[이데일리 김일환 기자]
최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 서울 종로구 정부서울청사에서 쿠팡 침해사고 민관합동조사단 조사결과를 브리핑하고 있다. 사진=연합뉴스
인증 검증 없는 ‘전자 출입증’…관문 서버가 뚫렸다
조사단은 광범위한 유출과 무단 조회가 가능했던 배경으로 쿠팡의 인증 관리 체계 부실을 지목했다. 통상 이용자는 로그인(ID·비밀번호)을 거쳐 인증 토큰(전자 출입증)을 발급받고, 관문 서버가 토큰의 정상 발급 여부를 검증한 뒤 서비스 접근을 허용한다. 하지만 쿠팡은 관문 서버 단계에서 전자 출입증이 정상 발급 절차를 거친 것인지 확인하는 검증 절차가 사실상 부재했던 것으로 드러났다. 정상 발급이 아닌 토큰도 별다른 차단 없이 서비스 접근이 가능했던 셈이다.
서명키 관리 역시 허술했다. 쿠팡은 내부 규정상 서명키를 키 관리 시스템에만 보관하고 개발자 개인 PC에는 저장하지 않도록 했으며, 발급·사용 이력을 체계적으로 관리하도록 규정하고 있었다. 그러나 조사 결과 재직 중인 다른 개발자의 노트북에서도 서명키가 저장된 사실이 확인됐고, 서명키 발급·이력 관리 체계도 부재했던 것으로 나타났다. 규정은 있었지만 실행과 통제가 따르지 않았다는 의미다.
조사단은 인증·키 관리 체계 전반을 구조적 결함으로 판단하고, 정상 발급 절차를 거치지 않은 토큰 탐지·차단 체계 도입과 모의해킹 과정에서 확인된 취약점의 근본적 개선 등 재발 방지 대책 마련을 쿠팡에 요구했다.
전직 개발자 내부 지식 악용…7개월간 자동화 공격
공격자는 쿠팡의 이용자 인증 시스템을 설계·개발했던 소프트웨어 개발자로 확인됐다. 재직 당시 인증 체계의 취약점을 인지한 뒤 서명키를 탈취했고, 퇴사 후 이를 활용해 전자 출입증을 위·변조하는 방식으로 로그인 절차 없이 시스템에 무단 접속했다. 조사단은 공격이 지난해 4월 14일부터 11월 8일까지 약 7개월간 이어졌으며, 2313개 IP와 자동화된 웹 크롤링 도구가 동원됐다고 밝혔다. 다만 공격자의 국적과 IP 접속 위치는 경찰 수사 진행을 이유로 공개되지 않았다.
최우혁 과기정통부 정보보호네트워크정책실장은 “고도화된 지능형 공격이라기보다 인증 체계 관리 부실과 키 관리 체계의 공백에서 비롯된 명백한 관리 실패”라고 강조했다. 정부는 미 의회 일각에서 제기된 ‘미국 기업 차별’ 주장에 대해서도 “국내외 기업을 차별한 적이 없고, 법과 원칙에 따라 동일 기준을 적용해 왔다”는 입장을 재확인했다.
‘셀프 조사’ 논란 종지부…최종 유출 규모 확대 가능성
이번 발표는 쿠팡 개인정보 유출 규모를 둘러싼 논란 속에서 정부가 처음으로 공식 확인한 조사 결과다. 쿠팡은 사고 초기 4536개 계정 유출을 신고했으나, 이후 정부 현장 조사에서 3000만건 이상 유출 정황이 포착됐다. 이후 쿠팡이 “3000여 건의 정보만 저장됐다가 삭제됐다”는 취지의 자체 포렌식 결과를 내놓으면서 ‘축소·셀프 조사’ 논란이 이어졌고, 최근에는 추가로 16만5000여 건 유출 가능성도 안내한 바 있다.
정부는 이번 조사에서 3367만건 유출과 함께 배송지 목록·주문 목록 페이지에 대한 대규모 무단 조회 사실까지 확인하면서, 최종 유출 규모가 더 늘어날 가능성도 배제하지 않았다. 다만 본인 정보와 제3자 정보가 복합적으로 얽힌 사안인 만큼, 정확한 유출 규모는 개인정보보호위원회가 추가 조사를 거쳐 확정·발표할 예정이다.
한편 쿠팡은 민관합동조사단 발표와 관련해 전직 직원이 약 1억4000만 회 자동 조회를 수행했지만, 외부로의 추가 유출이나 제3자 활용 정황은 확인되지 않았다고 주장했다. 또 결제·금융정보, ID·비밀번호, 신분증 등 고도 민감정보에는 접근이 없었고, 일부 항목(공용현관 출입코드 포함 계정 수 등)은 아카마이 로그와 자체 분석으로 확인한 수치가 조사단 발표에 충분히 반영되지 않았다고 밝혔다.
