조사단 "쿠팡 침해사고, 인증체계 관리 문제…지능화된 공격 아냐"(종합2보)

"2차 피해 현재까지 확인 못해…결제정보 유출 없어"

"해외 클라우드 연동 기능 있어…직접 통신 기록 남아있진 않아"

쿠팡 "공용현관 출입코드 포함 접근은 2천609건…보고서 누락"

(서울=연합인포맥스) 정수인 기자 = "분명한 관리의 문제입니다. 지능화된 공격으로 보기는 어려울 것 같습니다."

최우혁 과기정통부 정보보호네트워크정책실장은 10일 종로구 정부서울청사에서 쿠팡 침해사고와 관련해 민관합동조사단 조사 결과를 발표하며 이같이 말했다.

과기부 조사 결과에 따르면 이번 침해사고와 관련해 내정보 수정 페이지에서 성명과 이메일 등이 유출된 것으로 확인된 고객 수는 3천367만여 명으로 드러났다.

배송지 목록 페이지에서 성명, 전화번호, 주소 등이 1억4천만여 회가 조회됐다. 해당 조회 내역에서 쿠팡이 최근 밝힌 16만5천여 건 계정의 추가 유출 내역이 포함됐다고 이동근 한국인터넷진흥원 디지털위협대응본부장은 부연했다.

이외에도 배송지 목록 수정 페이지에서 성명, 전화번호, 주소, 공동현관 비밀번호 등이 5만여 회 조회됐다. 주문 목록 페이지에서 최근 주문한 상품목록 등은 10만여 회 조회됐다.

최 실장은 "개인정보 유출이라고 하는 것은 통제권을 벗어나면 유출"이라면서 "조회 및 유출" 개념이라고 보면 된다고 설명했다.

개인정보 세부 유출 규모는 개인정보보호위원회에서 확정해 발표할 예정이다.

조사단은 공격자가 정보 수집 및 외부 서버 전송이 가능한 공격 스크립트를 작성한 것을 확인했으며, 위·변조 '전자 출입증'을 이용해 타인의 계정으로 무단 접속한 후 유출한 정보(주문목록 등)를 해외 소재의 클라우드 서버로 전송할 수 있는 기능을 확인했다. 다만 실제 전송이 이루어졌는지 여부에 대해서는 기록이 남아있지 않아 확인할 수 없다고 덧붙였다.

이에 대해 이 본부장은 "저희가 제출받은 하드디스크 상에서 직접적으로 통신한 기록들이 남아있지는 않았었다"며 "로그가 일부 삭제되었을 수 있고 정확하게 로그라고 판단할 수 있는 것은 남아있지 않았다"고 설명했다.

공격자는 대규모 정보 유출 과정에서 총 2천313개 인터넷 프로토콜(IP)을 이용했다고 발표했다. 이와 관련해 최 실장은 인증체계 관리 및 키 관리 시스템 문제점을 강력히 지적했다며 "이것은 분명히 관리의 문제"라면서 "지능화된 공격으로 보기는 어려울 것"이라고 단언했다.

최 실장은 쿠팡이 자체 조사를 통해 개인정보 3천 건만이 저장됐다고 밝힌 부분에 대해서는 "피조사기관인 쿠팡의 조사 결과는 하나의 주장일 뿐"이라며 "검증하고 투명하게 조사를 하는 것이 조사단의 의무"라고 밝혔다.

쿠팡의 침해사고에서 공격자가 한명인지, 혹은 배후 세력이 있었는지에 대한 질문에 대해서는 "수사의 영역"이라면서 "공격자가 한명 혹은 여러 명이라고 말씀드릴 수 있는 정보가 저희는 있지 않다. 경찰의 결과를 봐야 할 것"이라고 말했다.

이번 사고와 관련해 2차 피해 정황 및 결제정보 유출 사례는 현재로서는 확인된 바 없다고 밝혔다.

한편 쿠팡은 이번 침해사고 신고 지연으로 정보통신망법 제76조에 따라 3천만원 이하 과태료 부과 대상이 된 데 대해 과태료 수준이 다소 적은 것 같다는 지적도 나왔다.

이에 최 실장은 "망법에서는 지연신고 및 재발방지 대책에 대한 이행에 대해서 문제가 있다고 하면 과태료 처분 등 조치를 할 수 있다"면서 "앞으로 망법 개정에 따라서 침해사고에 대해서 과징금을 물 수 있도록 입법을 진행 중"이라고 덧붙였다.

쿠팡은 이날 조사 결과 발표 이후 입장문을 내고 "지난해 중국 국적의 전(前) 직원이 3천300만 개 이상의 고객 계정이 포함된 데이터에 부적절하게 접근해 약 3천개 계정의 정보를 저장했다"며 "국내에서 거주하던 해당 직원은 스스로 작성한 소프트웨어 프로그램으로 약 1억4천만 회의 자동조회를 수행했다"고 밝혔다.

이어 "해당 데이터가 추가로 제삼자에 의해 열람되거나 활용된 정황은 없다"고 덧붙였다.

한편 쿠팡은 전 직원이 접근한 계정 정보 중 공용현관 출입코드가 포함된 사례는 2천609건이며, 이는 아카마이(Akamai) 보안 로그와 사용자 데이터 분석을 통해 확인됐다고 했다.

쿠팡은 "(조사단 보고서에는) 해당 전 직원이 공용현관 출입 코드에 대해 5만 건의 조회를 수행했다고 기재하면서도 해당 조회가 실제로는 단 2천609개 계정에 대한 접근에 한정된 것이라는 검증 결과는 누락하고 있다"고 말했다.

sijung@yna.co.kr