쿠팡, 개인정보 3367만건 유출…배송지 목록 1.4억 회 조회
과학기술정보통신부가 쿠팡 침해사고를 조사한 결과, 소비자 성명·이메일 3367만여 건이 유출됐다. 또 성명, 전화번호, 주소 등 배송지 목록 페이지 1억 4000여회도 조회 된 것으로 밝혀졌다. 공격자는 이용자 인증 취약점을 악용했다. 정상적인 로그인 없이 이용자 계정에 접속, 대규모 정보를 무단 유출했다. 과기정통부는 쿠팡의 침해사고 신고 지연 등 법 위반 사실도 확인했다. 과기정통부 민관합동조사단은 10일 이 같은 조사 결과를 발표했다. 조사단은 이번 사고에 대해 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법) 제48조의4에 따라 정보통신망에 대한 침해사고의 원인을 분석하고, 유사 사고가 재발하지 않도록 재발방지 대책을 마련했다. 이번 조사와 별개로 개인정보보호위원회는 개인정보보호법에 따른 개인정보 유출 규모 및 법 위반 여부 등을 조사 중에 있으며, 경찰청은 이번 침해사고와 관련된 증거물 분석 등 수사를 진행 중에 있다. 여타 관련 부처들도 소관 이슈들에 대해 검토 중이라고 과기정통부는 밝혔다. ■ 쿠팡 침해사고 개요...작년 11월 17일 침해 신고 작년 11월 16일, 쿠팡은 이용자로부터 개인정보 유출 관련 의심 이메일을 받았다는 내용의 고객의 소리(VOC, Voice Of Customer)를 접수했다. 쿠팡은 자체조사를 통해 접수를 받은 하루 후인 17일 침해사고 발생을 인지하고, 이어 19일 4536개 계정의 고객명, 이메일, 주소 등 정보가 유출됐다는 내용으로 한국인터넷진흥원(원장 이상중, KISA)에 침해사고 신고를 했다. 정보통신망법에 따르면, 침해사고 인지 시점으로부터 24시간 이내 신고를 해야 하며, 이를 위반 시 3천만원 이하 과태료 부과 대상이다. 하지만 KISA가 현장조사를 통해 추가 피해 여부를 파악한 결과, 유출 규모가 최초 신고된 4500여 개가 아닌 3천만 개 이상 계정임을 확인했다. 과기정통부는 이번 사고가 국내 최대 전자상거래 플랫폼 침해사고이며 대규모 정보가 유출된 중대한 침해사고로 판단하고, 11월 30일 민관합동조사단을 구성해 법과 원칙에 따라 피해현황, 사고원인 등을 조사했다. 과기정통부는 쿠팡의 법 위반 사항도 확인했다. 침해사고 신고 지연 ■ 조사 범위...로그 기록 등 관련 자료 종합 분석 조사단은 공격자가 악용한 쿠팡의 이용자 인증체계를 정밀 분석하고, 공격 범위 및 유출 규모를 파악하기 위해 웹 및 애플리케이션 접속기록(로그) 등 관련 자료에 대한 종합적인 분석을 실시했다. 쿠팡으로부터 제출받은 공격자 PC 저장장치(HDD 2대, SSD 2대) 및 현재 재직 중인 쿠팡의 개발자 노트북에 대한 포렌식 분석도 병행했다. 또 정보통신망법에 따른 정보보호조치에 관한 지침, 정보보호 및 개인정보보호 관리체계인증(ISMS-P) 기준, 쿠팡 자체규정 등에 대한 준수 여부를 포함해 전사 차원의 정보보호 관리체계를 점검했다. ■ 정보유출 규모...가족, 친구 등 제3자 성명, 전화번호 등 다수 포함 공격자는 쿠팡에서 정보를 유출했다는 이메일을 작년 11월 16일과 25일 두 차례 쿠팡측에 보냈으며, 유출한 정보의 일부 내용을 이메일 본문에 기재했다. 조사단은 공격자가 유출했다고 주장하는 이용자 정보들에 대한 진위 여부를 검증하기 위해 쿠팡의 웹 접속기록(로그)를 분석했다. 그 결과, 조사단은 공격자가 쿠팡의 내정보 수정 페이지의 성명, 이메일, 배송지 목록 페이지의 성명, 전화번호, 주소, 공동현관 비밀번호 정보, 주문 목록 페이지의 이용자가 주문한 상품 정보를 유출한 후, 해당 정보 일부를 이메일에 기해 쿠팡측에 보낸 것을 확인했다. 개인정보 유출은 개인정보가 해당 개인정보처리자의 관리·통제권을 벗어나, 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것(표준개인정보보호지침)을 말한다. 또 쿠팡 웹 및 애플리케이션 접속기록(로그) 데이터 분석을 통해 내정보 수정, 배송지 목록, 주문 목록 등 페이지에서 쿠팡의 이용자 정보가 유출되었음을 확인했다. 내정보 수정 페이지에서 성명, 이메일이 포함된 이용자 정보 3367만3817건이 유출됐음을 확인했다. 