[시민일보 = 문민호 기자] 과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해 사고에 대한 민관 합동 조사 결과를 잠정 발표했다.

과기부는 남아있는 쿠팡의 웹 접속기록(로그) 25.6테라바이트(TB) 분량(데이터 6642억 건)을 분석한 결과 쿠팡 '내 정보 수정 페이지'에서 이용자 이름, 이메일 3367만여건이 유출된 것을 확인했다.

아울러 ‘배송지 목록 페이지’에서는 이름, 전화번호, 주소, 공동현관 비밀번호 일부가 포함된 정보가 1억4800만여 차례 조회된 것으로 확인됐다. 해당 정보에는 가족이나 지인의 배송 정보 등 제삼자 개인정보도 다수 포함돼 피해 대상이 더 늘어날 가능성이 있다.

이 밖에도 공동현관 비밀번호는 5만여 건, 최근 주문 상품 정보 10만여 건이 조회된 것으로 파악됐다.

조사단은 "웹 접속기록 등을 기반으로 유출 규모를 산정했고 정확한 개인정보 유출 규모에 대해서는 향후 개인정보보호위원회에서 확정해 발표할 예정"이라고 밝혔다.

범인은 쿠팡 인증 시스템을 설계했던 중국인 전 직원으로, 지난해 1월 취약점을 발견한 뒤 4월부터 자동화 도구를 이용해 무단 접근을 반복하며 개인정보를 빼돌린 것으로 조사됐다. 정상 로그인 없이도 계정에 접근할 수 있었지만 쿠팡은 이를 장기간 인지하지 못했다.

조사단은 이용자 인증 취약점을 악용해 대규모 정보 유출을 했는데도 쿠팡 측이 이를 인지하지 못했다고 지적했다. 또, 정상 발급 절차를 거치지 않은 '전자 출입증(토큰)'이 사이버 공격에 악용될 가능성이 있다는 점이 쿠팡이 사전에 실시한 모의 해킹에서 드러난 바 있지만 쿠팡이 이를 개선하지 않았다고 주장했다.

이에 조사단은 쿠팡에 인증키 발급·사용 이력 관리와 비정상 접속행위 탐지 모니터링을 강화할 것과 자체 보안규정 준수 여부에 대한 정기 점검을 실시할 것을 요구했다.

또한 사고 인지 후 24시간 내 신고 규정을 위반한 점에 대해 과태료를 부과할 방침이며, 접속 기록 삭제와 관련해서는 수사를 의뢰했다.

과기정통부는 조사 결과를 토대로 쿠팡에 재발 방지 대책에 따른 이행계획을 이달 중으로 제출하도록 하고 오는 7월까지 이행 여부를 점검할 계획이다.

 

[ⓒ 시민일보. 무단전재-재배포 금지]