국내 최대 이커머스 플랫폼 쿠팡에서 발생한 개인정보 유출 계정 규모가 당초 사측이 신고한 4,536개가 아닌, 3,367만 3,817개인 것으로 최종 파악됐습니다.

해커는 쿠팡 이용자의 성명과 전화번호, 주소 등이 적힌 배송지 목록 페이지를 1억 4,805만 6,502회 들여다본 것으로 확인됐습니다.

또, 공동현관 비밀번호가 포함된 배송지 목록 수정 페이지를 5만 474회, 이용자가 최근 주문한 상품 목록이 포함된 주문 목록 페이지를 10만 2,682회 조회한 것으로 드러났습니다.

과학기술정보통신부는 오늘(10일) 이 같은 내용을 담은 ‘쿠팡 침해사고 민관합동조사단’의 조사 결과를 발표했습니다.

조사단은 쿠팡으로부터 제출받은 해커의 PC 저장장치와 현재 재직 중인 쿠팡의 개발자 노트북에 대한 포렌식 분석을 진행했습니다.

분석 결과, 해커는 지난해 4월 14일부터 11월 8일까지 약 7개월에 걸쳐 공격한 것으로 확인됐습니다.

조사단에 따르면, 해커는 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 접속해 정보를 무단 유출했습니다.

이용자가 정상 접속하는 경우 로그인 절차를 거쳐 일종의 ‘전자 출입증’을 발급받는데, 이때 쿠팡은 이 전자 출입증이 유효한지 검증하고 이상이 없을 때 서비스 접속을 허용합니다.

그러나 해커는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 뒤, 이를 활용해 ‘전자 출입증’을 위·변조했고 쿠팡 인증체계를 통과한 것으로 드러났습니다.

조사단은 “이와 관련한 쿠팡의 검증 체계가 미흡해 공격자의 공격 행위를 사전에 탐지 및 차단하지 못했다”며 “또, 쿠팡은 공격자가 이용자 인증 관련 시스템 개발자임에도 퇴사 이후 서명키를 즉시 갱신하지 않은 채 운영했다”고 설명했습니다.

과기정통부는 쿠팡에 정상 발급절차를 거치지 않은 전자 출입증에 대한 탐지 및 차단체계 도입을 주문하고, 모의해킹에서 발견한 취약점에 대한 후속 조치와, 서명키 발급·폐기 등 관리체계 강화를 요청했습니다.

과기정통부는 또, 쿠팡이 침해사고를 인지한 시점으로부터 24시간이 지난 이후에 한국인터넷진흥원(KISA)에 신고한 만큼 정보통신망법상 신고 지연에 따른 과태료를 부과할 예정입니다.

이와 함께, 쿠팡이 자료보전 명령 이후에도 지난해 7월부터 11월까지 웹과 애플리케이션 접속 기록을 삭제해 조사를 제한한 것에 대해 수사기관에 수사를 의뢰했다고 전했습니다.

연합뉴스TV 기사문의 및 제보 : 카톡/라인 jebo23

문형민(moonbro@yna.co.kr)