성명, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 배송지 목록 페이지에 1억4805만6502회 조회, 정보가 유출됐음을 확인했다. 배송지 목록 페이지에는 계정 소유자 본인 외에도 가족, 친구 등 제3자의 성명, 전화번호, 배송지 주소 등 정보가 다수 포함됐다. 그리고, 성명, 전화번호, 배송지 주소 외에 공동현관 비밀번호가 포함된 배송지 목록 수정 페이지를 5만474회 조회했음을 확인했다. 또 이용자가 최근 주문한 상품 목록이 포함된 주문 목록 페이지를 10만2682회 조회했음을 확인했다. 조사단은 웹 접속기록 등을 기반으로 유출 규모를 산정했고, 향후 개인정보 유출 규모에 대해서는 개인정보보호위원회에서 확정해 발표할 예정이다. ■ 사고원인 분석...누가 어떻게 공격했나 조사단은 사고원인을 정보유출 경로 분석, 공격자 행위 분석 두 가지 측면에서 조사했다. 공격자는 재직 당시 시스템 장애 등 백업을 위한 이용자 인증 시스템 설계·개발 업무를 수행한 SW 개발자(Staff Back-end Engineer)로 확인됐다. 조사단은 정보유출 경로를 분석한 결과, 공격자가 쿠팡 서버의 인증 취약점을 악용하여 정상적인 로그인 없이 이용자 계정에 비정상 접속하여 정보를 무단 유출했음을 확인했다. 정상적으로 이용자가 접속하는 경우, 이용자는 로그인(ID/PW) 절차를 거쳐 일종의 '전자 출입증'을 발급받는다. 그리고, 쿠팡의 관문서버는 발급받은 '전자 출입증'이 유효한지 여부를 검증하고, 이상이 없을 시에 서비스 접속을 허용한다. 공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 후, 이를 활용해 '전자 출입증'을 위·변조하여 쿠팡 인증체계를 통과했다. 그 결과, 정상적인 로그인 절차를 거치지 않고 쿠팡 서비스에 무단 접속할 수 있게 되었다. ■ 공격자 행위 분석...웹크롤링 공격 도구 악용 2313개 IP 사용 ▲ 취약점 발견 단계(25.1월 이전): 공격자는 재직 당시, 이용자 인증 시스템 설계·개발 업무를 수행하면서, 이용자 인증체계의 취약점과, 키 관리체계의 취약점을 인지하고 있었다. 이러한 판단 근거는, 공격자가 25.1.5~1.20 공격 테스트를 진행한 접속기록이 확인, 1월 이전에 취약점을 인지하고 있었다고 판단했다. 먼저, 쿠팡의 관문서버는 인증절차를 통해 '전자 출입증'이 정상적으로 발급된 이용자에 한해서 접속을 허용해야 하므로, '전자 출입증'이 위·변조되었는지에 대해서도 확인해야 한다. 하지만 조사결과, 관련된 확인 절차가 부재한 상황이었다. 또 쿠팡이 관리하고 있는 서명키는 '전자 출입증'을 발급하기 위해 사용하는 도구인 만큼, 체계적이고 엄격한 관리체계를 갖춰야 한다. 이에, 업무 담당자가 퇴사할 경우 해당 서명키를 더 이상 사용하지 못하도록 갱신 절차가 진행돼야 하나, 관련 체계 및 절차가 미비했다. ▲취약점을 악용한 공격 테스트(25.1월~): 퇴사 후, 공격자는 재직 당시 탈취한 서명키와 내부 정보를 활용, '전자 출입증'에 대한 위·변조를 진행했다. 그 후, 이를 이용해 정상적인 로그인 절차 없이 쿠팡 인증 체계를 통과하면서, 본격적인 공격을 위한 사전 테스트를 진행했다. ▲대규모 정보 유출(25.4.14~11.8): 공격자는 사전 테스트를 통해 이용자 계정에 접근이 가능한 사실을 확인한 이후, 자동화된 웹크롤링 공격 도구를 이용해 대규모 정보를 유출했다. 이 과정에서 공격자는 총 2313개 IP를 이용했다. ■ 문제점 및 재발방지 대책 조사단은 조사를 통해 쿠팡의 정보보호 체계에 문제점을 발견하고 재발방지 대책을 마련했다. ▲이용자 인증체계 문제점: 조사단은 공격자가 위·변조한 '전자 출입증'을 사용해 쿠팡 서비스에 무단으로 접속한 것을 확인하였고, 정상적인 발급 절차를 거친 '전자 출입증'인지 여부를 검증하는 체계가 부재한 사실을 확인하였다. 또한, 쿠팡은 모의해킹을 통해 '전자 출입증' 기반 인증 체계의 취약점 발굴·개선을 추진하였으나, 발견된 문제에 한해여 해결책을 모색하고, 쿠팡의 관문서버 이용자 인증 체계 개선 등 전반적인 문제점 검토는 이뤄지지 않았다. ⇒ (재발방지 대책) 쿠팡은 정상 발급절차를 거치지 않은 '전자 출입증'에 대한 탐지 및 차단 체계를 도입하는 한편, 모의해킹에서 발견된 취약점에 대해서는 근본적인 문제개선 방안을 마련해야 한다. ▲키 관리체계 문제점: 쿠팡은 자체 규정에 따라, 서명키를 '키 관리시스템'에서만 보관하고, 개발자 PC 등에 저장(소스코드 내 하드코딩)하지 않도록 해야 한다고 명시하고 있다. 