[세종=뉴스핌] 이경태 기자 = 쿠팡에서 3300만개 이상의 계정 정보가 유출된 사고의 전말이 드러났다. 퇴사한 백엔드 개발자가 재직 중 탈취한 '서명키'로 시스템을 무단 침투해 성명·이메일 3367만 건을 비롯해 배송지·전화번호·주문내역·공동현관 비밀번호 등을 8개월간 빼낸 것으로 확인됐다.

◆ 재직 중 '마스터키' 빼돌린 백엔드 개발자

과학기술정보통신부가 10일 발표한 쿠팡 침해사고에 대한 민관합동조사단 조사 결과에 따르면, 공격자는 쿠팡에서 이용자 인증 시스템 설계·개발을 담당했던 백엔드 개발자로 밝혀졌다.

그는 재직 중 업무상 접근 가능했던 서명키를 몰래 탈취했다. 서명키는 이용자에게 '전자 출입증'을 발급하는 핵심 도구로, 이를 악용하면 정상 로그인 없이도 시스템 접근이 가능하다.

퇴사 후 그는 탈취한 서명키로 전자 출입증을 위조했고, 쿠팡의 관문서버가 이를 검증하지 못하면서 인증 체계를 무력화했다. 지난해 1월 테스트를 거쳐 4월 14일부터 11월 8일까지 본격적인 공격에 나섰다.

조사단은 내정보 수정 페이지에서 성명과 이메일 3367만 건이 유출됐다고 밝혔다. 배송지 목록 페이지는 1억4805만회 조회돼 성명·전화번호·주소·특수문자로 비식별화된 공동현관 비밀번호가 유출됐다.

배송지 수정 페이지(약 5만회 조회)에서는 비식별화되지 않은 공동현관 비밀번호가, 주문 목록 페이지(약 10만회 조회)에서는 최근 구매 상품 정보가 각각 빠져나갔다.

배송지 정보에는 계정 소유자뿐 아니라 가족, 친구 등 제3자의 개인정보도 다수 포함돼 실제 피해 규모는 더 클 것으로 우려됐다. 공격자는 2313개 IP를 동원해 자동화된 웹크롤링 도구로 정보를 빼냈다.

당초 쿠팡은 지난해 11월 19일 4536개 계정 유출로 신고했으나, 한국인터넷진흥원(KISA) 현장조사 결과 실제 규모는 3000만개 이상으로 확인됐다.

◆ 쿠팡의 허술한 보안…검증 절차 '전무'

조사 결과 쿠팡의 보안 체계는 구멍투성이였던 것으로 드러났다. 위조된 전자 출입증인지 검증하는 절차가 아예 없었고, 서명키를 개발자 PC에 저장(하드코딩)하는 등 자체 규정도 지켜지지 않았다. 퇴사자의 서명키를 무효화하는 갱신 절차도 부재했다.

조사단은 현재 재직 중인 쿠팡 개발자의 노트북에서도 서명키가 저장돼 있는 것을 발견했다. 키 발급 내역을 기록·관리하는 이력 관리 체계도 없어 목적 외 사용을 파악하는 것이 불가능했다.

동일한 서버사용자 식별번호가 반복 사용되고 비정상 접속이 8개월간 이어졌는데도 탐지·차단 시스템이 작동하지 않았다. 접속기록(로그)도 페이지마다 제각각 기준으로 저장해 피해 규모 산정에 어려움을 겪었다.

쿠팡은 침해사고를 정보보호 최고책임자(CISO)에게 보고한 시점(지난해 11월 17일 오후 4시)부터 24시간이 지난 뒤인 11월 19일 밤 9시 35분에야 신고해 정보통신망법 위반으로 3000만원 이하 과태료 부과 대상이 됐다.

더 심각한 문제는 과기부의 자료보전 명령(지난해 11월 19일 밤 10시 34분) 이후에도 로그 저장 정책을 조정하지 않아 2024년 7~11월 약 5개월 분량의 웹 접속기록과 올해 5월 23일~6월 2일 간 애플리케이션 접속기록이 삭제된 점이다. 과기부는 이를 수사기관에 수사 의뢰했다.

과기부는 쿠팡에 2월 중 재발방지 대책 이행계획 제출을 명령했다. 쿠팡은 위조 전자 출입증 탐지·차단 체계 도입, 키 관리·통제 체계 강화 및 상시 점검, 비정상 접속 모니터링 강화, 로그 저장관리 정책 정비, 자체 보안규정 준수 여부 정기 점검 등을 이행해야 한다.

정부는 3~5월 쿠팡의 이행 상황을 지켜본 뒤 6~7월 점검을 실시하고, 미흡한 부분에 대해서는 정보통신망법 제48조의4에 따라 시정조치를 명령할 방침이다. 개인정보보호위원회는 최종 개인정보 유출 규모를 확정해 발표하고, 경찰청은 형사 수사를 진행 중이다.

한편, 쿠팡은 지난 5일 개인정보보호위원회에 16만5455개 계정의 개인정보가 추가 유출됐다고 신고했다. 기존 3370만 계정에 더해 총 3386만여개 계정이 유출된 것이다.

biggerthanseoul@newspim.com