[쿠팡 사태⑤] "조회도 유출"…지능형 해킹 아닌 ‘관리 부실’ 결론

쿠팡 개인정보 침해 사고와 관련해 정부 민관합동조사단은 “조회된 개인정보는 모두 유출로 봐야 한다”며 전체 유출 규모를 3367만 건으로 공식 확인했다. 

조사단은 이번 사고를 고도화된 해킹이 아닌 인증체계·키 관리 부실 등 내부 보안 관리 실패로 규정하고, 쿠팡이 주장해온 ‘3천여 건 유출’ 주장은 조사 과정 중 하나일 뿐이라고 선을 그었다. 

또 현재까지는 결제 정보가 유출되지는 않은 것으로 잠정 결론지었다.

다음은 쿠팡 침해사고 민관합동조사단 조사결과 브리핑 일문일답. 

Q. 사건 발생 후 조사결과 발표까지 시간이 많이 걸린 이유는 무엇이냐. 쿠팡이 협조를 안 한 부분이 있는 건지, 조사하는 그런 범위가 달랐던 것인지. 중국인에 대해 조사는 이뤄졌는지. 쿠팡 사건 관련 국가정보원 지시 여부는 사실인지. 

최우혁 과학기술정보통신부 정보보호네트워크정책실장: 처음에 쿠팡의 자료 협조가 미진한 부분이 있었는데 이후에는 신속하게 대응을 해왔다. 시간이 걸리는 것은 데이터가 방대하기 때문. 기초 데이터의 숫자량이 많았기 때문에 조사하는데 어려움이 있었다. 중국인 조사 여부는 저희 영역이 아니다. 국정원 관련 사항은 국정원에 문의해달라. 

Q. 정부가 쿠팡 개인정보 유출 규모에 대해 유출과 조회 두 단어로 나눴다. 이는 법적 책임을 구분하기 위함인지. 유출에 한해서만 법적으로 책임이 더 커지고 조회 건은 처벌이 낮아질 가능성이 있는지. 쿠팡이 전체 회원 수를 공개하지 않았는데 사실상 전 회원이 다 피해를 입은 거로 봐도 되는지. 

최 실장: 유출과 조회는 법적으로 차이가 있는게 아니다. 조회가 유출을 의미한다. 조회라고 책임이 가벼워지는 것은 아니다. 쿠팡 전체 가입자 수에 대해서는 확인이 불가능해 정보 유출 피해자가 쿠팡 전체 가입자인지는 자체적으로 판단해 설명하기 어렵다.

Q. 현재 회원과 비회원 피해 비중이 나온 것이 있는지. 최근 쿠팡이 16만5000여 건 계정 유출을 추가 확인했다고 발표했는데 이런 발표를 공식적으로 생각하시는지 쿠팡의 자체 조사로 보고 있는지. 

최 실장: 저희는 침해 사고에 대한 원인 분석, 그 다음에 포괄적인 유출 정보 범위에 대한 부분, 재발 방지 대책을 내는 기관이다. 회원과 비회원의 유출 규모는 아직 개보위가 발표하지 않았다. 구체적으로 보려면 개보위의 발표를 기다려 줘야할 것 같다. 

Q. 이번에 발표했던 3367만건이 당초 정부가 발표했던 3370만건 범위로 이해하면 되는지. 쿠팡이 3000여 건만 저장됐다가 삭제됐다는 발표를 했는데 이 주장에 대한 진위 여부는 어떻게 되는지. 추가 유출 16만5000여 건은 이번에 발표한 3367만건에 포함되지 않는 건지. 

지난주 금요일 국회 좌담회 이후 나흘 만에 최종 브리핑이 나왔는데, 최근 미국 의회 중심으로 제기되는 쿠팡 차별론, 디지털 무역 장벽 논란을 의식할 수 밖에 없었던 건지?

최 실장: 유출된 개인정보가 3000여 건이라는 것은 쿠팡이 이야기한 것이다. 저희에게는 참고 요소일 뿐이고, 쿠팡 서버를 다 뒤져서 외부 공격자가 얼마만큼 확인되고, 얼마만큼 (정보가) 조회·유출됐는지를 오늘 말씀드렸다. 

