과학기술정보통신부, 민관 합동조사 결과 발표
쿠팡에서 발생한 개인정보 침해사고로 고객들의 개인정보가 총 3367만여건 유출된 것으로 드러났다. 이와 함께 웹크롤링 기법을 사용해 쿠팡의 개인정보 페이지를 1억4000만여회 이상 무단 조회한 사실도 드러났다. 앞서 KISA(한국인터넷진흥원)는 현장조사를 통해 3370만개 계정의 개인정보가 유출됐다고 밝힌 바 있다.
개인정보를 유출한 쿠팡 전 직원(이하 공격자)은 2313개 IP를 이용해 웹크롤링(웹 페이지를 그대로 가져와서 거기서 데이터를 추출해 내는 행위)으로 정보를 무단 수집했다.
10일 과학기술정보통신부는 쿠팡 침해사고에 대한 민관합동조사단(이하 조사단)의 조사 결과를 발표했다. 이에 따르면 공격자는 쿠팡 사이트 내에 △내정보 수정페이지△배송지 목록 페이지△배송지 목록 수정페이지△주문목록 페이지를 수시로 드나들며 1억4000여회 이상 개인정보를 조회한 것으로 드러났다.
구체적으로 성명·이메일이 담긴 △내정보 수정페이지에서는 3367만여건의 개인정보가 유출됐다. 성명, 전화번호, 주소 정보가 담긴 △배송지 목록 페이지는 1억4000만여회 조회됐다.
성명, 전화번호, 주소, 공동현관 비밀번호까지 적힌 △배송지 목록 수정페이지는 5만여회 조회했다. 또 고급 정보로 분류되는 최근 주문 내역이 포함된 △주문목록 페이지는 10만여회 조회했다.
조사단은 사고 원인으로 이용자 인증 취약점을 꼽았다. 쿠팡 전 직원은 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 후, 이를 활용해 '전자 출입증'을 위·변조해 쿠팡 인증체계를 통과했다. 그리고 정상적인 로그인 절차를 거치지 않고 쿠팡 서비스에 무단 접속할 수 있게 됐다.
이 같은 범죄가 가능했던 것은 쿠팡의 미흡한 보안 체계 때문으로, 쿠팡은 위·변조한 '전자 출입증'에 대한 검증 체계가 미흡해 공격자의 공격 행위를 사전에 탐지·차단하지 못한 것으로 드러났다. 또 모의해킹 결과로 보안 취약점을 파악하고도 개선하지 않았다. 또 이용자 인증 관련 시스템 개발자가 퇴사한 후에도 서명키를 즉시 갱신하지 않은 채 운영, 보안 책임을 방기했다.
공격자가 지난해 11월25일 쿠팡에 직접 메일을 보내 보안 취약점을 알리기도 했다. 그는 "쿠팡 시스템의 쉽게 발견할 수 있는 취약점으로 인해 수십억 개의 사용자 개인정보 항목이 유출될 위험에 처해 있고 한국, 일본, 대만의 사용자들이 영향을 받고 있다"면서 "한국 쿠팡 앱과 웹사이트에서 1억2000만개 이상의 배송 주소 데이터, 5억6000만 개 이상의 주문 데이터, 3300만개 이상의 이메일 주소 데이터를 취득했다"고 밝혔다.
독자들의 PICK!
한편 이번 조사 결과 발표는 지난해 11월19일 쿠팡이 4536개 계정의 고객명, 이메일, 주소 등 정보가 유출됐다고 KISA(한국인터넷진흥원)에 신고한 지 2개월여 만에 이뤄졌다. 쿠팡이 개인정보 침해 사고 발생을 인지한 것은 지난해 11월17일이고, KISA 조사 결과 개인정보 유출 규모가 3000만개 이상으로 확대됐다. 이후 과기정통부가 민관 합동조사단을 꾸려 조사에 착수했다.
