과학기술정보통신부는 10일 쿠팡 침해사고에 대한 민관합동조사단(이하 조사단)의 조사 결과를 발표하며, 쿠팡이 이용자 인증 체계와 서명 키 등에 대한 관리가 부실했다고 판단했다. 이에 재발방지 대책을 요구했다.
먼저 문제점으로 꼽은 것은 이용자 인증체계다. 조사단은 공격자가 위·변조한 '전자 출입증'을 사용해 쿠팡 서비스에 무단으로 접속한 것을 확인했고, 정상적인 발급 절차를 거친 '전자 출입증'인지 여부를 검증하는 체계가 부재한 사실을 확인했다.
앞서 쿠팡은 모의해킹을 통해 '전자 출입증' 기반 인증 체계의 취약점 발굴·개선을 추진했지만 발견된 문제에 대해서만 해결책을 모색했다. 정작 쿠팡의 관문서버 이용자 인증 체계 개선 등 전반적인 문제점 검토는 이뤄지지 않았다.
이에 따라 조사단은 쿠팡이 정상 발급절차를 거치지 않은 '전자 출입증'에 대한 탐지 및 차단 체계를 도입하는 한편, 모의해킹에서 발견된 취약점에 대해서는 근본적인 문제개선 방안을 마련해야 한다고 주문했다.
키 관리체계도 문제가 있었다.
쿠팡은 자체 규정에 따라 서명키를 '키 관리시스템'에서만 보관하고, 개발자 PC 등에 저장(소스코드 내 하드코딩)하지 않도록 해야 한다고 명시하고 있다. 그러나 조사단은 현재 재직 중인 쿠팡 개발자가 노트북에 서명키를 저장, 키 유출 및 오남용 위험이 있음을 발견했다.
또 쿠팡은 서명키를 체계적으로 관리할 수 있도록 발급 내역을 기록·관리하도록 규정하고 있으나, 조사단은 키 이력 관리 체계가 부재해 목적 외 사용을 파악하는 조차 불가능함을 확인했다.
내부자(퇴사자)로 인해 서명키와 같은 주요 정보가 탈취될 수 있는 위협에 대한 대응체계도 없었다.
쿠팡은 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 받았다. 조사단은 이에 대해서도 점검했다. 그 결과, 쿠팡은 개발과 운영을 분리하지 않고 개발자에게 실제 운영 중인 '키 관리 시스템'에 접근하도록 권한을 부여했다. 또 내부 규정에서 키의 수명(3년 주기)만 정의하였고, 사용자의 정보 변경에 따른 교체 등 세부적인 운영절차 수립이 미흡했다.
정보보호 관리체계도 미흡했다.
독자들의 PICK!
쿠팡은 이번 침해사고가 동일한 서버사용자 식별번호를 반복적으로 사용했으며, 위·변조된 '전자 출입증'을 활용한 비정상 접속행위가 발생했음에도, 해당 공격 행위를 통한 정보유출을 탐지·차단하지 못했다.
쿠팡은 접속기록(로그) 중 서버사용자 식별번호, 이용자 고유식별번호를 내정보 수정페이지에서만 저장·관리하고 있으며, 배송지 목록, 주문목록 등 페이지에서는 해당 정보를 저장·관리하고 있지 않다.
이에 조사단은 쿠팡에 비정상 접속행위 탐지 모니터링을 강화하고, 사고원인 분석 및 피해규모 식별 등 목적에 맞는 로그 저장관리 정책을 수립 및 정비할 것을 촉구했다. 또 자체 보안규정 준수 여부에 대한 정기 점검을 실시하고, 미준수 사항 발생 시 즉각 개선하는 관리체계를 구축해야 한다고 덧붙였다.
조사단은 이번 조사에서 쿠팡이 침해사고 신고 지연, 자료보전 명령 위반 등의 법을 위반한 사실도 확인했다.
침해사고가 발생하면 정보통신망법 제48조의3에 따라 침해사고를 인지한 후 24시간 이내에 과기정통부 또는 KISA에 신고해야 한다. 그러나 쿠팡은 정보보호 최고책임자(CISO)에게 보고한 시점(25.11.17 16:00)으로부터 이틀이 지난 후 KISA에 신고('25.11.19 21:35) 했다. 이에 정보통신망법에 따른 과태료(3000만원 이하)를 부과할 예정이다.
쿠팡은 침해사고 원인 분석을 위해 자료보전을 하라는 과기정통부의 명령도 듣지 않았다. 과기정통부는 정보통신망법 제48조의4에 따라 쿠팡에 자료보전을 명령('25.11.19 22:34)했지만, 쿠팡은 자사 접속기록의 자동 로그 저장 정책을 조정하지 않아 약 5개월('24.7~11월) 분량 웹 접속기록이 삭제됐다. 또 애플리케이션 접속기록(로그)도 지난해 5.23~6.2일 간의 데이터가 삭제됐다. 이는 수사기관에 수사를 의뢰했다.
과기정통부는 이번 조사단의 조사결과를 토대로, 쿠팡에 재발방지 대책에 따른 이행계획을 제출(2월)토록 하고, 쿠팡의 이행(3~5월) 여부를 점검(6~7월)할 계획이다. 이행점검 결과, 보완이 필요한 사항에 대해서는 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획이다.