16만5000여 건에 대해서는 3367만 건 이외인 것으로 쿠팡이 밝혔고, 이는 저희도 인지하고 있었던 부분이다. 개보위에서 최종적으로 얼마만큼 개인정보 유출이 일어났는지 정리를 할 것이다. 

초창기에 어렴풋이 본 숫자가 3370만건 정도였고, 최종적으로는 3367만건으로 이해해주면 된다. 

Q. 쿠팡 사태 개인정보 유출에 IP가 2000개 정도 사용됐다고 하는데, 이 과정에서 IP 구체적으로 어떻게 사용됐는지. 

이동근 민관합동조사단 부단장: IP는 공격자가 (개인정보를) 유출할 때 사용했 IP가 로그에 남아있던 것을 뽑은 것이다. 숫자가 여러 개 나오는데 추정하기로는 해커가 하나의 IP만 사용한 것이 아니라 다양한 IP를 써서 정보를 유출했고 그 증거를 찾았다고 보면 된다. 

Q. 조회를 유출로 본다고 말했는데, 이를 굳이 나눈 이유는 무엇인지. 차이를 좀 더 명확하게 설명해달라. 

공격자의 수법이 전자출입증을 생성해 개인 페이지를 하나하나 들어가서 다 웹크롤링 한 건지.

이 부단장: 조회, 유출 관련해서는 자료에서 볼 수 있듯이 '조회해서 유출'로 돼 있다. 조회라고 표현한 이유는 들어가는 순간 보이는 것처럼 고객 정보를 다 본 시스템, 예를 들어 공격자의 PC라든지 노트북이라든지, 서버라든지 그런 쪽으로 다 전송되기 때문에 그렇게 표현했다. 

1억 건이나 되는 것을 다 사람이 들어가서 할 수는 없다. 웹크롤링이라고 해서 자동화된 기법을 사용했고 공격자는 스크립트 형태로 프로그램을 짜고 정해진 주소를 입력하면 그 주소에 가서 웹 페이지를 통째로 긁어와서 개인정보나 기타 정보들을 추출하는 수 있는 방식을 사용했다고 보면 된다. 

Q. 이번 사고가 전 직원의 소행인데, 이를 관리 소홀이라고 보는 시각이 맞는지 아니면 지능화된 해킹으로 봐야하는지.

그럼 조회로 숫자가 세어진 것은 유출이 안됐다고 봐야하는 건지. 

최 실장: 저희가 인증체계 관련 이 문제점도 강하게 질타하고 지적했다. 키 관리시스템도 제대로 안되고 있는 부분도 정확히 지적했다. 이는 분명히 관리의 문제다. 지능화된 공격으로 보기는 어렵다. 

Q. 1억4000여 회로 표현된 것이 일단은 횟수로 확인 된 것만 발표한 것인지. 건수 등도 최종적으로 개보위의 판단을 거쳐 나온다고 보면 되는 건지 아니면 판단하기 어려운 상황으로 보이는지. 

웹 로그 분석 결과 접속기록을 확인했다고 발표했는데, 접속한 위치도 확인이 되는 것인지. 

최 실장: 1억4000여 건을 조회했다. 조회된 정보는 유출된 것으로 보고 있다. 그 다음 개인정보에 대한 3367만건은 개보위나 경찰청, 저희(과기정통부)도 숫자를 동일하게 보고 있다. 거듭 말했듯이 개보위의 발표를 기다려달라. 

(공격자의 접속 위치는) 수사와 관련된 건이라 정확하게는 어떤 국가라든지 이런 건 말씀드리기 어렵다. 

Q. 쿠팡이 주장한 개인정보 유출 3000여 건에 대해서는 유출 범위를 축소하려는 시도로 해석될 여지가 있는지. 법적으로 문제가 될 소지는 없는지. 

최 실장: 피조사기관이 하는 것은 하나의 주장일 뿐이다. 그 주장에 대해 조사를 하고, 검증을 하고 체크를 해서 국민들에게 투명하게 조사결과를 발표하는 것이 조사단의 의무다. 그들의 이야기하는 부분은 저희가 평가할 것은 아니고, 이를 엄정하고 투명하게 조사할 뿐이다. 

