0

조사단 "쿠팡 침해사고, 인증체계 관리 문제…지능화된 공격 아냐"(종합)

26.02.10.
읽는시간 0

"2차 피해 현재까지 확인 못해…결제정보 유출 없어"

"해외 클라우드 연동 기능 있어…직접 통신 기록 남아있진 않아"

최우혁 과기정통부 정보보호네트워크정책실장

[촬영: 정수인 기자]

(서울=연합인포맥스) 정수인 기자 = "분명한 인증체계 관리의 문제입니다. 지능화된 공격으로 보기는 어려울 것 같습니다."

최우혁 과기정통부 정보보호네트워크정책실장은 10일 종로구 정부서울청사에서 쿠팡 침해사고와 관련해 민관합동조사단 조사 결과를 발표하며 이같이 말했다.

과기부 조사 결과에 따르면 이번 침해사고와 관련해 내정보 수정 페이지에서 성명과 이메일 등이 유출된 것으로 확인된 고객 수는 3천367만여 명으로 드러났다.

배송지 목록 페이지에서 성명, 전화번호, 주소 등이 1억4천만여 회가 조회됐다. 해당 조회 내역에서 쿠팡이 최근 밝힌 16만5천여 건 계정의 추가 유출 내역이 포함됐다고 이동근 한국인터넷진흥원 디지털위협대응본부장은 부연했다.

이외에도 배송지 목록 수정 페이지에서 성명, 전화번호, 주소, 공동현관 비밀번호 등이 5만여 회 조회됐다. 주문 목록 페이지에서 최근 주문한 상품목록 등은 10만여 회 조회됐다.

최 실장은 "개인정보 유출이라고 하는 것은 통제권을 벗어나면 유출"이라면서 "조회 및 유출" 개념이라고 보면 된다고 설명했다.

개인정보 세부 유출 규모는 개인정보보호위원회에서 확정해 발표할 예정이다.

조사단은 공격자가 정보 수집 및 외부 서버 전송이 가능한 공격 스크립트를 작성한 것을 확인했으며, 위·변조 '전자 출입증'을 이용해 타인의 계정으로 무단 접속한 후 유출한 정보(주문목록 등)를 해외 소재의 클라우드 서버로 전송할 수 있는 기능을 확인했다. 다만 실제 전송이 이루어졌는지 여부에 대해서는 기록이 남아있지 않아 확인할 수 없다고 덧붙였다.

이에 대해 이 본부장은 "저희가 제출받은 하드디스크 상에서 직접적으로 통신한 기록들이 남아있지는 않았었다"며 "로그가 일부 삭제되었을 수 있고 정확하게 로그라고 판단할 수 있는 것은 남아있지 않았다"고 설명했다.

공격자는 대규모 정보 유출 과정에서 총 2천313개 인터넷 프로토콜(IP)을 이용했다고 발표했다. 이와 관련해 최 실장은 인증체계 관리 및 키 관리 시스템 문제점을 강력히 지적했다며 "이것은 분명히 관리의 문제"라면서 "지능화된 공격으로 보기는 어려울 것"이라고 단언했다.

최 실장은 쿠팡이 자체 조사를 통해 개인정보 3천 건만이 저장됐다고 밝힌 부분에 대해서는 "피조사기관인 쿠팡의 조사 결과는 하나의 주장일 뿐"이라며 "검증하고 투명하게 조사를 하는 것이 조사단의 의무"라고 밝혔다.

쿠팡의 침해사고에서 공격자가 한명인지, 혹은 배후 세력이 있었는지에 대한 질문에 대해서는 "수사의 영역"이라면서 "공격자가 한명 혹은 여러 명이라고 말씀드릴 수 있는 정보가 저희는 있지 않다. 경찰의 결과를 봐야 할 것"이라고 말했다.

이번 사고와 관련해 2차 피해 정황 및 결제정보 유출 사례는 현재로서는 확인된 바 없다고 밝혔다.

한편 쿠팡은 이번 침해사고 신고 지연으로 정보통신망법 제76조에 따라 3천만원 이하 과태료 부과 대상이 된 데 대해 과태료 수준이 다소 적은 것 같다는 지적도 나왔다.

이에 최 실장은 "망법에서는 지연신고 및 재발방지 대책에 대한 이행에 대해서 문제가 있다고 하면 과태료 처분 등 조치를 할 수 있다"면서 "앞으로 망법 개정에 따라서 침해사고에 대해서 과징금을 물 수 있도록 입법을 진행 중"이라고 덧붙였다.

sijung@yna.co.kr

정수인

금융용어사전

KB금융그룹의 로고와 KB Think 글자가 함께 기재되어 있습니다. KB Think

금융용어사전

KB금융그룹의 로고입니다. KB라고 기재되어 있습니다 KB Think

이미지