과태료 부과 및 시정명령 등 강력 조치 예고개발자 퇴사 후 인증키 갱신 안 한 점 밝혀져공동현관 비밀번호 등 민감정보 무단 노출
);)
과학기술정보통신부는 10일 쿠팡 정보통신망 침해사고에 대한 민관합동조사단의 조사 결과를 발표했다.
조사 결과에 따르면, 이번 사고의 공격자는 쿠팡에서 이용자 인증 시스템을 설계·개발했던 전직 직원으로 밝혀졌다. 그는 재직 당시 인증 서버의 서명키를 탈취한 뒤, 퇴사 후 이를 활용해 '전자 출입증' 역할을 하는 인증 토큰을 위·변조하여 쿠팡 시스템에 무단 접속했다.
공격자는 2025년 4월부터 11월까지 약 7개월간 자동화된 공격 도구를 사용해 대규모 정보를 유출했다. 민관합동조사단의 분석 결과, 구체적인 유출 내역을 살펴보면 우선 '내 정보 수정' 페이지에서 이용자의 성명과 이메일 주소 등 3367만3817건의 정보가 유출된 것으로 파악됐다. 또한, 성명과 전화번호, 주소 등이 포함된 배송지 목록 페이지는 총 1억4805만6502회에 걸쳐 조회가 이루어졌다.
특히 단순 인적 사항을 넘어 민감한 정보도 함께 노출됐다. 성명과 주소는 물론 공동현관 비밀번호까지 포함된 배송지 수정 페이지가 5474회 조회됐으며, 이용자가 최근에 구매한 물품을 알 수 있는 주문 목록 페이지도 10만2682회 무단 조회된 것으로 확인됐다.
조사단은 이번 사고가 쿠팡의 총체적인 보안 관리 부실에서 비롯됐다고 지적했다. 쿠팡은 인증 토큰의 유효성을 검증하는 체계를 갖추지 않았으며, 개발자가 퇴사했음에도 인증 서명키를 즉시 갱신하지 않고 운영해 온 것으로 드러났다.
특히 쿠팡의 사후 대응도 도마 위에 올랐다. 쿠팡은 사고를 인지한 시점으로부터 24시간 이내에 신고해야 하는 법적 의무를 위반하고 이틀이 지나서야 신고했다. 또한, 정부가 자료 보전 명령을 내렸음에도 불구하고 자동 로그 저장 정책을 수정하지 않아 약 5개월 분량의 웹 접속 기록이 삭제되는 등 조사를 방해한 정황도 확인됐다.
과기정통부는 신고 지연에 대해 과태료를 부과할 예정이며, 자료 보전 명령 위반과 관련해서는 수사기관에 수사를 의뢰했다.
배경훈 과기정통부 장관은 "이번 사고는 국내 최대 전자상거래 플랫폼에서 발생한 중대한 침해 사고"라고 규정하며, 쿠팡에 재발 방지 대책 이행 계획을 제출하도록 명령했다. 정부는 오는 6~7월 중 이행 여부를 점검해 보완이 필요한 경우 시정조치 명령을 내릴 방침이다.
한편, 개인정보보호위원회는 이번 사고로 인한 개인정보 유출 규모와 법 위반 여부를 조사 중이며, 경찰청 또한 증거물 분석 등 본격적인 수사를 진행하고 있다.
뉴스웨이 조효정 기자
queen@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지
);){kind=link}
댓글