[서울이코노미뉴스 박희만 기자] 쿠팡 전 직원의 내부자 침해로 유출된 개인정보 규모가 당초 정부 추정치와 유사한 수준으로 확인됐다.
범인은 '웹 크롤링'이라는 자동화 프로그램을 이용해 7개월 동안 배송지 주소 등 정보 1억5000만건을 조회, 긁어간 것으로 파악됐다.
과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해사고에 대한 민관 합동조사 결과를 잠정 발표했다.
조사단은 지난해 11월29일부터 남아있는 쿠팡 웹 접속기록 25.6TB(데이터 6642억건)를 분석한 결과, ‘내 정보 수정 페이지’에서 이용자 이름과 이메일 3367만여건이 유출된 사실을 확인했다고 밝혔다.
이번 조사에는 범행에 사용된 것으로 추정되는 공격자의 PC 저장장치 4대와 현직 쿠팡 개발자 노트북에 대한 포렌식 조사도 포함됐다.
‘배송지 목록 페이지’에서는 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호 등이 포함된 개인정보가 약 1억4805만차례 조회된 것으로 나타났다.
해당 정보에는 계정 소유자뿐 아니라 가족과 지인 등 제3자의 개인정보도 다수 포함돼 있어 피해대상이 확대될 가능성이 제기됐다.
다만 조사단이 산정한 유출 규모에는 쿠팡이 최근 추가로 공개한 16만5000여계정 유출건은 포함되지 않은 것으로 전해졌다.
정확한 개인정보 유출규모는 향후 개인정보보호위원회가 확정, 발표할 예정이다.
2차 범죄 악용 우려가 제기된 공동현관 비밀번호는 ‘배송지 목록 수정 페이지’를 통해 이름·전화번호·주소와 함께 5만여건 조회됐다.
최근 주문 상품정보는 ‘주문 목록 페이지’에서 10만여차례 열람된 것으로 확인됐다.
조사단이 파악한 유출규모는 범인인 중국 국적 전 직원이 지난해 11월25일 쿠팡에 보낸 이메일에서 주장한 수치보다는 적었다.
그는 당시 1억2000만개 이상의 배송주소 데이터와 5억6000만개 이상의 주문 데이터, 3300만개 이상의 이메일 주소 데이터를 확보했다고 주장한 바 있다.
조사단은 해당인물이 재직당시 이용자 인증시스템 설계를 담당한 개발자로, 지난해 1월부터 인증 취약점을 발견해 공격 가능성을 시험한 뒤 지난해 4월 14일부터 본격적인 정보 유출을 시작했다고 설명했다.
범인은 같은 해 11월8일까지 웹 크롤링 도구로 개인정보를 수집했으며, 외부 클라우드로 전송됐는지 여부는 확인되지 않았다.
또 조사단은 정상 로그인없이 계정에 접속해 대규모 정보 유출이 발생했음에도 쿠팡이 이를 인지하지 못했다고 지적했다.
특히, 모의해킹에서 ‘전자 출입증(토큰)’ 악용 가능성이 확인됐음에도 개선이 이뤄지지 않았다고 밝혔다.
정부는 쿠팡에 인증키 발급·사용 이력관리와 비정상 접속 탐지모니터링 강화, 보안규정 준수 여부에 대한 정기점검을 요구했다.
아울러 쿠팡이 침해사실 인지후 24시간내 신고의무를 지키지 않은 데 대해 과태료를 부과할 계획이다.
또한 자료보전 명령을 따르지 않아 약 5개월 분량의 웹 접속기록과 일부 애플리케이션 접속기록이 삭제된 사안에 대해서는 수사를 의뢰했다.
과기정통부는 쿠팡에 이달 중 재발방지 이행계획 제출을 요구하고, 오는 7월까지 이행 여부를 점검할 방침이다.