이용자 인증 취약점 악용해 3367만 건 이름·이메일 및 배송지 정보 유출
퇴사자 ‘서명키’ 미갱신, 개발자 노트북 내 하드코딩 등 총체적 관리 부실
자료 보전 명령에도 ‘로그 삭제’해 정부, 수사 의뢰 및 과태료 처분

[보안뉴스 조재호 기자] 쿠팡에서 전 직원의 소행으로 3300만건 이상의 이용자 정보가 유출됐다. 퇴사자가 반출한 ‘서명키’를 막지 못했고, 정부의 자료 보전 명령 이후에도 접속 기록을 삭제하는 등 허술한 보안 실태가 드러났다.


과학기술정보통신부와 한국인터넷진흥원(KISA)은 10일 ‘쿠팡 침해사고 민관합동조사단’의 조사 결과를 발표하고, 이번 사고가 이용자 인증 체계 취약점과 키 관리 부실이 결합된 인적 사고라고 밝혔다.

“퇴사자가 만든 ‘가짜 출입증’에 속수무책”... 인증 체계 붕괴
조사 결과, 공격자는 쿠팡의 전직 소프트웨어 개발자로 확인됐다. 그는 재직 당시 다루던 이용자 인증 시스템의 ‘서명키’를 탈취한 뒤, 퇴사 후 이를 악용해 ‘전자 출입증’(인증 토큰)을 위·변조했다.

문제는 쿠팡의 검증 시스템이었다. 정상적인 절차를 거치지 않은 위·변조 출입증이었음에도, 관문 서버는 유효성을 검증하지 않고 통과시켰다. 이를 통해 공격자는 정상 로그인 없이 이용자 계정에 접근했고, 자동화된 공격 도구(웹 크롤링)를 이용해 대규모 정보를 긁어모았다.

과기정통부에 따르면 공격자는 2025년 4월 14일부터 11월 8일까지 약 7개월간 은밀하게 정보를 유출했다.

이름·주소부터 ‘현관 비번’까지... 1.4억 회 무단 조회
유출된 정보의 규모는 방대하다. 조사단이 웹 접속 기록을 분석한 결과, ‘내정보 수정 페이지’에서 성명과 이메일이 포함된 정보 3367만3817건이 유출된 것으로 확인됐다.

민감한 생활 정보도 다수 포함됐다. 공격자는 배송지 목록 페이지를 1억4805만 회 이상 조회했는데, 본인뿐만 아니라 가족·지인의 성명, 전화번호, 주소가 포함됐다. 게다가 5만여회 조회된 ‘배송지 목록 수정 페이지’에서는 공동현관 비밀번호까지 평문으로 노출된 것으로 드러나 2차 피해가 우려된다.

최근 주문 상품 목록이 담긴 페이지도 10만회 이상 조회됐다. 보다 정확한 개인정보 유출 규모는 추후 개인정보보호위원회가 확정할 예정이다.

노트북에 ‘키’ 방치하고 로그는 삭제... 보안 거버넌스 실종
이번 해킹 사태는 쿠팡의 허술한 보안 관리 체계가 근본 원인으로 지목된다. 쿠팡은 중요 보안 자산인 ‘서명키’를 개발자 노트북에 하드코딩해 보관하는가 하면, 해당 직원이 퇴사했음에도 키를 갱신하지 않고 방치했다. 모의해킹에서 취약점을 발견하고도 근본적인 조치를 취하지 않은 사실도 확인됐다.

사고 대응 과정에서도 위법 사항이 적발됐다. 쿠팡은 침해사고를 인지한 시점인 지난해 11월 17일부터 24시간이 지난 뒤에야 KISA에 늑장 신고했다. 과기정통부가 원인 분석을 위해 자료 보전을 명령했지만, 웹 및 애플리케이션 접속 기록을 삭해 조사를 방해한 사실도 드러났다.

과기정통부는 신고 지연에 대해 과태료를 부과하고, 자료 보전 명령 위반에 대해서는 경찰에 수사를 의뢰했다. 아울러 쿠팡 측에 재발방지 이행계획을 제출받아 오는 6월까지 점검할 계획이다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>