"이번 사태는 지능화된 공격이라기보다 인증 체계, 키 관리 등 관리 소홀의 문제로 볼 수 있다."
최우혁 과학기술정보통신부 정보보호네트워크정책실장은 10일 서울 정부종합청사에서 열린 '쿠팡 침해사고 민관합동 조사단 조사결과 발표' 브리핑에서 이같이 밝혔다.
과기정통부에 따르면 쿠팡 내정보 수정 페이지에서 성명·이메일 정보 3367만3817건 유출이 확인됐고, 배송지 목록 페이지는 1억4805만6502회 조회됐다. 주문목록 페이지 조회는 10만2682회, 배송지 수정 페이지 조회는 5만474회로 집계됐다.
최 실장은 이번 사고를 "국내 최대 전자상거래 플랫폼에서 발생한 중대한 침해사고"로 규정하며, "법과 원칙에 따라 국내외 기업 구분 없이 동일 기준을 적용해 조사했다"고 밝혔다. 또 "최종 개인정보 유출 규모와 법 위반 판단은 개인정보보호위원회가 확정해 발표할 사안"이라고 했다.
이날 과기정통부는 '조회'와 '유출' 구분에 대한 설명을 반복했다. 최 실장은 "조회라고 해서 책임이 가벼워지는 것은 아니다"라고 선을 그었고, 이동근 민관합동조사단 부단장은 "조회하는 순간 정보가 시스템 통제권 밖으로 나가기 때문에 유출로 본다"며 "보도자료에서의 표현도 '조회하여 유출'이라고 써 기술적 의미를 명확히 하기 위한 것"이라고 설명했다.
사고 경위에 대해서는 전 직원이 재직 당시 다루던 인증 시스템의 서명키를 악용해 전자 출입증을 위·변조했고, 이 토큰으로 정상 로그인 절차 없이 서비스에 비정상 접근한 것으로 조사됐다. 조사단은 "관문 구간에서 위·변조 토큰을 걸러내는 검증 절차가 미흡했다"고 판단했다.
임정규 민관합동조사단장은 "ISMS-P 기준상 직무 분리와 암호키 관리에서 미달 요소가 확인됐다"며 "우선 보완조치를 요구하고, 미이행 시 시정명령, 이후에도 개선되지 않으면 취소 절차로 갈 수 있다"고 말했다. 공격 방식은 자동화된 웹크롤링이었다. 조사단은 공격에 사용된 IP를 2313개로 특정했고, 공격자 저장장치 포렌식에서 외부 클라우드 전송 기능이 포함된 스크립트도 확인했다. 다만 실제 외부 전송 여부는 "기록이 남아 있지 않아 단정하기 어렵다"고 밝혔다.
법 위반 관련 조치도 예고됐다. 과기정통부는 쿠팡이 침해사고 인지 후 24시간 내 신고 의무를 지키지 않은 점에 대해 정보통신망법상 과태료를 부과할 방침이다. 자료보전 명령 이후 일부 로그가 삭제된 사안은 수사기관에 수사를 의뢰했다. 정부는 쿠팡에 재발방지 이행계획 제출을 요구하고, 점검 결과에 따라 추가 시정조치 여부를 결정할 계획이다.
최 실장은 "회원·비회원 구분, 최종 과징금 산정은 개보위 판단을 기다려야 한다"면서도 "현재까지 다크웹 등에서 2차 피해 정황은 확인되지 않았다"고 말했다. 결제정보 유출 여부에 대해서는 "조사 범위 내에서는 확인되지 않았다"고 했다. 이어 최 실장은 "조사단은 특정 기업을 겨냥하거나 차별하지 않는다"며 "결과는 신속하고 투명하게 공개하겠다"고 재차 강조했다.