쿠팡 개인정보 유출 3367만건…인증 취약점 악용 드러나

최우혁 과기정통부 정보보호네트워크정책실장이 10일 서울 종로구 정부서울청사에서 쿠팡 침해사고 민관합동조사단 조사결과 발표 브리핑을 하고 있다.ⓒ뉴시스

쿠팡의 개인정보 유출 피해 규모가 당초 과학기술정보통신부 민관합동조사단이 발표한 3367만건보다 늘어날 가능성이 나오고 있다. 배송지 정보에 포함된 제3자 개인정보와 추가 유출 신고 등이 반영될 경우 피해 규모는 더 커질 것으로 보인다.

민관합동조사단은 10일 쿠팡 침해사고에 대한 조사 결과를 발표했다.

민관합동조사단에 따르면 내정보 수정 페이지에서 성명, 이메일이 포함된 이용자 정보 3367만3817건이 유출된 것으로 파악됐다.

성명, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 배송지 목록 페이지에 1억4805만회 조회해 정보가 유출됐음을 확인했다.

배송지 목록 페이지에는 계정 소유자 본인 외에도 가족, 친구 등 제3자의 성명, 전화번호, 배송지 주소 등 정보가 다수 포함돼 있다.

아울러 성명, 전화번호, 배송지 주소 외에 공동현관 비밀번호가 포함된 배송지 목록 수정 페이지를 5만474회 조회했음을 확인했다.

또 이용자가 최근 주문한 상품 목록이 포함된 주문 목록 페이지를 10만2682회 조회한 것을 파악했다.

조사단은 웹 접속기록 등을 기반으로 유출 규모를 산정했으며 향후 개인정보 유출 규모에 대해서는 개인정보보호위원회에서 확정·발표할 예정이다.

조사단은 사고원인을 정보유출 경로 분석, 공격자 행위 분석 두 가지 측면에서 조사했다.

조사단은 정보유출 경로를 분석한 결과, 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 비정상 접속, 정보를 무단 유출했음을 확인했다.

정상적으로 이용자가 접속하는 경우 이용자는 로그인 절차를 거쳐 전자 출입증을 발급받는다. 쿠팡의 관문서버는 발급받은 전자 출입증이 유효한지 여부를 검증하고 이상이 없을 시 서비스 접속을 허용한다.

공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 후 이를 활용해 ‘전자 출입증’을 위·변조해 쿠팡 인증체계를 통과했다.

그 결과 정상적인 로그인 절차를 거치지 않고 쿠팡 서비스에 무단 접속할 수 있게 됐다고 조사단은 밝혔다.

조사단은 공격자가 재직 당시 이용자 인증 시스템 설계·개발 업무를 수행하면서 이용자 인증체계의 취약점과 키 관리체계의 취약점을 인지하고 있었다고 밝혔다.

쿠팡의 관문서버는 인증절차를 통해 전자 출입증이 정상적으로 발급된 이용자에 한해서 접속을 허용해야 하므로, 전자 출입증이 위·변조됐는지에 대해서도 확인해야 하지만 조사 결과, 관련된 확인 절차가 부재한 상황이었다.

또 쿠팡이 관리하고 있는 서명키는 전자 출입증을 발급하기 위해 사용하는 도구인 만큼, 체계적이고 엄격한 관리체계를 갖춰야 한다.

이에 업무 담당자가 퇴사할 경우 해당 서명키를 더 이상 사용하지 못하도록 갱신 절차가 진행돼야 하나 관련 체계 및 절차가 미비했다.

퇴사 후 공격자는 재직 당시 탈취한 서명키와 내부 정보를 활용해 전자 출입증에 대한 위·변조를 진행한 것으로 조사됐다.

이후 이를 이용해 정상적인 로그인 절차 없이 쿠팡 인증 체계를 통과하면서 본격적인 공격을 위한 사전 테스트를 진행한 것으로 파악됐다.

대규모 정보 유출의 경우 공격자가 사전 테스트를 통해 이용자 계정에 접근이 가능한 사실을 확인한 이후 자동화된 웹크롤링 공격 도구를 이용한 것으로 파악됐다. 이 과정에서 공격자는 총 2313개 IP를 이용했다.

키 관리체계 역시 문제로 지적됐다. 쿠팡은 자체 규정에 따라 서명키를 키 관리시스템에서만 보관하고, 개발자 PC 등에 저장하지 않도록 해야 한다고 명시하고 있다.

그러나 조사단은 현재 재직 중인 쿠팡 개발자가 노트북에 서명키를 저장하고 있어 키 유출 및 오남용 위험이 있음을 발견했다.

또 쿠팡은 서명키를 체계적으로 관리할 수 있도록 발급 내역을 기록·관리하도록 규정하고 있으나 조사단은 키 이력 관리 체계가 부재해 목적 외 사용을 파악하는 것이 불가능함을 확인했다.

조사단은 쿠팡이 내부자(퇴사자)로 인해 서명키와 같은 주요 정보가 탈취될 수 있는 위협에 대한 대응체계가 부재했다고 판단했다.

이와 함께 쿠팡은 개발과 운영을 분리하지 않고 개발자에게 실제 운영 중인 키 관리 시스템에 접근하도록 권한을 부여하고 있었다.

더불어 내부 규정에서 키의 수명(3년 주기)만 정의했고 사용자의 정보 변경에 따른 교체 등 세부적인 운영절차 수립이 미흡했다.

조사단은 “쿠팡은 키 관리·통제 체계 강화 및 운영관리 기준을 명확히 하고, 상시 점검을 실시해야 한다”고 밝혔다.

정보보호 관리체계에 대해서는 “비정상 접속행위 탐지 모니터링을 강화하고, 사고원인 분석 및 피해규모 식별 등 목적에 맞는 로그 저장관리 정책을 수립 및 정비해야 한다. 또 자체 보안규정 준수 여부에 대한 정기 점검을 실시하고 미준수 사항 발생 시 즉각 개선하는 관리체계를 구축해야 한다”고 말했다.