엔지니어 공격자, 인증체계 취약점 사전 인지
서명키 탈취해 '전자 출입증' 위·변조 진행
쿠팡 전 직원이 유출한 개인정보 규모가 3367만여건으로 집계되고, 범인이 들여다본 배송지 주소 등 정보가 1억5000만건에 달하는 가운데 쿠팡의 허술한 인증체계 관리가 원인을 제공했다는 조사단 결과가 나왔다.
과학기술정보통신부는 10일 서울정부청사에서 쿠팡 정보통신망 침해사고 민관합동조사단 조사 결과를 발표하고, 쿠팡의 부실한 관리체계를 원인으로 지목했다.
정부 발표에 따르면 공격자는 쿠팡 재직 당시 소프트웨어 개발자(백엔드 엔지니어)였으며, 재직 당시 이용자 인증 시스템 설계·개발 업무를 수행하면서 이용자 인증체계의 취약점과 키 관리체계의 취약점을 인지하고 있었다.
쿠팡의 관문서버는 인증절차를 통해 '전자 출입증'이 정상적으로 발급된 이용자에 한해서 접속을 허용해야 하지만 조사결과, 관련된 확인 절차가 부재한 상황이었다.
또 쿠팡이 관리하고 있는 서명키는 '전자 출입증'을 발급하기 위해 사용하는 도구인 만큼, 체계적이고 엄격한 관리체계를 갖춰야 하지만 그렇지 않은 것으로 확인됐다. 업무 담당자가 퇴사할 경우 해당 서명키를 더 이상 사용하지 못하도록 갱신 절차가 진행돼야 하지만 관련 체계 와 절차가 미비한 것으로 나타났다.
퇴사 후, 공격자는 재직 당시 탈취한 서명키와 내부 정보를 활용해 '전자 출입증'에 대한 위·변조를 진행했다. 그 후 정상적인 로그인 절차 없이 쿠팡 인증 체계를 통과하면서, 본격적인 공격을 위한 사전 테스트를 진행했다.
공격자는 사전 테스트를 통해 이용자 계정에 접근이 가능한 사실을 확인한 이후, 자동화된 웹크롤링(데이터 수집) 공격 도구를 이용해 대규모 정보를 유출했다. 이 과정에서 공격자는 총 2313개 인터넷 프로토콜(IP)을 이용한 것으로 조사됐다.
특히 조사단은 공격자 PC 저장장치(HDD 2대, SSD 2대)를 포렌식 분석한 결과, 공격자가 정보 수집과 외부 서버 전송이 가능한 공격 스크립트를 작성한 것을 확인했다고 밝혔다. 공격자는 위·변조 '전자 출입증'을 이용해 타인의 계정으로 무단 접속한 후 유출한 정보를 해외 소재의 클라우드 서버로 전송할 수 있는 기능도 확인했다.
다만 실제 전송이 이뤄졌는지 여부에 대해서는 기록이 남아있지 않아 확인할 수 없다고 조사단은 설명했다.
조사단은 "쿠팡은 정상 발급절차를 거치지 않은 '전자 출입증'에 대한 탐지와 차단 체계를 도입하는 한편, 모의해킹에서 발견된 취약점에 대해서는 근본적인 문제개선 방안을 마련해야 한다"고 촉구했다. 이어 "쿠팡은 자체 규정에 따라, 서명키를 '키 관리시스템'에서만 보관하고, 개발자 PC 등에 저장(소스코드 내 하드코딩)하지 않도록 해야 한다고 명시하고 있으나, 현재 재직 중인 쿠팡 개발자가 노트북에 서명키를 저장하고 있어, 키 유출과 오남용 위험이 있다"고 지적했다.
아울러 조사단이 정보보호와 개인정보보호 관리체계 인증(ISMS-P)에 대해서 점검한 결과, 쿠팡은 개발과 운영을 분리하지 않고 개발자에게 실제 운영 중인 '키 관리 시스템'에 접근하도록 권한을 부여하고 있어 개선이 필요한 상황이다.
지금 뜨는 뉴스
조사단은 "쿠팡은 키 관리·통제 체계 강화와 운영관리 기준을 명확히 하고, 상시 점검을 실시해야 한다"면서 "비정상 접속행위 탐지 모니터링을 강화하고, 사고원인 분석과 피해규모 식별 등 목적에 맞는 로그 저장관리 정책을 수립해야 한다"고 말했다.
서소정 기자 ssj@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>


