_ 과기정통부 민관합동조사단 발표… 인증키 탈취해 ‘전자 출입증’ 위조
_ 이름, 주소, 전번, 공동현관 비번까지 ‘탈탈’… 결제 정보 유출은 없어
_ 퇴사자 권한 관리 부실·접속 기록 삭제 등 총체적 난국… 과태료·수사 의뢰
[서울=더피플매거진] 국내 최대 이커머스 기업 쿠팡이 전 직원의 해킹 공격에 뚫려 3,300만 건이 넘는 고객 정보가 유출된 것으로 드러났다. 범인은 재직 당시 취득한 정보를 악용해 보안 시스템을 무력화했고, 쿠팡은 이를 사전에 탐지하지 못했을 뿐만 아니라 사후 대응에서도 허점을 드러냈다.
10일 과학기술정보통신부와 한국인터넷진흥원(KISA) 등으로 구성된 민관합동조사단은 정부서울청사에서 브리핑을 열고 이 같은 내용의 ‘쿠팡 침해사고 조사 결과’를 발표했다.
조사 결과에 따르면, 이번 침해 사고를 일으킨 공격자는 쿠팡의 전 직원 A씨였다. A씨는 재직 당시 이용자 인증 시스템의 설계·개발 업무를 맡았던 소프트웨어(SW) 개발자로 확인됐다.
A씨는 퇴사 후 재직 당시 탈취했던 ‘서명키(Signing Key)’와 내부 정보를 악용해 일종의 ‘전자 출입증’을 위·변조했다. 이를 통해 정상적인 로그인 절차 없이 쿠팡의 인증 체계를 통과했고, 자동화된 웹 크롤링 도구를 이용해 대규모 정보를 긁어모았다.
피해 규모는 막대하다. A씨는 ▲내 정보 수정 페이지에서 성명·이메일 등 3,367만 3,817건을 유출했다. 또한 ▲배송지 목록 페이지를 약 1억 4,800만 회 조회하며 성명, 전화번호, 주소는 물론 특수문자로 비식별화된 공동현관 비밀번호까지 들여다봤다. ▲주문 목록 페이지도 10만여 건 열람해 고객의 구매 이력을 파악했다.
다행히 신용카드 번호 등 민감한 결제 정보의 유출은 확인되지 않았다고 조사단은 밝혔다.
이번 사고는 쿠팡의 허술한 보안 관리 체계가 빚어낸 인재(人災)였다.
조사단은 쿠팡이 ▲위·변조된 전자 출입증 검증 절차 부재 ▲퇴사자에 대한 서명키 갱신 및 권한 회수 미비 ▲개발자 PC에 중요 보안키 저장 허용(하드코딩) ▲접속 기록(로그) 관리 부실 등 총체적인 보안 구멍을 가지고 있었다고 지적했다.
특히 쿠팡은 침해 사고를 인지한 후 24시간 이내에 신고해야 하는 정보통신망법 규정도 어겼다. 사고 인지 이틀 뒤에야 KISA에 늑장 신고를 했으며, 조사 과정에서 접속 기록 보전 명령을 위반하고 약 5개월 분량의 로그 데이터를 삭제한 사실도 적발됐다.
과기정통부는 쿠팡에 대해 정보통신망법 위반 혐의로 3,000만 원 이하의 과태료를 부과할 예정이다. 또한 자료 보전 명령 위반에 대해서는 경찰에 수사를 의뢰했다.
최우혁 과기정통부 정보보호네트워크정책실장은 “현재까지 다크웹 등에서 2차 피해 정황은 확인되지 않았다”면서도 “쿠팡에 이달 내로 재발 방지 대책 이행 계획을 제출하도록 하고 7월까지 점검을 완료하겠다”고 밝혔다.
한편, 개인정보보호위원회는 이번 조사 결과를 바탕으로 구체적인 개인정보 유출 규모를 확정하고 추가적인 행정 처분 수위를 결정할 계획이다.
#쿠팡 #개인정보유출 #해킹 #과기정통부 #민관합동조사단 #정보보호 #더피플매거진
https://www.thepeoplemagazine.co.kr/detail.php?number=19061&thread=22r12
: 더피플매거진
_ 과기정통부 민관합동조사단 발표… 인증키 탈취해 ‘전자 출입증’ 위조 _ 이름, 주소, 전번, 공동현관 ..
thepeoplemagazine.co.kr
'사회경제' 카테고리의 다른 글
| 대구·경북, 아침 한때 비 또는 눈… “건조특보 속 화재 주의” (0) | 2026.02.11 |
|---|---|
| 구미 로컬푸드 직매장, 누적 매출 150억 돌파… “월급 받는 농부의 꿈, 현실로” (0) | 2026.02.10 |
| “병원·장보기 편해졌네”… 구미 ‘행복버스’ 3개월 만에 4만 7천 명 이용 (0) | 2026.02.10 |
| 김천시, 출산 산모에 ‘48만 원’ 상당 농산물 쏜다… 11일부터 신청 (0) | 2026.02.10 |
| 고령군, 설 대목 ‘북적북적’… 장보기 행사·지역화폐 15% 특별할인 (1) | 2026.02.10 |