퇴사직원, 탈취한 서명키로 현관비번·배송지 1억5천만회 조회

정부, 쿠팡 침해사고 경위 발표
공격자 '서버 인증' 취약점 악용
이용자 외 지인 정보까지 들여다봐
쿠팡에 재발방지 이행계획 요구
업계 "쿠팡 소명과 큰 차이는 없어"

3367만여건에 달하는 개인정보가 빠져나간 쿠팡 사태는 지금껏 국내에서 발생한 전자상거래 플랫폼 침해사고 중 최대 규모다.

개인정보 탈취에 악용된 전자 출입증 서명키가 쿠팡 개발자 노트북에 저장되고, 퇴사한 직원 서명키 사용이 가능할 정도로 쿠팡의 보안관리체계는 허점투성이였다. 쿠팡이 내부 보안에 손을 놓은 사이 공격자는 이용자 본인의 주소, 공동현관 비밀번호뿐 아니라 가족·친구 등 제3자 성명, 전화번호, 배송지 주소 등을 자유자재로 들여다봤다.

■위조된 전자출입증 못 걸렀다

10일 민간합동조사단이 쿠팡 정보유출 경로를 분석한 결과에 따르면 공격자는 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 비정상 접속해 정보를 무단 유출한 것으로 파악됐다.

공격자는 퇴사 후 재직 당시 탈취한 서명키와 내부 정보를 활용해 전자출입증에 대한 위·변조를 진행해 정상적 로그인 절차 없이 쿠팡 인증 체계를 통과했다.

통상 이용자는 로그인 절차를 거쳐 일종의 전자출입증을 발급받아야 서버에 정상 접근이 가능하다. 쿠팡 관문 서버는 해당 전자출입증 유효 여부를 검증한 뒤 이상이 없으면 서비스 접속을 허용하는 방식으로 가동된다. 그러나 쿠팡은 전자출입증의 위·변조 여부를 확인하는 절차가 없었다.

전자출입증 발급에 필요한 서명키 관리 체계도 부재했다. 서명키는 '키 관리시스템'에서만 보관하고, 개발자 PC 등에 저장하지 않도록 해야 한다는 쿠팡 자체 규정에도 재직 중인 쿠팡 개발자가 노트북에 서명키를 저장한 것으로 드러났다.

또 업무 담당자가 퇴사할 경우 해당 서명키를 더 이상 사용하지 못하도록 갱신하는 체계나 절차를 갖추지 않았다. 서명키 발급 이력 관리 체계도 없어 목적 외 사용을 파악하는 것이 불가능했다.

특히 쿠팡은 위·변조된 전자출입증을 활용한 비정상 접속행위가 발생했는데도 해당 공격 행위를 통한 정보유출을 탐지·차단하지 못했다. 접속기록을 일관된 기준 없이 저장·관리해 피해 이용자 식별 및 정보유출 규모 산정 파악에도 어려움을 겪었다.

공격자는 과거 쿠팡 재직 당시 이용자 인증 시스템 설계·개발 업무를 맡아 이용자 인증체계 및 키 관리체계 취약점을 인지하고 있었다. 허술한 내부 보안 체계를 파악하고 있던 공격자에게 쿠팡은 손쉬운 먹잇감이었던 셈이다. 공격자는 사전 테스트를 통해 이용자 계정에 접근이 가능한 사실을 확인한 후 자동화된 웹크롤링 공격 도구를 통한 대규모 정보를 빼냈다. 이때 사용한 IP는 2313개에 달했다.

■외부 전송 증거 못 찾아

다만 조사단은 핵심 쟁점이었던 '외부 클라우드 전송' 여부는 명확한 결론을 내놓지 않았다. 공격자가 고객 정보를 외부로 전송했다는 뚜렷한 흔적을 찾지 못한 것인데, 향후 2차 피해 가능성을 완전히 배제할 수 없게 됐다.

최우혁 과학기술정보통신부 정보보호네트워크정책실장은 "공격자가 유출 정보를 해외 소재 클라우드 서버로 전송할 수 있는 기능은 확인했지만, 실제 전송 여부는 관련 기록이 남아 있지 않아 확인할 수 없다"고 말했다. 앞서 쿠팡은 지난해 12월 25일 자체 조사 결과를 통해 공격자가 단독으로 범행을 저질렀고, 약 3000개 계정의 제한적인 고객 정보를 개인 PC와 노트북에만 저장했으며 외부로 전송하지 않았다고 발표했다.

이후 이 같은 조사 결과를 두고 이른바 '셀프조사' 논란이 불거지며 외부 저장 가능성에 대한 의문이 제기됐다. 업계 일각에서는 "이번 조사 결과가 쿠팡의 기존 설명과 결과적으로 큰 차이는 없다"는 의견과 "외부 전송이 없었다고 단정하기보다는 정부 조사에서도 확인 가능한 외부 유출 증거를 확보하지 못했다는 수준으로 봐야 한다"는 시각이 엇갈리고 있다.

과기정통부는 이달 중 쿠팡에 재발방지 대책에 따른 이행계획 제출을 요구하고, 오는 7월까지 이행 여부를 점검할 계획이다.

mkchang@fnnews.com 장민권 이정화 기자