article_right_top
정부가 쿠팡에서 발생한 대규모 정보 유출 사고에 대해 국내 전자상거래 플랫폼 역사상 가장 중대한 침해사고로 판단하고, 법 위반 사항에 대한 제재와 함께 전면적인 보안 체계 개선을 요구했다.
과학기술정보통신부는 10일 쿠팡 침해사고에 대한 민관합동조사단의 조사 결과를 발표했다. 조사단은 정보통신망법에 따라 사고 원인과 피해 범위를 분석하고, 재발 방지를 위한 기술·관리적 대책을 마련했다. 개인정보 유출 규모와 개인정보보호법 위반 여부에 대해서는 개인정보보호위원회가 별도로 조사 중이며, 경찰청은 관련 증거 분석과 수사를 진행하고 있다.
조사 결과에 따르면 이번 사고는 쿠팡의 이용자 인증 시스템 취약점을 악용한 내부자 출신 공격에 의해 발생했다. 공격자는 재직 당시 관리하던 인증 시스템의 서명키를 탈취해 로그인 절차 없이도 이용자 계정에 접근할 수 있는 구조를 만들었고, 이를 기반으로 장기간에 걸쳐 대규모 정보 수집을 수행한 것으로 확인됐다.
유출된 정보는 내정보 수정, 배송지 목록, 주문 목록 등 주요 서비스 화면에서 확인 가능한 개인정보로, 이름·이메일·전화번호·배송지 주소뿐 아니라 공동현관 비밀번호, 주문 상품 정보까지 포함된 것으로 조사됐다. 조사단은 웹 및 애플리케이션 접속기록을 분석한 결과, 내정보 수정 페이지에서만 3,300만 건 이상의 개인정보가 외부로 노출됐다고 판단했다. 배송지 관련 페이지는 1억 회 이상 조회된 것으로 나타났다.
사고 인지와 대응 과정에서도 문제가 드러났다. 쿠팡은 침해사고를 인지한 이후 법정 신고 기한을 넘겨 한국인터넷진흥원에 신고한 것으로 확인됐으며, 과기정통부의 자료 보전 명령 이후에도 접속기록 관리 정책을 조정하지 않아 상당량의 로그 데이터가 삭제됐다. 이에 대해 정부는 과태료 부과와 함께 수사기관 의뢰 조치를 병행하기로 했다.
조사단은 이번 사고의 근본 원인으로 ▲위·변조된 인증 수단을 검증하지 못한 인증 구조 ▲서명키를 개인 개발자 노트북에 저장하는 등 허술한 키 관리 ▲비정상 접속을 탐지하지 못한 보안 모니터링 체계 ▲로그 관리 기준 부재 등을 지적했다. 특히 퇴사자에 의한 내부 정보 악용 가능성을 차단하지 못한 점을 구조적 취약점으로 판단했다.
정부는 쿠팡에 대해 인증 체계 전반을 재설계하고, 키 발급·사용 이력 관리 강화, 비정상 접속 탐지 시스템 고도화, 로그 저장·관리 기준 정비 등을 포함한 이행계획을 제출하도록 요구했다. 향후 이행 여부를 점검한 뒤 미흡 사항이 확인될 경우 법에 따라 시정명령을 내릴 방침이다.
과기정통부는 이번 사고를 계기로 대규모 플랫폼 사업자의 정보보호 책임을 보다 엄격히 점검하겠다며, 단순한 기술적 사고를 넘어, 관리·통제 실패가 대규모 국민 피해로 이어질 수 있음을 확인한 사례로 보고, 유사 사고 재발 방지를 위한 제도적 보완도 함께 검토하고 있다고 말했다.
-이정직기자
이정직기자
<저작권자 © 재난포커스 무단전재 및 재배포금지>
