쿠팡 전직 개발자에 의한 정보통신망 침해사고는 인증 체계와 키 관리, 이상 징후 탐지 전반이 동시에 붕괴된 구조적 보안 실패로 확인됐다. 정부 조사 결과, 공격자는 정상 이용자로 위장한 상태에서 수개월간 시스템에 상시 접근하며 개인정보가 포함된 핵심 페이지를 반복적으로 열람한 것으로 드러났다.
과학기술정보통신부와 민관합동조사단은 10일 브리핑을 통해 이번 사고를 단기간 해킹이 아닌 장기간 자동화된 접근이 누적된 중대한 침해사고로 판단했다고 밝혔다. 조사단은 쿠팡의 웹·애플리케이션 접속 기록과 서버 포렌식 분석을 통해 공격 경로와 내부 통제 실패 지점을 추적했다.
조사에 따르면 공격자는 약 7개월간 2313개 IP를 분산 활용해 비정상 접속을 지속했다. 분석 대상 로그만 수십 테라바이트 규모에 달했으며, 이 가운데 계정 관리, 배송지, 주문 내역 등 개인정보가 포함된 주요 페이지 접근이 집중적으로 이뤄졌다.
이동근 민관합동조사단 부단장은 “외부 공격자가 개인정보를 열람할 수 있는 상태가 된 순간, 해당 정보는 이미 시스템의 통제 범위를 벗어난 것으로 보고 있으며 이는 유출로 해석한다”고 설명했다.
배송지 정보가 저장된 페이지 역시 장기간 다량의 접근이 이뤄졌다. 해당 페이지에는 이용자 본인뿐 아니라 가족이나 지인 등 제3자의 개인정보가 함께 포함돼 있어 실제 노출된 개인정보 주체는 계정 수를 넘어설 가능성이 있다는 분석이다.
임정규 과기정통부 정보보호네트워크정책관은 “쿠팡이 가입자 수를 공개하지 않고 있어 정확한 피해 범위를 특정하긴 어렵지만, 이번 침해 사고의 유출 대상자는 국내 이용자에 한정되지 않고 해외 이용자까지 포함될 수 있다”고 밝혔다.
결제 정보 유출은 확인되지 않았다. 최우혁 과기정통부 정보보호네트워크정책실장은 “현재까지 조사 결과 결제 정보가 외부로 유출된 정황은 확인되지 않았다”며 “결제 시스템은 별도의 망과 보안 체계로 분리돼 있어 이번 침해 범위에는 포함되지 않는다”고 강조했다.
공격이 가능했던 배경으로는 쿠팡의 인증 구조 설계와 키 관리 체계의 허점이 지목됐다. 쿠팡은 로그인 이후 전자 출입증 형태의 인증 토큰을 발급해 서비스를 이용하도록 했으나, 해당 토큰이 정상 발급 절차를 거쳤는지 검증하는 내부 통제가 충분히 작동하지 않았던 것으로 조사됐다. 공격자는 재직 당시 관리하던 서명키를 활용해 인증 토큰을 위조했고, 시스템은 이를 정상 이용자로 인식했다.
서명키 관리 역시 문제로 드러났다. 개발자 퇴사 이후에도 키가 즉시 폐기되거나 갱신되지 않았고, 일부 키는 중앙 키 관리 시스템이 아닌 개인 단말기에 저장돼 있었다. 이동근 부단장은 이와 관련해 “지능화된 공격이라기보다 기본적인 보안 관리가 작동하지 않은 사례”라고 평가했다.
사고 인지 이후의 대응 과정에서도 법 위반 사항이 확인됐다. 쿠팡은 침해 사실을 인지하고도 법에서 정한 24시간 이내 신고 의무를 준수하지 않았으며, 자료보전 명령 이후에도 자동 로그 저장 정책을 유지해 일부 접속 기록이 삭제됐다. 최 실장은 “삭제 사실은 확인됐으나 실제 외부 전송 여부를 입증할 기록은 남아 있지 않다”고 설명했다.
과기정통부는 이번 조사 결과를 토대로 쿠팡에 재발 방지 대책과 이행 계획 제출을 요구하고, 이후 수개월간 이행 여부를 점검할 방침이다. 점검 결과 보완이 필요하다고 판단될 경우 정보통신망법에 따른 시정 명령도 검토할 계획이다.
최연재 기자ch0221@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
