0

정부, 쿠팡에 인증체계 개편 요구…신고 지연에 과태료 부과

26.02.10.
읽는시간 0

(서울=연합인포맥스) 윤영숙 기자 = 정부가 쿠팡 개인정보 유출 사고와 관련해 인증체계 전면 개편과 키 관리 강화 등 재발방지 대책을 요구했다.

또한 쿠팡의 법 위반 사항에 대해서는 과태료를 부과하고, 수사를 의뢰할 예정이다.

과학기술정보통신부는 10일 민관합동조사단 조사 결과를 토대로 이 같은 내용의 재발방지 대책을 요구하고, 후속 조치를 마련했다.

조사단은 쿠팡의 이용자 인증체계가 위·변조된 '전자 출입증'을 탐지·차단하지 못한 점을 핵심 문제로 지적했다.

정상 발급 절차를 거치지 않은 출입증을 식별하는 검증 로직이 부재했고, 비정상적인 접속 패턴에 대한 실시간 모니터링도 제대로 작동하지 않았다는 것이다.

이에 따라 과기정통부는 쿠팡에 정상 발급절차를 거치지 않은 '전자 출입증'에 대한 탐지 및 차단 체계를 도입하는 한편, 모의해킹에서 발견된 취약점에 대해서는 근본적인 문제개선 방안을 마련해야 한다고 촉구했다.

키 관리 체계에 대한 지적도 강도 높게 제기됐다.

조사단은 서명키가 키 관리 시스템이 아닌 개발자 노트북에 저장돼 있었고, 키 발급·폐기·사용 이력 관리 체계가 전무했다고 밝혔다. 퇴사자 발생 시 즉각적인 키 갱신·폐기 절차도 마련돼 있지 않았다.

이에 따라 과기정통부는 쿠팡에 키 관리(발급 및 사용 이력관리)·통제 체계 강화 및 운영관리 기준을 명확히 하고, 상시 점검을 실시하라고 요구했다.

정보보호 관리체계 전반의 미흡함도 문제로 지적됐다.

쿠팡은 동일한 서버 사용자 식별번호를 반복 사용하는 비정상 접속이 장기간 이어졌음에도 이를 탐지하지 못했다. 또한 페이지별로 접속기록 저장 기준이 달라 피해 이용자 식별과 유출 규모 산정에 어려움이 발생했다.

과기정통부는 이에 대해 목적에 맞는 로그 저장·관리 정책 수립과 비정상 행위 탐지 모니터링 강화를 요구했다. 자체 보안 규정 준수 여부를 정기적으로 점검하고, 미준수 사항 발견 시 즉각 개선하는 관리체계 구축도 주문했다.

한편, 법 위반 사항에 대한 행정조치도 병행된다.

쿠팡은 침해사고 인지 후 24시간 이내 신고 의무를 위반해 과태료 부과 대상이 됐다. 과기정통부는 정보통신망법에 따라 쿠팡에 과태료를 부과할 예정이라고 밝혔다.

또한 자료보전 명령 이후에도 웹·애플리케이션 접속기록 일부가 삭제돼 이와 관련해 수사기관에 수사를 의뢰했다.

과기정통부는 쿠팡으로부터 재발방지 대책 이행계획을 제출받아 이행 여부를 점검한 뒤, 미흡할 경우 추가 시정명령을 내릴 방침이다.

쿠팡 배송차량

[출처: 연합뉴스 자료사진]

ysyoon@yna.co.kr

윤영숙

윤영숙

금융용어사전

KB금융그룹의 로고와 KB Think 글자가 함께 기재되어 있습니다. KB Think

금융용어사전

KB금융그룹의 로고입니다. KB라고 기재되어 있습니다 KB Think

이미지