그러나, 조사단은 현재 재직 중인 쿠팡 개발자가 노트북에 서명키를 저장하고 있어, 키 유출 및 오남용 위험이 있음을 발견했다. 또한, 쿠팡은 서명키를 체계적으로 관리할 수 있도록 발급 내역을 기록·관리하도록 규정하고 있으나, 조사단은 키 이력 관리 체계가 부재하여 목적 외 사용을 파악하는 것이 불가능함을 확인했다. 쿠팡은 내부자(퇴사자)로 인해 서명키와 같은 주요 정보가 탈취될 수 있는 위협에 대한 대응체계가 부재했다. 이와 함께, 조사단은 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)에 대해 점검한 결과, 쿠팡은 개발과 운영을 분리하지 않고 개발자에게 실제 운영 중인 '키 관리 시스템'에 접근하도록 권한을 부여하고 있었다. 그리고, 내부 규정에서 키의 수명(3년 주기)만 정의하였고, 사용자의 정보 변경에 따른 교체 등 세부적인 운영절차 수립이 미흡했다. ⇒ (재발방지 대책) 쿠팡은 키 관리(발급/사용 이력관리)·통제 체계 강화 및 운영관리 기준을 명확히 하고, 상시 점검을 실시해야 한다. ▲정보보호 관리체계 미흡: 쿠팡은 이번 침해사고가 동일한 서버사용자 식별번호를 반복적으로 사용했으며, 위·변조된 '전자 출입증'을 활용한 비정상 접속행위가 발생했음에도, 해당 공격 행위를 통한 정보유출을 탐지·차단하지 못했다. 웹 서버가 다수의 웹페이지 요청자를 구별하기 위해 각 세션에 부여하는 임의의 문자열 값 또한, 접속기록(로그)를 일관된 기준 없이, 저장·관리하여 피해 이용자 식별 및 정보유출 규모 산정에 어려움이 발생했다. 쿠팡은 접속기록(로그) 중 서버사용자 식별번호, 이용자 고유식별번호를 내정보 수정페이지에서만 저장·관리하고 있으며, 배송지 목록, 주문목록 등 페이지에서는 해당 정보를 저장·관리하고 있지 않음 ⇒ (재발방지 대책) 쿠팡은 비정상 접속행위 탐지 모니터링을 강화하고, 사고원인 분석 및 피해규모 식별 등 목적에 맞는 로그 저장관리 정책을 수립 및 정비하여야 한다. 또한, 자체 보안규정 준수 여부에 대한 정기 점검을 실시하고, 미준수 사항 발생 시 즉각 개선하는 관리체계를 구축하여야 한다. ■ 법 위반사항 ① 침해사고 신고 지연: 쿠팡은 정보통신망법 제48조의3에 따라 침해사고를 인지한 후 24시간 이내에 과기정통부 또는 KISA에 신고해야 한다. 그러나, 정보보호 최고책임자(CISO)에게 보고한 시점('25.11.17 16:00)으로부터 24시간이 지난 후 KISA에 신고('25.11.19 21:35) 했다. 침해사고 인지시점은, 침해사고 발생을 알게 된 때는 정보보호 담당자, 정보보호 담당부서의 장, 정보보호 최고책임자, 기업 대표자 등이 정보통신망법 제2조에 정의된 침해사고의 발생을 알게 된 때를 말한다.(정보통신분야 침해사고 대응 안내서, '25.8월) ⇒ (조치 사항) 정보통신망법에 따른 과태료를 부과할 예정이다. 정보통신망법 제76조에 따라 3천만원 이하 과태료 부과 대상이다. ② 자료보전 명령 위반: 과기정통부는 정보통신망법 제48조의4에 따라 쿠팡에 침해사고 원인 분석을 위해 자료보전을 명령('25.11.19 22:34)했다. 그러나, 쿠팡은 자료보전 명령에도 불구하고 자사 접속기록의 자동 로그 저장 정책을 조정하지 않아, 약 5개월('24.7~11월) 분량 웹 접속기록이 삭제되었다. 또한, 애플리케이션 접속기록(로그)도 '25.5.23~6.2일 간의 데이터가 삭제됐다. ⇒ (조치 사항) 자료보전 명령 위반과 관련하여 수사기관에 수사를 의뢰했다. 웹 로그 삭제 수사의뢰는 작년 12월31일, 애플리케이션 로그 삭제 수사의뢰는 올해 2월 9일이다. ■ 향후 계획 과기정통부는 이번 조사단의 조사결과를 토대로, 쿠팡에 재발방지 대책에 따른 이행계획을 제출(2월)토록 하고, 쿠팡의 이행(3~5월) 여부를 점검(6~7월)할 계획이다. 이행점검 결과, 보완이 필요한 사항에 대해서는 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획이다.
