‘외부 전송’ 명령어 있었다…‘제3자 유포’ 정말 없었나?

[앵커]

보신 것처럼 이번 유출 사고는 쿠팡 측 주장보다 더 심각한 것으로 드러났습니다.

무엇보다 유출된 정보가 어디까지 퍼졌는지 여부가 가장 관심 사안인데요.

이에 대해 쿠팡 측은 제3자에게 흘러 나간 정보는 없다고 주장해 왔지만, 정부 조사단 조사 결과 외부 유포 가능성을 배제할 수 없는 걸로 확인됐습니다.

이어서 김채린 기자입니다.

[리포트]

지난해 말 쿠팡이 미국 정부에 제출한 유출 사고 보고서입니다.

공격자가 저장한 건 3천 명의 고객 계정에서 나온 개인정보에 그쳤고, 제3자에게 공유된 적 없이 삭제됐다고 했습니다.

김범석 쿠팡Inc. 이사회 의장도 '늑장' 사과문에서, "정보가 외부로 유포, 판매되지 않았단 점이 확인됐다"고 강조했습니다.

민관합동조사단의 조사 결과는 달랐습니다.

쿠팡이 제출한 공격자의 PC 저장장치를 포렌식 분석해 보니, 공격자는 쿠팡 사이트에서 수집한 개인정보를 해외 클라우드 서버로 전송할 수 있도록 공격 프로그램을 설계했습니다.

로그 기록 삭제 등으로 실제 전송 여부는 확인되지 않았지만, 7개월 동안 수집한 방대한 정보를 외부로 빼돌렸을 가능성을 배제할 수 없습니다.

[염흥열/순천향대 정보보호학과 명예교수 : "클라우드로 이렇게 저장하는 기능이 (공격 프로그램에) 있었다면, 그거는 2차 피해가 상당히 우려되는 부분이라 그런 가능성까지 고려해서 피해 대책을 세워야 한다."]

정보 유출을 위해 공격자가 이른바 '서명 키'를 탈취한 경위에 대해서도, 쿠팡은 시스템 문제가 아니라고 주장했습니다.

[브랫 매티스/쿠팡 정보보호최고책임자/지난해 12월 31일 : "저희가 키를 운영하는 방식은 국제 기준에 부합했습니다."]

하지만 조사단은 허점을 지적했습니다.

보안 규정상 회사 내 관리 시스템에만 저장해야 하는 서명 키가 개발자들 노트북에 버젓이 들어 있었단 겁니다.

[이용준/극동대 해킹보안학과 교수 : "쿠팡의 서버 키 관리 시스템에만 있어야 하는 아주 중요한 키를 개발자가 사용했다는 것, 아주 기초적인 보안 관리가 되지 않았다고 평가될 수 있겠습니다."]

쿠팡 측은 조사 결과 발표 뒤 입장문을 내고, 이번 유출로 인한 2차 피해 증거는 확인되지 않았다고 재차 강조했습니다.

KBS 뉴스 김채린입니다.

영상편집:서윤지/그래픽:고석훈

■ 제보하기
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : kbs1234@kbs.co.kr
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 카카오 '마이뷰', 유튜브에서 KBS뉴스를 구독해주세요!

김채린 기자 (dig@kbs.co.kr)