전화번호·주소·공동현관 비밀번호 일부 노출 확인
200여일 반복 공격에도 탐지·차단 못해
위·변조 전자출입증 접속에도 검증 체계 부재
쿠팡 개인정보 유출 규모가 정부가 당초 추정하던 3천300만건을 넘어서고 범인이 들여다본 배송지 주소 등의 정보는 1억5천만건에 달하는 것으로 파악됐다. 정부는 쿠팡의 정보보호 관리 체계가 전반적으로 미흡했음을 확인하고 재발 방지 대책 이행을 요구할 계획이다.
과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해 사고에 관한 민관 합동 조사 결과를 잠정 발표했다.
과기정통부는 지난해 11월 29일부터 남아있는 쿠팡의 웹 접속기록(로그) 25.6테라바이트(TB) 분량(데이터 6천642억 건)을 분석한 결과 쿠팡 '내 정보 수정 페이지'에서 이용자 이름, 이메일 3천367만여 건이 유출된 것을 확인했다고 밝혔다.
조사 대상에는 범행에 쓰인 것으로 추정되는 공격자의 PC 저장장치 4대가 포함됐고 현재 재직 중인 쿠팡 개발자 노트북도 포렌식 조사했다.
'배송지 목록 페이지'에서는 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보를 범인이 1억4천800만여 차례 조회해 정보가 유출된 것을 파악했다.
이 정보에는 쿠팡 계정 소유자 본인 외에도 물품을 대신 구매해 배송한 가족, 친구 등의 이름, 전화번호, 배송지 주소 등 제삼자 정보도 다수 포함돼 있어 정보 유출 대상자 범위가 확대될 가능성이 있다.
더불어 조사단이 파악한 개인정보 유출 규모에는 쿠팡이 최근 추가로 밝힌 16만5천여 계정 유출 건은 포함되지 않은 것으로 알려졌다.
조사단은 "웹 접속기록 등을 기반으로 유출 규모를 산정했고 정확한 개인정보 유출 규모에 대해서는 향후 개인정보보호위원회에서 확정해 발표할 예정"이라고 밝혔다.
2차 범죄에 악용될 우려가 컸던 공동현관 비밀번호는 '배송지 목록 수정 페이지'를 통해 이름, 전화번호, 주소와 함께 5만여 건 조회됐다. 최근 주문한 상품 목록은 '주문 목록 페이지'에서 10만여 차례 조회됐다.
쿠팡은 200여 일에 걸쳐 반복된 공격에도 정보 유출을 탐지하지도, 차단하지도 못한 것으로 파악됐다. 공격자는 동일한 서버 사용자 식별번호를 반복적으로 활용했고, 위·변조된 '전자 출입증'을 이용해 비정상적인 접속행위를 계속했는데도 이를 검증하는 체계 자체가 부재했다는 게 조사단 결론이다.
과기정통부는 쿠팡이 지난해 11월 침해사고를 인지하고도 이틀이 지나서야 신고하는 등 초기 대응 지연에 대해 정보통신망법에 따라 3천만 원 이하의 과태료를 부과할 예정이다.
