과학기술정보통신부가 쿠팡 침해사고에 대한 민관합동조사단의 조사 결과를 10일 발표했다. 정부는 쿠팡 전직 개발자에 의해 발생한 정보통신망 침해사고와 관련해 “조회 행위 자체가 곧 유출에 해당한다”는 점을 분명히 하며, 단순 열람과 정보 유출을 구분해야 한다는 쿠팡 측 주장과 선을 그었다.
이날 브리핑에서 정부와 조사단은 피해 규모 산정 기준을 비롯해 침해 경로와 해킹 수법, 결제 정보 유출 여부, 그리고 쿠팡의 기존 설명과 조사 결과 간 차이를 놓고 구체적인 설명을 내놨다. 다음은 이동근 민관합동조사단 부단장(KISA 디지털위협대응본부장) 등을 중심으로 한 주요 일문일답이다.
Q. 쿠팡 사이버 침해사고, 타사와 달리 ‘조회’와 ‘유출’을 굳이 나눠 발표한 이유는 무엇인가.
A. 조회와 유출을 기술적으로 명확하게 설명하기 위해 구분했다. 공격자가 특정 페이지에 접속하는 행위를 기술적으로는 ‘조회’라고 표현했지만, 그 순간 고객 정보는 공격자의 시스템, 즉 PC나 노트북, 서버 등으로 전송된다. 따라서 조회는 곧 유출을 의미한다. 법적으로도 개인정보가 시스템의 통제권을 벗어나 타인에게 노출됐다면 유출로 해석한다.
A. 데이터 구조의 차이 때문이다. ‘내 정보 수정’ 페이지는 한 페이지에 성명과 이메일 주소가 한 쌍으로 명확히 존재해 3367만여 건으로 특정할 수 있었다. 반면 배송지 목록 페이지는 한 사람이 최대 20개까지 주소를 등록할 수 있어 구조가 복잡하다. 해당 페이지가 약 1억4800만여 회 조회된 사실은 확인했지만, 그 안에 포함된 개인별 정보 건수와 중복 여부를 정확히 산출하는 데는 시간이 필요하다. 최종적인 상세 규모는 개인정보보호위원회에서 발표할 예정이다.
Q. 카드 번호 등 결제 정보도 유출됐나.
A. 조사 결과, 결제 정보가 유출된 정황은 확인되지 않았다.
Q. 배송지 페이지가 1억 회 넘게 조회됐는데 사람이 직접 접근한 것인가.
A. 아니다. 사람이 일일이 접근할 수 있는 규모가 아니다. 공격자는 스크립트 형태의 프로그램을 만들어 정해진 주소를 따라 웹페이지를 통째로 수집하는 웹 크롤링 자동화 기법을 사용했다.
Q. 공격에 사용된 IP가 2300여 개에 달하는데, 어떻게 활용된 것인가.
A. 추적을 피하기 위해 하나의 IP만 사용하지 않고 다수의 IP를 분산 활용한 것이다. 다양한 IP를 동원해 정보를 조회하고 유출한 흔적이 로그 분석을 통해 확인됐다.
Q. 모의해킹 등을 통해 사전에 차단할 수는 없었나.
A. 쿠팡은 과거 모의해킹 과정에서 일부 문제점을 인지했지만, 지적된 특정 부분만 임시로 조치했을 뿐이다. 관문 서버에서 인증 토큰, 즉 전자 출입증의 위·변조 여부를 전반적으로 검증하는 근본적인 구조 개선은 이뤄지지 않았다.
Q. 공격자가 해외에 있거나 조직적인 배후가 있는 것 아닌가.
A. IP 접속 위치나 공격자의 배후, 조직 여부는 수사의 영역이다. 현재 경찰청에서 수사가 진행 중인 사안으로, 조사단이 구체적으로 답변하기는 어렵다.
Q. 쿠팡이 자체적으로 밝힌 유출 규모와 정부 발표 간 차이가 큰데.
A. 피조사기관의 발표는 하나의 주장일 뿐이다. 조사단은 수치가 맞느냐 틀리냐를 놓고 다투는 것이 아니라, 쿠팡 서버를 직접 정밀 조사해 확인된 객관적인 사실만을 투명하게 공개하고 있다.
Q. 이번 사고 피해 범위가 국내에만 한정된다고 볼 수 있나.
A. 쿠팡이 전체 가입자 수를 공개하지 않고 있어 정확한 범위를 특정하긴 어렵다. 다만 이번 침해 사고의 유출 대상에는 국내 이용자뿐 아니라 해외 이용자가 포함될 가능성도 배제할 수 없다.
최연재 기자ch0221@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
