'쿠팡 정보 유출' 고객 배송지 목록 1억4000건·주문정보도 10만건 조회

쿠팡 전 직원이 일으킨 침해 사고로 성명, 이메일이 포함된 쿠팡 이용자 정보 3367만3817건이 유출됐다고 정부 민관합동조사단이 발표했다.

해당 직원은 전화번호, 배송지주소, 특수문자로 비식별호된 공동현관 비밀번호 등이 포함된 배송지 목록 페이지를 약 1억4800만건 조회한 것으로 드러났다. 배송지 목록 수정 페이지는 5만여 건 확인했다. 주문 상품 목록 페이지도 10만여 건 열람했다.

이 직원은 재직 당시 시스템 장애 등 백업을 위한 이용자 인증 시스템 설계·개발 업무를 수행한 소프트웨어(SW) 개발자로 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 이용자 계정에 접속해 정보를 무단 유출했다.

과학기술정보통신부는 이같은 내용을 담은 쿠팡 침해사고에 대한 민관합동조사단 조사 결과를 10일 발표했다.

조사단에 따르면 침해사고를 일으킨 전 직원(공격자)은 정보 유출 사실을 담은 이메일을 지난해 11월 16일과 25일 두 차례에 걸쳐 쿠팡 측에 보냈다.

해당 직원은 쿠팡의 내정보 수정 페이지의 성명, 이메일, 배송지 목록 페이지의 성명, 전화번호, 주소, 공동현관 비밀번호 정보, 주문 목록 페이지의 이용자가 주문한 상품 정보를 유출한 후 이메일을 보낸 것으로 확인됐다.

조사단은 쿠팡 웹 및 애플리케이션 접속기록 데이터 분석을 통해 내 정보 수정, 배송지 목록, 주문 목록 등 페이지에서 쿠팡 이용자 정보가 유출된 사실을 파악했다.

내 정보 수정 페이지에서는 성명, 이메일이 포함된 이용자 정보 3367만3817건이 유출됐다.

또 쿠팡 전 직원은 성명, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 배송지 목록 페이지에 1억4805만6502회 조회했다. 배송지 목록 페이지에는 계정 소유자 본인 외에도 가족, 친구 등 제3자의 성명, 전화번호, 배송지 주소 등 정보가 포함돼 있다.

성명, 전화번호, 배송지 주소 외에 공동현관 비밀번호가 포함된 배송지 목록 수정 페이지는 5만474회 조회했다. 이용자가 최근 주문한 상품 목록이 포함된 주문 목록 페이지도 10만2682회 조회했다.

이같은 내용은 웹 접속기록 등을 기반으로 산정된 것으로 개인정보 유출 규모에 대해서는 개인정보보호위원회가 확정 발표할 계획이다.

조사단은 쿠팡 전 직원이 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 이용자 계정에 비정상 접속해 정보를 무단 유출한 것으로 분석했다.

정상적으로 이용자가 접속하는 경우 이용자는 로그인(ID/PW) 절차를 거쳐 일종의 ‘전자 출입증’을 발급받는다. 쿠팡의 관문서버는 발급받은 ‘전자 출입증’이 유효한지 여부를 검증하고 이상이 없으면 서비스 접속을 허용한다.

쿠팡 전 직원은 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 후 이를 활용해 ‘전자 출입증’을 위·변조해 쿠팡 인증체계를 통과했다. 이를 통해 정상적인 로그인 절차를 거치지 않고 쿠팡 서비스에 무단 접속했다.

조사단은 해당 직원이 이용자 인증 시스템 설계·개발 업무를 수행하면서 이용자 인증체계의 취약점과 키 관리체계의 취약점을 인지하고 있었던 것으로 판단했다.

쿠팡의 관문서버는 인증절차를 통해 전자 출입증이 정상적으로 발급된 이용자에 한해 접속을 허용해야 한다. 이에 전자 출입증 위·변조 여부에 대해서도 확인해야 하지만 확인 절차는 없었다.

게다가 업무 담당자가 퇴사사면 해당 서명키를 더 이상 사용하지 못하도록 갱신돼야 함에도 이러한 체계 및 절차도 미비했다.

