전화번호 포함 배송지 목록 페이지 1.4805억회 조회
공격자, 과거 관리 인증 시스템 서명키 탈취 후 활용
"쿠팡에 재발방지 대책 계획 제출 요구·이행 여부 점검"
공격자, 과거 관리 인증 시스템 서명키 탈취 후 활용
"쿠팡에 재발방지 대책 계획 제출 요구·이행 여부 점검"
 |
| 자료= 과학기술정보통신부/ 그래픽=박종규 기자 |
10일 민관합동조사단에 따르면 지난해 4~11월 사이 이뤄진 공격으로 쿠팡의 '내 정보 수정 페이지'에서 성명, 이메일이 포함된 이용자 정보 3367만3817건이 유출됐다.
아울러 공격자는 성명을 비롯한 전화번호와 배송지 주소가 포함된 배송지 목록 페이지를 1억4805만6502회, 공동현관 비밀번호가 담긴 배송지 목록 수정 페이지를 5만474회 조회했다. 최근 주문한 상품목록을 볼 수 있는 주문목록 페이지 또한 10만2682회 조회된 것으로 확인됐다.
이번 조사로 사고 당시 쿠팡의 정보보호 체계 내 문제점도 발견됐다. 쿠팡 재직자였던 공격자는 과거 관리하던 이용자 인증 시스템의 서명키를 탈취, 이를 활용해 전자 출입증을 위변조해 서비스에 무단 접속했다. 이 과정에서 전자 출입증의 위변조 여부를 확인하는 절차와 퇴사자의 서명키 갱신 절차 등 내부 관리체계는 부재했다.
최우혁 과학기술정보통신부 정보보호네트워크정책실장은 "쿠팡은 개발과 운영을 분리하지 않고 개발자에게 실제 운영 중인 키 관리 시스템에 접근하도록 권한을 부여하고 있었다"며 "이번 조사단의 조사 결과를 토대로 쿠팡에 재발방지 대책에 따른 이행계획을 제출토록 하고 이행 여부를 점검할 계획"이라고 말했다.
