KTV 편성개방
쿠팡 침해 사고로 인한 개인정보 유출 규모가 3천3백만 건에 달하는 것으로 조사됐습니다.
서버 인증의 취약점을 노린 쿠팡 전 직원이 무단으로 침입해 정보를 유출한 것으로 드러났습니다.
김유리 기자입니다.
김유리 기자>
지난해 11월 발생한 쿠팡 침해사고의 추가 피해 여부가 파악됐습니다.
민관 합동 조사 결과, 쿠팡 전 직원이 유출한 개인 정보가 3천만 개를 넘어선 것으로 확인됐습니다.
전화번호, 배송지 주소, 비식별화된 공동현관 비밀번호 등이 포함된 '배송지 목록 페이지'의 경우 약 1억4천806만 회 조회가 이뤄진 걸로 나타났습니다.
이용자가 최근 주문한 상품목록인 '주문목록 페이지'도 10만 회 이상 조회됐습니다.
조사단은 고객 정보를 빼간 쿠팡 전 직원의 유출 경로 분석 결과도 발표했습니다.
쿠팡 서버의 인증 취약점을 악용해, 정상적인 로그인 없이 비정상 접속한 걸로 드러났습니다.
녹취> 최우혁 / 과학기술정보통신부 정보보호네트워크정책실장
"공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 후 이를 활용해 전자 출입증을 위·변조하여 쿠팡 인증 체계를 통과하였습니다. 그 결과, 정상적인 로그인 절차를 거치지 않고 쿠팡 서비스에 무단 접속할 수 있게 되었습니다."
조사단은 재발방지 대책으로 정상 발급 절차를 거치지 않은 '전자 출입증'에 대한 탐지와 차단 체계를 도입할 것을 지시했습니다.
쿠팡의 키 관리체계도 부실했습니다.
공격자가 이용자 인증 관련 시스템 개발자임에도 퇴사 이후, 쿠팡은 서명키를 즉시 갱신하지 않은 채 운영했기 때문입니다.
아울러 쿠팡이 사고 인지 후 24시간 내 신고 의무를 지키지 않은 점에 대해서도 과태료를 부과하기로 했습니다.
정부는 조사 결과를 토대로 쿠팡에 재발방지 대책 이행 계획을 이달 중 제출하도록 하고, 올해 7월까지 이행 여부를 점검할 계획입니다.
(영상취재: 한기원, 임주완 / 영상편집: 김세원 / 영상그래픽: 민헤정)
KTV 김유리입니다.
( KTV 국민방송 케이블방송, 위성방송 ch164, www.ktv.go.kr )
< ⓒ 한국정책방송원 무단전재 및 재배포 금지 >