해당 직원은 퇴사 후 재직 당시 탈취한 서명키와 내부 정보를 활용해 전자 출입증을 위·변조했다. 이를 이용해 정상적인 로그인 절차 없이 쿠팡 인증 체계를 통과했고 본격적인 공격을 위한 사전 테스트를 진행했다. 또 유출한 정보를 해외 소재 클라우드 서버로 전송할 수 있는 지도 확인했다.

이후 자동화된 웹크롤링 공격 도구를 이용해 대규모 정보를 유출했다. 이 과정에서 2313개 인터넷프로토콜(IP)을 이용했다.

조사단은 쿠팡이 이용자 인증체계와 키 관리체계, 정보보호 관리체계가 미흡한 것으로 판단했다.

위·변조한 전자 출입증으로 쿠팡 서비스에 무단 접속이 이뤄졌고 정상적인 발급 절차를 거친 전자 출입증인지 검증하는 체계도 없었다.

게다가 쿠팡은 모의해킹을 통해 전자 출입증 기반 인증 체계의 취약점 발굴·개선을 추진했음에도 발견된 문제만 해결책을 찾았고 전반적인 문제점 검토를 하지 않았다.

또 자체 규정에 따라 서명키를 ‘키 관리 시스템’에서만 보관하고 개발자 PC 등에 저장(소스코드 내 하드코딩)하지 않도록 해야 한다고 명시하고 있음에도 재직 중인 개발자가 노트북에 서명키를 저장할 수 있었다. 이 경우 키 값이 유출되거나 오남용될 수 있다.

또 쿠팡은 서명키를 체계적으로 관리할 수 있도록 발급 내역을 기록·관리하도록 규정하고 있었지만 실제로는 키 이력 관리 체계가 없었다. 이는 목적 외 사용을 파악에 제약이 된다.

내부자나 퇴사자에 의해 서명키와 같은 주요 정보가 탈취될 수 있는 위협에 대한 대응체계도 없었다.

정보보호 및 개인정보보호 관리체계 인증(ISMS-P)도 부실했다. 쿠팡은 개발과 운영을 분리하지 않고 개발자에게 실제 운영 중인 ‘키 관리 시스템’에 접근하도록 권한을 부여하고 있었다. 내부 규정에서 키의 수명(3년 주기)만 정의하고 사용자의 정보 변경에 따른 교체 등 세부적인 운영절차 수립이 미흡했다.

쿠팡은 동일한 서버 사용자가 식별번호를 반복적으로 사용하고 위·변조된 전자 출입증을 활용으로 비정상 접속한 사실도 제 때 탐지하거나 차단하지 못했다.

접속기록(로그)는 일관된 기준 없이 저장·관리해 피해 이용자 식별 및 정보유출 규모 산정에도 한계로 작용했다.

조사단은 쿠팡이 침해사고 인지 후 24시간 이내에 과기정통부 또는 KISA에 신고해야 하는 정보통신망법을 어긴 것으로 판단했다.

쿠팡은 정보보호최고책임자(CISO)에게 11월 17일 오후 4시에 보고한 반면, KISA 신고는 19일 오후 9시35분에 했다.

이에 정보통신망법에 따라 3000만원 이하의 과태료를 부과할 예정이다.

아울러 침해사고 원인 분석을 위한 자료 보전 명령도 어겼다. 쿠팡은 자사 접속기록의 자동 로그 저장 정책을 조정하지 않아 약 5개월(2024년 7월~11월) 분량 웹 접속 기록이 삭제됐다. 애플리케이션 접속기록도 지난해 5월 23일부터 6월 2일간 데이터가 삭제됐다.

조사단은 자료보전 명령 위반과 관련해 수사기관에 수사를 의뢰했다.

과기정통부는 이번 조사단의 조사결과를 토대로, 쿠팡에 재발방지 대책에 따른 이행계획을 이달 내 제출하도록 하고 쿠팡의 이행 여부를 오는 7월까지 점검할 계획이다. 점검 결과 보완이 필요한 사항이 발생하면 시정조치를 명령할 계획이다.