지난해 발생한 쿠팡 개인정보 유출 사고는 쿠팡이 인증 관련 업무 개발자가 퇴사한 후에도 인증서명키를 즉시 갱신하지 않은 명백한 관리 부실 때문인 것으로 드러났다. 과기정통부(민관합동조사단)는 10일 정부서울청사에서 이같은 내용을 담은 쿠팡 침해 사고에 대한 민관합동조사단 최종 조사 결과를 발표했다. 과기정통부에 따르면 쿠팡에서는 지난해 4월14일부터 11월8일까지 약 3367만명의 고객들의 정보가 유출됐다. 전직 직원이 쿠팡 웹페이지에 접속해 이용자 정보를 유출한 것이다. 쿠팡은 지난해 말 자체 조사 결과 피해 계정이 3000여 개 수준이라 했지만, 실제 피해는 이보다 훨씬 컸다. 과학기술정보통신부는 쿠팡이 자료보전 명령을 위반한 것에 대해서는 수사기관에 수사를 의뢰했고, 침해사고가 늦어진 것에 대해서는 과태료를 부과할 예정이다.
세부적으로는 쿠팡 '내 정보 수정 페이지'에서 성명·이메일이 포함된 이용자 정보 3367만3817건이 유출됐다. 개인정보보호법 위반인 개인정보 조회도 다수 이뤄졌다. 성명·전화번호·주소·특수문자로 비식별화된 공동현관 비밀번호가 포함된 배송지 목록 페이지는 1억4805만6502회 조회가 이뤄져 정보가 유출됐다. 배송지 목록 페이지에는 계정 소유자 본인 외에도 가족, 친구 등 제3자의 성명, 전화번호, 배송지 주소 등 정보가 다수 포함됐다. 성명·전화번호·주소·공동현관 비밀번호가 포함된 배송지 목록 수정 페이지 역시 5만474회, 이용자가 최근 주문한 상품 목록이 포함된 주문 목록 페이지는 10만2682회 공격자 조회가 이뤄졌다.
조사단은 웹 접속기록 등을 기반으로 유출 규모를 산정했으며, 향후 개인정보 유출 규모에 대해서는 개인정보보호위원회에서 확정하여 발표할 예정이다.
◇ 쿠팡 '취약한 서버 인증·관리체계'로 정보 탈취…"여전히 미흡한 시스템"
개인정보 유출 사태를 야기한 쿠팡 전 직원(공격자)은 쿠팡 서버의 취약한 인증 취약점과 부재한 허술한 관리체계를 악용해 개인정보를 손에 넣을 수 있었다. 조사단은 공격자 PC 저장장치(HDD 2대, SSD 2대) 포렌식 결과, 쿠팡에서 사용하고 있는 이용자 고유식별번호 및 위·변조 '전자 출입증' 확인했다. 전 직원은 쿠팡 재직 당시 시스템 장애 등 백업을 위한 이용자 인증 시스템 설계, 개발 업무를 수행한 소프트웨어 개발자다. 그 누구보다 쿠팡 인증체계와 서명키 관리체계의 취약점을 인지하고 있었던 인물이다. 그는 퇴사 후 당시 탈취한 이용자 인증 시스템의 서명키와 내부 정보를 활용해 '전자 출입증' 위·변조를 진행했다. 그 후 이를 이용해 정상적인 로그인 절차 없이 쿠팡 인증 체계를 통과하면서, 1월5일부터 20일까지는 본격적인 공격을 위한 사전 테스트를 진행하는 치밀함을 보였다.
약 3개월 뒤인 4월 14일부터 7개월간 대규모 정보유출이 진행됐다. 공격자는 자동화된 웹크롤링 공격 도구를 이용해 대규모 정보를 유출했다. 이 과정에서 공격자는 총 2313개의 IP를 이용했다. 과기정통부는 공격자가 정보 수집 및 외부 서버 전송이 가능한 공격 스크립트를 작성한 것도 확인했다. 또한, 위·변조 '전자 출입증'을 이용해 타인의 계정으로 무단 접속한 후 유출한 정보(주문목록 등)를 해외 소재의 클라우드 서버로 전송할 수 있는 기능도 확인했다. 다만, 과기정통부는 실제 정보 전송이 이뤄졌는지 여부에 대해서는 기록이 남아있지 않아 확인할 수 없다고 했다.
