퇴사자 서명키 활용해 접속했지만 이상 감지 못해
공격자, 지난해 1월 테스트 시도도…"취약점 인지"
"침해사고, 쿠팡 보안관리 문제…지능적 수법 없어"
신고 지연·자료보전 명령 위반…법적 조치 예정
공격자, 지난해 1월 테스트 시도도…"취약점 인지"
"침해사고, 쿠팡 보안관리 문제…지능적 수법 없어"
신고 지연·자료보전 명령 위반…법적 조치 예정
|
![[포토]쿠팡 침해사고 민관합동조사단 조사결과 발표하는 최우혁 실장](https://img.asiatoday.co.kr/file/2026y/02m/11d/2026021001000698000037821.jpg)
10일 최우혁 과학기술정보통신부 정보보호네트워크정책실장은 정부서울청사에서 열린 민관합동조사단 조사결과 브리핑에서 "지난해 있었던 공격자(정보를 유출한 전 쿠팡 직원)의 쿠팡 서비스에 대한 무단 접속을 지능적인 수법을 통한 공격으로 보기는 어렵다"며 "이번 침해사고는 쿠팡의 인증 체계와 서명키 시스템 등 관리의 문제로 볼 수 있다"고 밝혔다.
이번 침해사고에서 공격자는 과거 쿠팡 재직 당시 관리했던 서명키를 탈취한 후 전자 출입증을 위변조하는 한편, 내부 정보를 활용해 이번 공격을 시도했다. 공격자가 이 같은 과정을 통해 공격을 시도하는 사이 쿠팡 내부에서 별도의 로그인 절차나 전자 출입증의 위변조 여부를 확인하는 확인 체계는 없었다.
또 담당자 퇴사에 따른 서명키 갱신 등 관련 체계와 절차 역시 미흡했다. 특히 민관조사단은 공격 시점 이전인 지난해 1월 쿠팡 서비스에 대한 공격 테스트를 진행한 접속기록을 확인, 공격자가 정보보호 체계의 취약점을 인지한 것으로 판단했다. 조사단 조사에 따르면 쿠팡은 최근까지도 직원 개인 노트북에 서명키가 저장되는 등 회사 내부의 보안 관리와 지침이 미비한 사실이 확인되기도 했다.
쿠팡은 사고 이후 대응에서도 신고를 지연하고 자료보전 명령을 위반하는 등 미흡한 모습을 보이며 법적 조치를 받게 됐다. 쿠팡은 정보보호 최고 책임자(CISO)가 침해사고를 보고받은 후 24시간 안에 한국인터넷진흥원(KISA)에 신고를 해야 하는 정보통신망법을 어기고 이틀이 지난 지난해 11월 19일에서야 신고했다. 또 과기부가 자료보전을 명령했음에도 접속기록의 자동 로그 저장 정책을 조정하지 않아 2024년 7~11월간 분량 웹 접속기록이 삭제됐다.
한편 쿠팡과 정부 사이 수치가 엇갈려온 이번 침해사고의 피해 규모는 이날 조사결과 발표로 일단락됐다. 쿠팡이 자체조사를 통해 발표한 피해 규모인 3000여 명을 참고한 민관조사단은 25.6테라바이트(TB) 규모의 쿠팡 웹 및 애플리케이션 접속기록(로그) 데이터 분석을 통해 우선적인 피해 규모를 산정했다. 최종 개인정보 유출규모는 개인정보보호위원회에서 확정해 발표할 예정이다.
학계는 쿠팡 침해사고를 계기로 국내 기업의 내부 직원에 대한 정보 접근 절차와 국가 인증제도의 고도화가 이뤄져야 한다고 지적한다.
이성엽 고려대 기술경영전문대학원 교수는 "이번 사고는 이례적으로 내부 직원에 의해 정보가 유출된 사고로, 과거 침해사고와 궤를 달리 한다"며 "향후 다른 기업에서도 내부 직원의 사용자 정보 접근에 대한 절차를 보다 엄격히 할 필요가 있다"고 말했다.
이어 "쿠팡 역시 정보보호 및 개인정보보호 체계를 인증하는 제도인 'ISMS-P' 인증을 받은 기업인데, 이번 사고로 그 무용성이 밝혀졌기에 정부 차원에서 인증에 대한 현장 점검이나 모의 해킹 테스트 등 사후 검증을 하는 등 제도의 개선이 필요하다"고 덧붙였다.
