CWN(CHANGE WITH NEWS) - 과기정통부, 쿠팡 침해사고 조사…“성명·이메일 3367만 건 유출 정황”

▲과학기술정보통신부가 10일 ‘쿠팡 전 직원에 의한 정보통신망 침해사고 조사 결과’를 발표했다.

과학기술정보통신부는 10일 쿠팡 전 직원이 서버 인증 취약점을 악용해 이용자 성명과 이메일 등 3367만여 건의 개인정보를 유출한 정황을 확인했다고 밝혔다.

과학기술정보통신부가 10일 ‘쿠팡 전 직원에 의한 정보통신망 침해사고 조사 결과’를 발표했다. 조사단은 이번 사고의 원인으로 ‘이용자 인증 체계’와 ‘키 관리체계’를 지목했다.

조사결과에 따르면 쿠팡 서버의 인증 취약점을 악용한 공격자(전 직원)가 정상적인 로그인 없이 이용자 계정에 비정상 접속해 정보를 무단 유출했다. 공격자가 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 후, 이를 활용해 ‘전자 출입증’을 위·변조해, 정상적인 로그인 절차를 거치지 않고 쿠팡 서비스에 무단 접속할 수 있게 됐다. 

이어 쿠팡은 자체 규정에 따라 서명키를 ‘키 관리 시스템’을 운용하고 있다. 하지만 이번 조사를 통해 현재 재직 중인 쿠팡 개발자가 노트북에 서명키를 저장하고 있어, 키 유출 및 오남용 위험이 발견됐다.

조사단 분석 결과 내정보 수정에서 성명과 이메일 등 3367만여 건의 정보가 유출된 것으로 확인됐다. 또 전화번호, 주소 등 정보 담긴 배송지 목록에서 1억4000만 회 이상 조회됐다. 배송지 수정 페이지와 주문 목록 페이지에서는 각각 5만, 10만 회에 걸쳐 이용자 정보가 열람됐다. 

향후 최종 개인정보 유출 규모는 개인정보보호위원회가 별도로 확정할 예정이다.

조사단은 공격 범위 및 유출 규모를 파악하기 위해 웹 및 애플리케이션 접속기록 등 관련 자료에 대한 종합적인 분석을 실시했다. 또 쿠팡으로부터 제출받은 공격자 개인용 컴퓨터(PC) 저장장치(하드 디스크 드라이브 2대, 솔리드 스테이트 드라이브 2대) 및 현재 재직 중인 쿠팡의 개발자 노트북에 대한 디지털 증거 분석(포렌식 분석)도 병행했다.

한편 과기정통부는 “이번 조사단의 조사 결과를 토대로, 쿠팡에 재발 방지 대책에 따른 이행계획을 제출(2월)토록 하고, 쿠팡의 이행(3~5월) 여부를 점검(6~7월)할 계획이다”라며 “이행점검 결과, 보완이 필요한 사항에 대해서는 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획”이라고 밝혔다.

[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]