쿠팡 정보유출 규모 3367만건 확인 작성일 02-10 47 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">민관합동조사단 조사결과 발표</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="VFSqyZB3C5"> <figure class="figure_frm origin_fig" contents-hash="72b623cb037ccb135efb0c1f83f836738e53393e9dbe369672eb29442265a2de" dmcf-pid="f3vBW5b0SZ" dmcf-ptype="figure"> <p class="link_figure"><img alt="서울 시내의 한 쿠팡 물류센터. 연합뉴스" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/dt/20260210140709872cobj.png" data-org-width="500" dmcf-mid="2qX41U8By1" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/dt/20260210140709872cobj.png" width="658"></p> <figcaption class="txt_caption default_figure"> 서울 시내의 한 쿠팡 물류센터. 연합뉴스 </figcaption> </figure> <p contents-hash="2ecd7b72c454bc28a2c4e091746d42f9ee06c07d83b38103a8577165e826b5d2" dmcf-pid="40TbY1KphX" dmcf-ptype="general"><br> 쿠팡 침해사고에 대한 정부 조사에서 성명·이메일 등 이용자 정보 3367만3817건이 유출된 것으로 공식 확인됐다.</p> <p contents-hash="66eff23ebb29a49e6d0e93b7b62a99c4235f3f1beaf6ad202f5b859c6f9bddb9" dmcf-pid="8pyKGt9UlH" dmcf-ptype="general">과학기술정보통신부는 쿠팡 침해사고에 대한 민관합동조사단의 이 같은 조사 결과를 10일 발표했다. 지난해 11월 공격자가 쿠팡 측에 이메일로 알렸던 유출규모의 진위여부를 파악하고자 쿠팡 웹·애플리케이션 접속기록(로그) 25.6테라바이트(TB)를 분석한 결과 사실로 드러난 셈이다. 구체적인 개인정보 유출 규모는 추후 개인정보보호위원회 조사 결과에 따라 최종 확정 예정이다.</p> <p contents-hash="55c4c2ccdd4527603d2ee6705423d6afa73ba2379e7f92be429354a0c488626b" dmcf-pid="6UW9HF2uSG" dmcf-ptype="general">공격자는 이용자 성명·이메일 정보가 유출된 ‘내정보 수정’ 페이지뿐 아니라 성명, 전화번호, 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 ‘배송지 목록’ 페이지를 1억4805만6502회 조회했다. 여기엔 가족·친구 등 제3자의 성명·전화번호·배송지주소 등 정보도 다수 포함됐다. 또한, 공동현관 비밀번호가 그대로 노출된 ‘배송지 목록 수정’ 페이지를 5만474회, 최근 주문한 상품이 나오는 ‘주문 목록’ 페이지도 10만2682회 조회했다.</p> <p contents-hash="0819d0c86fb2b1d39e886130ddac4994dfe2928367e38701cf358dfb3f990136" dmcf-pid="PuY2X3V7yY" dmcf-ptype="general">공격자는 쿠팡 재직 당시 시스템 백업을 위한 이용자 인증시스템 설계·개발업무를 수행한 소프트웨어(SW) 개발자로, 쿠팡의 인증체계와 키 관리체계의 취약점을 인지하고 이를 악용했다. 쿠팡은 관문서버 접속 시 요구되는 전자출입증에 대한 위·변조 여부 확인절차가 없었고, 전자출입증 발급에 필요한 서명키에 대한 이력 등 관리체계도 미비했다. 이번 조사에선 쿠팡 자체 규정과 달리 재직 중인 개발자의 노트북에도 서명키가 저장(하드코딩)된 사실도 드러났다.