쿠팡 소프트웨어(SW) 개발자는 어떻게 3300만건에 달하는 개인정보를 탈취할 수 있었을까.
재직 중 알게 된 정보를 악용해 대규모 개인정보를 유출하는 일탈 행위가 가능한 데는 쿠팡의 부실한 관리체계가 원인으로 자리 잡고 있었다.
과학기술정보통신부는 10일 정부서울청사에서 이러한 내용의 쿠팡 정보통신망 침해사고 민관합동조사단 조사 결과를 발표했다.
◇ 쿠팡 개발자, 어떻게 개인정보 털었나…서명키 빼돌려 출입증 위조
정부 발표에 따르면 공격자는 쿠팡 재직 당시 이용자 인증 시스템을 설계하고 개발 업무를 수행하던 소프트웨어 개발자(백엔드 엔지니어)였다.
공격자는 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 비정상적으로 접속해 정보를 무단으로 유출했다.
정상적으로 접속하는 경우 이용자는 로그인 절차를 거쳐 일종의 전자 출입증을 발급받는다.
이후 쿠팡 관문 서버는 발급받은 전자 출입증이 유효한지 여부를 검증하고 이상이 없을 시 서비스 접속을 허용한다.
공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취하고 이를 활용해 전자 출입증을 위조하거나 변조해 쿠팡 인증체계를 통과했다.
공격자는 재직 당시 이용자 인증 시스템의 취약점과 키 관리체계의 취약점을 인지하고 있었다.
공격자는 이러한 취약점을 악용해 재직 당시 탈취한 서명키와 내부 정보를 활용해 전자 출입증을 위조했다.
공격자는 정상적인 로그인 절차 없이 쿠팡 인증 체계를 통과했고 퇴사 후부터 사전 공격 테스트를 진행했다.
이동근 민관합동조사단 부단장은 공격 수법에 대해 "접속할 때마다 인증 토큰(출입증을) 새로 생성해서 사용했다"라며 자동화된 웹크롤링(데이터 수집) 공격 도구를 이용해 대규모 정보를 유출했다.
공격자는 사전 테스트에서 위조한 전자 출입증을 이용해 타인의 계정으로 무단 접속한 후 유출한 정보를 해외 소재의 클라우드 서버로 전송할 수 있는 기능을 확인했다.
조사단이 쿠팡으로부터 제출받은 공격자의 하드디스크와 솔리드 스테이트 드라이브(SSD)를 포렌식한 결과 공격자가 제작한 스크립트가 발견됐고, 스크립트에 외부 클라우드와 연결하는 기능이 포함돼 있었다.
다만 실제 전송이 이뤄졌는지는 확인되지 않았다.
◇ 쿠팡 보안체계 무엇이 문제였나…서명키·정보보호 체계 '구멍'
전 임직원이 이처럼 대규모 개인정보 유출을 실행할 수 있었던 이유는 쿠팡의 이용자 인증체계에 허점이 있었기 때문이었다.
공격자는 위조한 전자 출입증을 이용해 쿠팡 서비스에 무단으로 접속했는데, 쿠팡의 이용자 인증체계는 해당 출입증이 정상 발급 절차를 거친 출입증인지 검증하는 단계가 부족했다.
쿠팡에서 유출된 고객 계정 수가 자체적으로 공개한 3천개보다 훨씬 많은 것으로 드러났다.
쿠팡은 지난해 11월 확인된 개인정보 유출 사건과 관련해 16만5천여건 계정이 추가로 유출된 사실을 확인했다고 지난 5일 밝혔다.
쿠팡은 모의 해킹으로 전자 출입증 기반 인증 체계의 취약점을 발굴했지만, 해당 문제에 대한 해결책을 모색하는 등 전반적인 문제점 검토를 수행하지 않았다.
전 직원이 빼돌린 서명키를 관리하는 체계 역시 미흡했다.
쿠팡은 자체 규정에 따라 서명키를 키 관리시스템에서만 보관하고 개발자 PC에 저장하지 않아야 한다고 명시했다.
하지만 조사 결과에 따르면 쿠팡 개발자가 노트북에 서명키를 저장하고 있어 키 유출이나 오남용 위험이 있었다.
이 부단장은 "(공격자가) 이미 퇴사해서 조사할 수 없는 만큼 서명키를 체계적으로 관리할 수 있도록 발급 내역을 기록하도록 규정했지만, 조사 결과에 따르면 키 이력 관리 체계가 부재해 목적 외 사용을 파악할 수 없었다.
이 밖에 쿠팡의 공격 차단이 늦어진 점도 문제점으로 지적됐다.
이번 사고는 동일한 서버 사용자 식별번호를 반복적으로 사용했고, 위조된 전자 출입증으로 비정상 접속행위가 발생했지만 쿠팡은 해당 공격 행위를 통한 정보 유출을 차단하지 못했다.
최우혁 과기정통부 정보보호네트워크정책실장은 "이번 사태는 지능화된 공격이라기보다 인증 체계, 키 관리 등 관리 소홀의 문제로 볼 수 있다"라고 지적했다.
