3755만 명 역대 최악 개인정보 유출…회원 가족·지인 등 비회원까지 털렸다
인증 서명키 관리·접근통제 소홀…"고도 해킹 아닌 기본 관리 부실"
조사 시작되자 접속기록 5개월 치 삭제…정부 조사 방해죄 고발에 시정명령까지
[서울=뉴시스]윤정민 기자 = 정부가 3755만명의 개인정보 유출 사고를 낸 쿠팡에 역대 최대 과징금을 부과했다. . 이는 지난해 SK텔레콤 유심 정보 유출 사고 당시 내려진 과징금 1347억원의 4.6배를 웃도는 액수다.
개인정보보호위원회는 10일 전체회의를 열고 개인정보 보호법을 위반한 쿠팡과 쿠팡풀필먼트서비스(CFS)에 총 과징금 6249억2900만원과 과태료 1680만원을 부과하기로 의결했다고 11일 밝혔다. 이와 함께 정부는 시정명령, 결과공표, 개선권고와 함께 검찰 고발 조치까지 단행했다.
이날 전체회의 안건에 올라간 쿠팡 관련 건은 총 3건이다. 이 중 개인정보 유출 사고와 관련해 쿠팡은 과징금 4235억7500만원과 과태료 1680만원을 부과받았다.
◆회원 가족·지인 정보까지 털려…민감한 구매 내역도 포함
조사 결과 쿠팡 회원 3322만명과 비회원 최소 433만명의 개인정보가 유출된 것으로 확인됐다. 전체 유출 규모는 3756만명이 넘는다. 이는 지난 2월 정부 민관합동조사단이 발표한 수치보다 388만명이나 늘어난 규모다.
추가된 피해자는 비회원들이다. 쿠팡 회원이 배송지 목록에 등록해 둔 가족이나 지인의 이름, 전화번호, 주소까지 고스란히 해커에게 넘어갔다.
유출된 정보의 종류와 양도 심각한 수준이다. 회원정보 수정 페이지에서는 이름과 이메일 주소가 유출됐다. 배송지 관리 페이지에서는 회원들이 등록한 배송지 정보 6398만건이 털렸다. 여기에는 이름, 전화번호, 주소, 마스킹된 공동현관 비밀번호가 포함됐다.
일부 페이지에서는 마스킹 처리가 안 된 생 비밀번호가 날것 그대로 유출되기도 했다. 주문 목록 페이지에서는 회원 5만8000명의 주문일, 상품명, 수량, 가격 등 27만건의 내역이 빠져나갔다. 해커가 보낸 협박 메일에는 성인용품이나 속옷 구매 내역 등 민감한 사생활 정보가 다수 포함된 것으로 드러났다.
◆해커 정체는 전직 직원…기본 보안 관리 소홀이 부른 참사
개인정보위는 이번 사고를 고도의 해킹이 아니라 쿠팡의 기본적인 안전관리 체계 미비와 관리 소홀로 발생한 사고로 판단했다.
정보를 빼낸 해커는 과거 쿠팡에서 근무하며 인증 시스템을 직접 개발했던 전직 직원이었다. 그는 퇴사 전 확보한 대체 인증 서명키를 이용해 가짜 인증 토큰을 만들었다. 이후 정상적인 로그인 절차도 거치지 않고 쿠팡 시스템에 자유롭게 드나들며 정보를 훔쳤다.
쿠팡은 이 서명키를 암호화하지 않고 누구나 평문으로 볼 수 있도록 허술하게 관리했다. 키에 접근할 수 있었던 직원이 퇴사했음에도 서명키를 즉각 바꾸거나 폐기하지 않았다.
이상행위를 감지하는 모니터링 시스템도 작동하지 않았다. 해커가 공격을 감행하는 동안 평상시보다 접속량이 급격히 치솟았다. 존재하지 않는 유령 회원 토큰 4400만개를 이용한 비정상 접속이 무더기로 발생했다.
하지만 쿠팡은 고객들의 항의 민원이 접수되기 전까지 이 사실을 전혀 몰랐다. 해커는 단 16개의 인터넷 주소(IP)만으로 1억4800만회에 달하는 공격을 시도했다. 특히 6월 한 달 동안에만 1억1700만 번의 공격이 집중됐으나 쿠팡 보안망은 뚫린 채 방치됐다.
◆증거자료 수동 삭제…정부 조사 방해하고 유출 통지도 기피
쿠팡은 유출 사고 이후 대응 과정에서도 총체적 부실을 드러냈다. 추가 유출 사실을 인지하고도 법정 시한인 72시간을 넘겨 늑장 통지를 했다. 특히 주소와 전화번호가 털린 비회원들에게는 유출 사실을 전혀 알리지 않았다. 정부가 수차례 유출 통지를 촉구했으나 쿠팡은 끝내 이행하지 않았다. 이로 인해 비회원들은 2차 피해를 예방할 기회를 잃었다.
개인정보 파기 의무도 지키지 않았다. 쿠팡은 내부 규정상 탈퇴 회원의 배송지 정보를 즉시 파기해야 한다. 그러나 탈퇴 회원 배송지 정보 246만건을 그대로 쌓아두었고 이 중 일부가 실제로 유출됐다. 탈퇴 회원의 계좌번호 31만건과 발송용 DB에 복사해 둔 개인정보도 파기하지 않고 보관해왔다.
정부 조사를 고의로 방해한 정황도 포착됐다. 정부가 조사에 착수하며 증거자료 보전 명령을 내리자 쿠팡은 약 5개월 분량의 웹 접속 로그를 수동으로 삭제했다. 앱 로그가 자동으로 지워지도록 설정된 정책도 중단하지 않았다. 이 때문에 정확한 유출 규모와 피해 범위를 확인하는 데 큰 차질이 빚어졌다.
정부는 쿠팡에 인증체계 전반의 키 관리 시스템을 전면 정비하고 비회원들에게도 유출 사실을 즉각 통지하라는 시정명령을 내렸다. 또한 이번 처분 결과를 쿠팡 홈페이지에 의무적으로 띄우도록 명령했다.
송경희 개인정보위 위원장은 "이번 처분이 국민 생활과 밀접한 온라인 플랫폼 기업들의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바란다"며 "앞으로도 플랫폼 내에서 국민의 개인정보를 안전하게 보호할 수 있는 환경을 만들기 위해 강력하게 대응하겠다"고 강조했다.
◎공감언론 뉴시스 alpaca@newsis.com