이 과정에서 쿠팡 내 '전자 출입증' 관련 위·변조 관련 확인 절차는 없었다. 쿠팡은 업무 담당자가 퇴사할 경우 해당 서명키를 더 이상 사용하지 못하도록 갱신 절차를 진행했어야 하나, 관련 체계 및 절차가 미비했다. 쿠팡은 이번 침해사고가 동일한 서버사용자 식별번호를 반복적으로 사용했으며, 위·변조된 '전자 출입증'을 활용한 비정상 접속행위가 발생했음에도, 해당 공격 행위를 통한 정보유출을 탐지·차단하지 못했다.
하지만, 여전히 쿠팡의 인증과 키 관리체계는 미흡하다. 쿠팡은 사고 이후에도 모의해킹을 통해 발견된 문제에 한해서만 해결책을 모색하고 서보 이용자 인증 체계 개선 등 전반적인 문제점에 대한 검토를 진행하지 않았다. 조사단은 재직 중인 개발자 노트북 포렌식에서 서명키를 키 관리시스템에서만 저장해야 함에도, 개발자 노트북에 저장(하드코딩)한 사실도 확인했다. 또한, 쿠팡은 서명키 이력 관리 체계가 부재하여 목적 외 사용을 파악하는 것이 불가능했다. 여기에 조사단이 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)에 대해서도 점검한 결과, 쿠팡은 개발과 운영을 분리하지 않고 개발자에게 실제 운영 중인 '키 관리 시스템'에 접근하도록 권한을 부여했다. 특히 내부 규정에는 키의 수명만 3년 주기로 정의하고 사용자의 정보 변경에 따른 교체 등 세부적인 운영절차 수립이 미흡했다.
과기정통부는 "'전자 출입증'에 대한 탐지 및 차단 체계를 도입하고 인증키 관리·통제 체계 강화 및 운영관리 기준을 명확히 하고, 상시 점검을 실시해야 한다"며 "비정상 접속행위 탐지 모니터링을 강화, 로그 저장관리 정책을 수립 및 정비해야 한다"고 했다.
◇ 지연신고 과태료 부과· 자료보전 명령 위반으로 수사 의뢰
과기정통부는 쿠팡이 자료보전 명령을 위반한 것에 대해서는 수사기관에 수사를 의뢰했고, 침해사고 지연 신고에 대해서는 정보통신망법에 따라 과태료를 부과할 예정이다.
쿠팡은 지난해 11월19일 오후 9시 35분 한국인터넷진흥원(KISA)에 침해사고를 신고했다. 하지만, 이는 침해사고가 쿠팡내 정보보호최고책임자(CISO)에게 보고된 시점(지난해 11월 17일 오후 4시)보다 24시간 이상 지난 후에 이뤄졌다. 자료보전도 지켜지지 않았다. 과기정통부는 침해사고가 신고된 직후인 지난해 11월19일 오후 10시34분 쿠팡에 정보통신망법에 따라 침해사고 원인 분석을 위해 자료보전을 명령했다. 하지만, 쿠팡은 자료보전 명령에도 자사 접속기록의 자동 로그 저장 정책을 조정하지 않아, 약 5개월(2024년 7월~11월) 분량의 웹 접속기록이 삭제됐다. 또한, 2025년 5월23일부터 6월2일간의 애플리케이션 접속기록 데이터도 삭제됐다.
과기정통부 측은 "쿠팡에 재발방지 대책에 따른 이행계획을 이달내 제출하도록 하고, 올해 6~7월 이행여부를 점검할 계획"이라며 "행점검 결과, 보완이 필요한 사항에 대해서는 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획"이라 했다.