[비즈니스포스트] 쿠팡의 개인정보 침해사고 조사 결과 고객의 이름, 전화번호, 주소 등이 포함된 배송지 목록이 1억 회 이상 조회된 것으로 확인됐다.

과학기술정보통신부는 10일 서울 종로구에 있는 정부서울청사에서 쿠팡 개인정보 침해사고에 대한 민관합동조사단의 조사 결과를 발표했다.
 
과학기술정보통신부는 "쿠팡 웹 및 애플리케이션 접속기록(로그) 데이터 분석을 통해 내정보 수정, 배송지 목록, 주문 목록 등 페이지에서 쿠팡의 이용자 정보가 유츌됐음을 확인했다"며 "내정보 수정 페이지에서 성명, 이메일이 포함된 이용자 정보 3367만3817건이 유출됐음을 확인했다"고 말했다.

성명과 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 배송지 목록 페이지도 1억4805만6502회 조회된 것으로 드러났다.

배송지 목록 페이지에는 계정 소유자 본인 외에도 가족 친구 등 제3자의 성명, 전화번호, 배송지 주소 등 정보가 다수 포함돼 있다. 여기서 조회는 정보가 포함된 배송지 목록 페이지를 방문한 횟수를 의미한다.

배송지 목록 수정 페이지는 5만474회 조회된 것으로 확인됐다. 이용자가 최근 주문한 상품 목록이 포함된 주문 목록 페이지는 10만2682회 조회된 것으로 나타났다.

정부 민관합동조사단은 웹 접속기록 등을 기반으로 유출 규모를 산정했다. 향후 개인정보 유출 규모에 대해서는 개인정보보호위원회에서 확정해 발표하기로 했다.

공격자는 재직 당시 시스템 장애 등 백업을 위한 이용자 인증 시스템을 설계하고 개발하는 업무를 담당한 소프트웨어 개발자로 확인됐다. 공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 후 이를 활용해 '전자 출입증'을 위·변조해 쿠팡 인증 체계를 통과했다. 그 결과 정상적인 로그인 절차를 거치지 않고 쿠팡 서비스에 무단 접속할 수 있었다.

조사단은 쿠팡에 전자 출입증 위·변조 확인 절차가 부재했고 퇴사자가 가진 서명키 관리 체계가 미비했다는 점도 지적했다. 쿠팡은 모의해킹을 통해 전자 출입증 전반의 인증 체계의 취약점을 발견했지만 근본적 문제 개선을 하지 않은 것으로도 나타났다. 

과기정통부는 쿠팡이 침해사고를 인지한 후 24시간이 지난 후에 신고한 점을 감안해 과태료를 부과하기로 했다.

정보통신망법에 따라 사업자는 침해사고를 인지한 후 24시간 이내에 과기정통부 또는 한국인터넷진흥원(KISA)에 신고해야 한다. 쿠팡의 정보보호최고책임자(CISO)가 보고를 받은 시점은 지난해 11월17일 오후 4시였으나 KISA 신고 시간은 같은 달 19일 오후 9시35분이었다.

과기정통부는 쿠팡의 자료보전 명령 위반과 관련해 수사기관에 수사도 의뢰했다. 

쿠팡은 정부의 자료보전 명령에도 불구하고 접속 기록의 자동 로그 저장 정책을 조정하지 않아 약 5개월(2024년 7~11월) 분량의 웹 접속 기록이 삭제됐다. 지난해 5월23일~6월2일의 앱 접속기록도 삭제됐다. 과기정통부는 이번 조사결과를 토대로 쿠팡에 재발방치 대책에 따른 이행계획을 제출하도록 하고 이행 여부를 점검하기로 했다. 조성근 기자