또 숫자가 조사결과보다 적다고 해서 처벌하는 규정은 없다.

Q. 공격자가 지금까지 확인된 바로는 1명이 맞는지. 배후에 다른 조직이 있거나 이런 것은 없는지. 1명에 의해 이렇게 큰 규모의 개인정보가 유출됐다는 것도 심각한 문제인 거 같은데 이 부분에 대해서는 어떻게 보는지.  

최 실장: 이는 수사의 영역이다. 지금 공격자가 1명이다, 여러 명이다 이렇게 말씀드릴 수 있는 정보가 저희에게 있지 않다. 나중에 경찰의 (수사) 결과를 봐주셔야 한다.  

Q. 서명 키가 개발자의 개인 노트북에 저장된 사실을 적발했다고 하는데, 확인한 시점은 언제인지. 부적절하게 보관해 온 개발자라든지 직원 규모를 몇 명 정도로 보는지. 

모의 해킹에서는 쿠팡 측이 인증체계의 구조적 결함을 임시방편으로 일부만 막았다고 본 거 같은데 구체적으로 어떤 내용인지. 

이 부단장: 전 재직자는 이번에 문제가 됐던 키가 포함된 시스템을 직접 개발할 때 참여했던 인물이다. 숫자를 명확하게 말하기는 어렵지만, 팀에 있는 멤버들이 업무를 확인한 결과 키를 저장하고 있는 것으로 확인했다. 과거에도 퇴사한 공격자가 동일한 형태의 업무를 했기 댐누에 키를 저장할 수 있었고, 저희가 지적했던 키 관리가 전반적으로 이뤄지지 않았다는 부분이다. 몇 명이 이를 가지고 있는 지는 말씀드리지 어렵지만, 이력관리가 잘 안되는 부분이 있다. 

근본적으로는 토큰을 가지고 공격자가 할 수 있는 경로상에서 문제점들을 진단하고 제거했어야 되는데 모의해킹한 부분에 대해서만 집중 관리하다보니 토큰을 검증하는 체계에 대해서는 전혀 검토가 이뤄지지 않아서 이번 사고와 연결됐다고 말씀드릴 수 있다. 

Q. 유출과 조회가 계속 헷갈리는 것이 보통은 유출이다. 이번에는 조회를 했다는 점이 혼란을 주는데, 1억4000여 건을 조회했다는 점을 고려하면 특정인의 배송지 목록 페이지에는 여러명이 있을 수 있다. 이를 곱하면 실제 유출정보는 많을 거 같다. 

이 부단장: 3367만건이라고 명시한 부분은 '내 정보 수정하기'의 성명과 이메일을 쌍으로 계산했다. 이 숫자에 대해서는 웹 접속 기록상 정확하게 식별해서 구별할 수 있는 데이터가 있어 (저희가)셀 수 있었다. 

그러나 배송지 주소는 상당히 복잡하게 돼 있다. 안에 등록돼 있는 개수도 많고, 최대 20개까지 등록돼 있다. 그 숫자를 지금 다 산정해서 발표한다면 시간이 많이 걸릴 수 있다 보니 조회한 순간 정보가 통제권 밖으로 나가기 때문에 1억4000여 건을 조회해서 유출했다고 말씀드렸다. 정확한 개별 건들은 향후 개보위가 발표할 숫자다.  

임정규 민관합동조사단장: 배송지 목록을 보면 한 페이지에 어떤 사람은 주소를 하나만 넣은 사람이 있고, 주소를 20개 넣은 사람이 있다. 이를 하나부터 20개까지 분류할 수 있는데 저희는 조회한 한 페이지를 하나로 본 것이다. 그래서 이것을 1억4000여 건 조회했다고 발효한 것이다. 