</p> <p contents-hash="6657d5aeb02205b1a036cc7d28fc7b7208b4b2e41e0dae4c96e6e550e553fd1d" dmcf-pid="Q7GVZ0fzCW" dmcf-ptype="general">쿠팡 퇴사 후 공격자는 갖고 있던 서명키와 내부정보로 전자출입증을 위·변조했고, 이를 사용해 정상적 로그인 절차 없이 인증체계를 통과하면서 지난해 1월에 사전 테스트도 진행했다. 이후 지난해 4월 14일부터 11월 8일까지 자동화된 웹크롤링 공격 도구와 총 2313개 IP를 이용해 대규모로 정보를 유출했다.</p> <p contents-hash="eec0f7e4c128fd24d46d159ecdf6645b0b1170cf90e8ad964af6b4d1113c3508" dmcf-pid="xzHf5p4qTy" dmcf-ptype="general">조사단이 공격자의 PC 저장장치(HDD·SSD 각 2대)를 포렌식 분석한 결과, 쿠팡 이용자 고유식별번호와 위·변조된 전자출입증과 함께 공격자가 정보수집 및 외부서버전송이 가능한 공격스크립트를 작성한 것도 확인됐다. 위·변조된 전자출입증으로 타인 계정에 무단 접속해 주문목록 등 정보를 해외 소재 클라우드 서버로 전송할 수 있는 기능도 파악됐다. 다만, 실제 전송 여부는 기록이 남아있지 않아 확인되지 않았다.</p> <p contents-hash="a90969d0e387a27d49b4b7ea24a3b3727de21af98ab3073393dab69aa0a21b26" dmcf-pid="yBZ8tu6byT" dmcf-ptype="general">쿠팡은 이번 침해사고가 동일한 서버사용자 식별번호를 반복적으로 사용했으며, 위·변조된 전자출입증을 활용한 비정상 접속행위가 발생했음에도 해당 공격 행위를 통한 정보유출을 탐지·차단하지 못했다. 침해사고 인지 후 24시간 이내 신고 의무를 지키지 않았다. 정보통신망법에 따라 3000만원 이하 과태료가 부과될 예정이다.</p> <p contents-hash="faf787727a5a0ccc2322007712e11cdca77a444aec1deeec7ec9d6eb3c1c0285" dmcf-pid="Wb56F7PKCv" dmcf-ptype="general">아울러, 로그를 일관된 기준 없이 저장·관리해 피해 이용자 식별 및 정보유출 규모 산정에 어려움이 발생했다. 과기정통부가 정보통신망법에 따라 침해사고 원인 분석을 위해 자료보전을 명령했으나, 쿠팡은 사내 자동 로그 저장 정책을 조정하지 않아 약 5개월(2024년 7~11월) 분량 웹 접속기록이 삭제됐다. 애플리케이션 로그도 지난해 5월 23일부터 6월 2일 사이 데이터가 삭제됐다. 이와 관련해선 수사를 의뢰한 상태다.</p> <p contents-hash="3347199cefc91886c9854bef2cbc12d069cfae760b684228dd3420590af4a98b" dmcf-pid="YK1P3zQ9lS" dmcf-ptype="general">과기정통부는 이번 조사단의 조사결과를 토대로 쿠팡에 재발방지 대책에 따른 이행계획을 제출(2월)토록 하고, 쿠팡의 이행(3~5월) 여부를 점검(6~7월)할 계획이다. 이행점검 결과, 보완이 필요한 사항에 대해서는 정보통신망법에 따라 시정조치를 명령할 계획이다.</p> <p contents-hash="a26b6785c37e0c51d4f8eb50c4ad2556a0a3d38b863e8b8e0eaf9d1ce77484f0" dmcf-pid="G9tQ0qx2vl" dmcf-ptype="general">팽동현 기자 dhp@dt.co.kr</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털타임스. 무단전재 및 재배포 금지.</p> 관련자료 이전 현대·롯데 CISO가 말하는 ‘현실 보안’... “통제는 맥락이고, 공시는 설득이다” 02-10 다음 “10년 내 달나라 짓겠다”… 화성 고집하던 머스크가 달로 눈 돌린 까닭은 02-10 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
