“쿠팡 사태는 관리 부실로 인한 사고”···개인정보 유출 규모 늘어날 듯 작성일 02-10 35 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="B8610bRfyC"> <figure class="figure_frm origin_fig" contents-hash="430c9d36431d8001c35a0221c4144bb5c4200ab2e32f18e8dc01848a153719f5" dmcf-pid="b6PtpKe4CI" dmcf-ptype="figure"> <p class="link_figure"><img alt="최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 서울 종로구 정부서울청사에서 쿠팡 침해 사고 민관합동조사단 조사결과를 발표하고 있다. 문재원 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/khan/20260210172547521pqel.jpg" data-org-width="1200" dmcf-mid="9V7ivZB3Sf" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/khan/20260210172547521pqel.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 서울 종로구 정부서울청사에서 쿠팡 침해 사고 민관합동조사단 조사결과를 발표하고 있다. 문재원 기자 </figcaption> </figure> <p contents-hash="7483c7a1de4df6d26b177c3d24bb27c00d5ea43c7f5e88f8c7733f8a042909ac" dmcf-pid="KPQFU9d8CO" dmcf-ptype="general">쿠팡의 대규모 개인정보를 유출한 쿠팡 전 직원이 이름·전화번호·주소 등이 담긴 배송지 목록 페이지를 1억4000만여회 조회한 것으로 확인됐다. ‘내 정보 수정’ 페이지에서 유출된 이름·e메일 정보만 3367만건으로, 향후 개인정보보호위원회가 확정해 발표할 정확한 유출 규모는 더 늘어날 것으로 보인다. 정부는 사고 원인으로 “쿠팡의 관리 부실”을 지목했다.</p> <p contents-hash="c46dc33ed4342ac0cb4a92ece337d41bfccbe46f8839372e1b4013f5503710f1" dmcf-pid="9Qx3u2J6Ws" dmcf-ptype="general">과학기술정보통신부는 10일 쿠팡 침해사고에 대한 민관합동 조사 결과를 발표했다. 이번 사태는 쿠팡에서 인증 시스템 개발 업무를 담당하던 중국 국적 전직 직원 A씨가 이용자 개인정보를 유출하면서 터졌다.</p> <p contents-hash="44ebe8e2b4d0a8d657198c05b46630d895470bd3fa724a923ee24eb97c88f52e" dmcf-pid="2HXkrSFYlm" dmcf-ptype="general">조사단이 2024년 11월29일부터 지난해 12월31일까지의 쿠팡 접속기록(로그) 25.6TB(테라바이트) 분량을 분석한 결과 내 정보 수정 페이지에서 이름·e메일 정보 3367만3817건이 유출된 것으로 나타났다. 당초 정부가 추산한 3370만개 유출 계정과 유사한 수치다.</p> <p contents-hash="29f38fef6f163023e34057f8f290ac8ca500ebbca9e7c76e858cd768b4d3129c" dmcf-pid="VXZEmv3GSr" dmcf-ptype="general">A씨는 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 배송지 목록 페이지를 1억4805만여회(중복 포함) 조회했다. 배송지 목록에는 계정 소유자 본인 외에도 가족, 친구 등 제3자 정보가 다수 포함돼 있어 정보 유출 대상자 범위가 늘어날 가능성이 크다.</p> <p contents-hash="f3a623028306ce20bc9c92b9d48dfe4543eda9391f0c623cf740faf2368875e5" dmcf-pid="fZ5DsT0HTw" dmcf-ptype="general">최우혁 과기정통부 정보보호네트워크정책실장은 “조회는 유출을 의미한다”면서도 “정확한 개인정보 유출 규모는 개인정보위가 최종 발표할 것”이라고 말했다. 배송지 목록 페이지에는 배송지를 20개까지 등록할 수 있고, 다양한 정보가 포함돼 유출 규모 산출에 어려움이 있는 것으로 전해졌다.</p> <p contents-hash="5191db3535ef865d00e1dae46fdb3f2c34bc53df9f65b6acb8bbb1e7a95d8d88" dmcf-pid="451wOypXlD" dmcf-ptype="general">비식별화 처리가 되지 않은 공동현관 비밀번호가 포함된 배송지 목록 수정 페이지는 5만474회, 이용자가 최근 주문한 상품 목록을 보여주는 주문 목록 페이지는 10만2682회 조회됐다. 조사단은 “현재까지 개인정보 유출로 인한 2차 피해는 확인되지 않았다”고 전했다.</p> <p contents-hash="798d52eb1a778c5567ed67d09bccd6e6eb24301b991090412adddd97989bd873" dmcf-pid="81trIWUZCE" dmcf-ptype="general">A씨는 지난해 1월부터 쿠팡 재직 당시 인지하고 있던 취약점을 기반으로 공격 테스트를 진행했다. 지난해 4월14일부터 11월8일까지 자동화된 웹크롤링 공격 도구를 이용해 대규모 정보를 유출했다. 이 과정에서 총 2313개 IP를 이용했다. 해외 소재 외부 클라우드 서버로 전송했는지 여부는 확인되지 않았다. A씨는 지난해 11월16일과 25일 두 차례 쿠팡 측에 정보 유출을 알리는 e메일을 보내기도 했다.