Q. ISMS-P 접근 권한별 직무 분리와 암호 정책 수립이 미흡한 것을 확인했다고 했는데, 인증 취소도 검토하는지. 

최 실장: (쿠팡은) ISMS-P 인증 기준에 미달하는 부분이 있었다. 통상적인 절차는 인증 기준 미달에 대해 보완조치를 요청한다. 보완 조치 이후에도 개선이 안 돼 있으면 그 다음에 시정 명령을 하고, 안하면 취소하는 절차를 진행한다. 

ISMS-P는 기업에서 정보보호를 사전적으로 잘 대비하는 체계를 갖추라는 의미이기 때문에 취약점, 미달 기준이 나왔을 때 이를 보완하는 것을 가장 우선으로 하고 있다. 

Q. 쿠팡은 유출된 개인정보가 3000여 건이라고 주장하고 하는데, 이를 잘못된 수치라고 보는지. 2차 피해가 없다고 주장하는데, 조사 과정에서 유출된 정황이나 사례는 없는지. IP가 조회된 장소가 해외, 중국일 가능성도 있는지.  

최 실장: (쿠팡이 주장한) 3000여 건은 조사하는 과정의 하나일 뿐이다. 이에 대해 지금 수치가 맞다, 틀리다 말하는 것은 불필요하다. 2차 피해에 대한 부분은 현재까지 확인한 바로는 다크웹 등에서 확인하지 못했다. 

IP 조회 장소 등은 수사와 연계된 부분이 있어 경찰과 정보 공유를 한 상황이다. 이 부분에 대해서는 서울지방경찰청으로 문의를 해달라.  

Q. 유출자가 외부 서버 전송이 가능한 공격 스크립트를 작성한 것으로 확인됐다. 유출자가 의도적으로 외부 서버 전송 기능을 포함시켰다고 봐야 하는지 아니면 자동 기능인지. 

데이터 외부 전송기록이 남아있지 않은 이유가 무엇인지, 유출자나 쿠팡 측이 기록을 삭제한 것인지. 전자출입증을 1대 1로 위변조한 것이 맞는지. 

최 실장: 쿠팡으로부터 제출받은 공격자의 하드디스크와 SSD에 포함된 내용을 포렌식했다. 이곳에서 공격자가 제작한 것으로 보이는 스크립트를 확인했고 이 스트립트에 외부 클라우드를 연동하는 기능이 있었다. 이 기능 자체가 정보를 가지고 오면 그쪽으로 보내는 기능이 있었기 때문에 기능상으로는 클라우드를 이용하는 것으로 보인다. 

제출받은 하드디스크상에서 직접적으로 통신한 기록이 남아있지는 않았고 남아있지 않은 이유는 로그가 일부 삭제됐을 수 있다. 삭제의 흔적도 있는데 그게 정확히 로그라고 단정할 수 있는 것까지는 남지 않았다. 

이 부단장: 토큰을 위변조했을 때 매번 접속할 때마다 새로 생성해서 사용했다. 토큰 구조상 고유번호가 들어가야 한다. 그 번호를 넣을 때마다 새로 서명 키, 일종의 도장을 찍고 만들어야 되기 때문에 접속할 때마다 이런 형태의 토큰을 생성햇다고 보면 된다.  

Q. (이번 사태의) 유출 규모나 보안 관리 부실에 대해 처벌이 적다는 느낌이 있다. 정보통신망법상 신고 지연 외에 관리 부실 등으로 더 처벌할 수 있는 법적 근거는 없는지. 

최 실장: 과징금은 개보위의 영역이다. 정보통신망법상에서는 지연 신고, 그 다음 재발 장지 대책에 대해 적절하지 않다는 문제가 있다면 과태료에 대한 부분만 지금 조치할 수 있다. SK텔레콤 때 조사한 것을 보면 동일한 수준까지 밖에 안된다. 앞으로 법 개정에 따라 침해 사고에 대해서 과징금을 물릴 수 있도록 입법이 진행되고 있다. 국회에서 입법이 되고 나면 침해 사고에 대해 나중에는 과징금을 물릴 수 있는 제도가 만들어질 것이다. 

관련기사

Q. 결제 정보는 유출된 게 확인된 바 없는지. 

최 실장: 저희가 조사한 사항으로는 없는 것으로 알고 있다.