에서 “정부에서 쿠팡의 인증체계와 키 관리 시스템 문제점을 지적했다”며 “이것은 분명히 관리의 문제로 지능화된 공격으로 보기는 어렵다”고 말했다.
이번 조사단 조사 결과 성명과 이메일이 포함된 쿠팡 고객 정보 3367만3817건이 유출됐다. 이름과 이메일 정보가 1세트인 점을 감안하면 사실상 3367만 명 회원의 정보가 유출된 것으로 풀이된다. 성명, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 배송지 목록 페이지는 1억4805만6502회 조회된 것으로 나타났다. 향후 개인정보보호위원회 조사 결과에 따라 유출 규모는 더 확대될 가능성이 있다.
그러나 앞서 쿠팡은 개인정보 유출 사고가 알려진 이후 “유출된 개인정보가 3000건에 불과하다”는 자체 결과를 내놓은 바 있다. 이에 과기정통부는 자체적인 조사 결과일 뿐이라며 선을 그었다. 최 실장은 “쿠팡이 유출 정보가 3000건이라고 한 것은 쿠팡이 이야기한 것”이라며 “저희도 관련 자료들을 보지만 그것은 저희 참고 요소일 뿐”이라고 했다.
2차 피해와 결제 정보 유출에 관련한 내용은 아직까지 확인되지 않았다는 설명이다. 그는 “2차 피해에 대한 부분은 현재까지 확인된 바 없다”며 “(결제 정보에 관련한 유출은) 현재까지 조사한 사항으로는 없다”고 말했다.
범인은 지난해 11월 8일까지 자동화된 웹 크롤링 공격 도구를 이용해 이용자들의 개인정보를 수집한 것으로 밝혀졌으나 이를 외부 클라우드로 전송했는지 여부는 확인되지 않았다. 조사단은 이용자 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 접속, 대규모 정보 유출을 했는데도 쿠팡 측이 이를 인지하지 못했다고 지적했다. 쿠팡의 사전 모의 해킹에서 정상 발급 절차를 거치지 않은 '토큰(전자 출입증)'이 사이버 공격에 악용될 가능성이 드러났음에도 이를 개선하지 않았다고도 꼬집었다.
조사단은 쿠팡에 인증키 발급·사용 이력 관리와 비정상 접속행위 탐지 모니터링을 강화할 것, 자체 보안규정 준수 여부에 대한 정기 점검을 실시할 것을 요구했다. 또 쿠팡이 당국에 신고한 시점이 사이버 침해 사고를 인지하고 최고정보보호책임자(CISO)에게 보고한 시점보다 만 이틀이 지난 만큼 24시간 내 신고 규정을 위반한 데 대해 과태료 처분할 계획이다.
쿠팡에 대한 과태료 등이 적다는 지적에 대해 최 실장은 “정보통신망법에서도 침해사고에 대해서 과징금을 물릴 수 있도록 입법이 진행되고 있다”며 “국회에서 입법이 되고 나면 침해사고에 대해서 나중에는 과징금도 물릴 수 있는 제도가 만들어질 것 같다”고 말했다.
과기정통부는 조사 결과를 토대로 쿠팡에 재발 방지 대책에 따른 이행계획을 이달 중으로 제출하도록 하고 올해 7월까지 이행 결과를 점검할 계획이다.