</p> <p contents-hash="f22afb0506f86e012e515c03c0414fa58c6f53901d4bbca39d23fbb7f0b85abc" dmcf-pid="6tFmCYu5Ck" dmcf-ptype="general">조사단은 쿠팡의 정보보호 체계 관리 부실을 유출 사태의 원인으로 꼽았다. 최 실장은 “분명히 관리의 문제”라며 “지능화된 공격으로 보기는 어렵다”고 말했다.</p> <figure class="figure_frm origin_fig" contents-hash="6204e59c96b6e723c470ce0fcaefd81951d6a2a71a0b1ef5c35a8ad6704be2d1" dmcf-pid="PF3shG71hc" dmcf-ptype="figure"> <p class="link_figure"><img alt="쿠팡의 정보유출 규모 분석결과. 과기정통부 제공" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/khan/20260210172548872fefj.png" data-org-width="938" dmcf-mid="tOoT9QNdhZ" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/khan/20260210172548872fefj.png" width="658"></p> <figcaption class="txt_caption default_figure"> 쿠팡의 정보유출 규모 분석결과. 과기정통부 제공 </figcaption> </figure> <p contents-hash="5c7c1cb3fb5a0a6d7881c5a33bb8b5fe038dfe2f6d026e48bdaf4231e61f5ce9" dmcf-pid="Q30OlHztSA" dmcf-ptype="general">정상적으로 접속하는 경우 쿠팡 이용자는 로그인 절차를 거쳐 일종의 ‘전자 출입증’을 발급받는다. 쿠팡의 관문서버는 발급받은 전자 출입증이 유효한지 여부를 검증하고, 이상이 없을 시에 서비스 접속을 허용한다.</p> <p contents-hash="b98b6a8db36aa5b79175cdaa225c6ccc7fed804c38aaee1b4a244ba89956f0ce" dmcf-pid="xzqvYF2ulj" dmcf-ptype="general">A씨는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 후 전자 출입증을 위·변조해 쿠팡 인증체계를 통과했다. 그 결과 정상적인 로그인 절차를 거치지 않고 쿠팡 서비스에 무단 접속할 수 있게 됐다.</p> <p contents-hash="de5dd19d7f028b55bfb199e48b1a9b18a57dc31926f2be329c2cb5c67cbe4f16" dmcf-pid="yEDPRgOcWN" dmcf-ptype="general">쿠팡은 위·변조된 전자 출입증을 활용한 접속을 탐지·차단하지 못했다. 정상적인 발급 절차를 거친 전자 출입증인지 여부를 검증하는 체계가 부실했다. 개발자들이 노트북에 서명키를 저장해 키 유출 및 오남용 위험이 있고 키 이력 관리 체계가 부재한 점도 드러났다. 침해사고 신고 지연, 자료보전 명령 위반 등 법 위반사항도 확인됐다. 조사단은 웹 로그와 애플리케이션 로그 삭제 건을 수사의뢰한 상태다.</p> <p contents-hash="1071292a23153493830a1d566ee97ab7a4dd12b0bacffcb3fef16a9f61b77e18" dmcf-pid="WDwQeaIkCa" dmcf-ptype="general">미국 하원이 한국 정부의 차별을 조사하는 ‘쿠팡 청문회’을 열기에 앞서 정부가 서둘러 조사 결과를 발표한 게 아니냐는 관측도 나온다. 이에 대해 최 실장은 “외부 변수와는 아무런 관련이 없다”고 선을 그었다. 그는 “어떤 기업도 차별한 적이 없다”며 “결과는 나오는 대로 신속하고 투명하게 공개한다는 원칙을 실천해오고 있다”고 말했다. 쿠팡이 자체 조사 결과 A씨가 저장한 개인정보 규모가 3000여건이라고 밝힌 데 대해선 “피조사기관의 주장일 뿐”이라고 했다.</p> <p contents-hash="5d1aaa6cf6886d8e48cd59cf6771009ac1b918855464ae6f21f03ed4910e34e0" dmcf-pid="YwrxdNCEhg" dmcf-ptype="general">과기정통부는 조사 결과를 토대로 쿠팡에 재발 방지 대책에 따른 이행계획을 이달 중으로 제출하도록 하고 7월까지 이행 결과를 점검할 계획이다.</p> <p contents-hash="a6655d1bd518e7ee8dc2eb110bcdec184ef52d4a1c3dfe57df0f7efe5dd9b7c1" dmcf-pid="GrmMJjhDho" dmcf-ptype="general">쿠팡은 이날 “당사는 기존 3370만여개 계정의 유출 규모에 대해 부정한 적이 없다”며 “3370만여명에 대해 개인정보 유출 통지를 했고 보상안(구매 이용권)도 지급했다”고 말했다.</p> <p contents-hash="3c9ea12911c207da022767409cdd6ed1162c904cf77218f45cbfad53f42d6022" dmcf-pid="HmsRiAlwlL" dmcf-ptype="general">노도현 기자 hyunee@kyunghyang.com</p> </section> </div> <p class="" data-translation="true">Copyright © 경향신문. 무단전재 및 재배포 금지.</p> 관련자료 이전 엔씨소프트, 자체 IP·캐주얼·신규 장르 '3축 전략'... 올해 고성장 국면 진입 선언 02-10 다음 "소리만 듣고 불량 99% 판별"…디플리, 효성전기 AI 솔루션 공급 02-10 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
