주소·공동현관 비번 1.4억회 무단 조회 작성일 02-10 41 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">쿠팡 정보유출 민관합동 조사<br>7개월간 2천여개 IP로 탈취<br>전자출입증 위조 적발 못해<br>배송지엔 친구·가족 등 주소<br>"쿠팡 미가입자도 유출 가능"<br>주소 유출에 2차 피해 우려도</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="UVzZRgOchH"> <figure class="figure_frm origin_fig" contents-hash="ea988d99c5140d39fcb8ba3ed3ff626028157d14d43a1c68c6d150a260ff6bac" dmcf-pid="uGlk0bRfvG" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/mk/20260210180320732rwqx.jpg" data-org-width="1000" dmcf-mid="plvDU9d8TX" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/mk/20260210180320732rwqx.jpg" width="658"></p> </figure> <p contents-hash="8b1e9a7d79285d76d01ab967c7ecf7b3169a43900431299ba666e041f8c9c278" dmcf-pid="7HSEpKe4WY" dmcf-ptype="general">쿠팡 개인정보 유출에 대한 정부 민관합동조사단 조사에서 유출 규모가 이름, 이메일 등 3367만여 건의 계정에 달하고 이외에도 배송지·주문 목록 페이지에서 1억4800만회 이상의 무단 조회가 있었던 것으로 확인되면서 논란이 확산되고 있다.</p> <p contents-hash="ee6870b932c1918e55ecddc256c02ef43972f8144356e891e36afb55cc8c4ee5" dmcf-pid="zXvDU9d8yW" dmcf-ptype="general">배송지 목록에는 쿠팡 계정 정보 외에도 가족이나 친구 등 제3자 이름과 전화번호, 주소 등이 포함돼 있어 실제 유출 규모는 이보다 클 것으로 우려된다.</p> <p contents-hash="28179e72f5d27587a2a62e6ba6ef21ec22d49bdaee7ceb06ec724f2edda5fbb2" dmcf-pid="qZTwu2J6vy" dmcf-ptype="general">범인은 서버에 접근할수 있는 전자출입증을 위·변조해 7개월에 걸쳐 개인정보를 빼돌린 것으로 나타났다. 쿠팡은 자체 조사에서 '외부 저장 유출'은 3000건에 그쳤다고 밝혔지만, 정부 조사 결과 지속적으로 광범위하게 개인정보 유출이 이뤄진 것이어서 국내 1위 이커머스 업체의 보안 관리 체계에 대한 비판이 거세지고 있다.</p> <p contents-hash="10080498dccd97efb713535eb2a1ca5266ce85debd7e4aee4d8c2afb469b88e7" dmcf-pid="B5yr7ViPhT" dmcf-ptype="general">과학기술정보통신부는 10일 정부서울청사에서 "쿠팡의 개인정보 유출은 지난해 4월 14일부터 11월 8일까지 진행됐다"며 "유출 규모는 △가입자의 성명과 이메일 데이터 3367만여 건 △배송지 목록 조회 1억4805만회 △배송지 목록 내 수정 페이지 조회 5만474회 △주문 목록 조회 10만2682회에 달한다"고 발표했다.</p> <p contents-hash="853da71bca0c04a7d101f3ab2594d64063922bc40df64d032ce109da8ebac874" dmcf-pid="b1WmzfnQTv" dmcf-ptype="general">민관합동조사단은 신고 지연에 대한 과태료를 부과할 예정이며, 자료 보전 명령 위반에 대해서는 수사를 의뢰하겠다고 밝혔다. 개인정보 유출에 대한 과징금은 이번 조사 결과를 바탕으로 개인정보보호위원회에서 결정한다. 전체 매출의 최대 3%까지 과징금을 부과할 수 있는 규정을 적용하면 최대 1조원가량의 과징금도 예상된다.</p> <p contents-hash="6de76ac4903b562c2f0429e918e64548594633f63a443925c1731269eb509894" dmcf-pid="KtYsq4LxWS" dmcf-ptype="general">쿠팡은 "정부의 모든 조사에 전적으로 협조해왔고 정보를 투명하게 공개해왔다"며 "무효 계정 등을 파악하고 있으며, 정확한 유출 규모는 개인정보보호위에서 최종 확정될 것"이라고 밝혔다.</p> <p contents-hash="dc33a189360d2de15d8f163a07c4777fea3128a402183bd9c84c607288a6633c" dmcf-pid="9FGOB8oMTl" dmcf-ptype="general">지난해 12월 쿠팡은 기습적으로 자체 조사 결과를 발표하며 "(공격자가) 탈취한 보안키를 사용해 3300만명 고객 계정의 정보에 접근했으며, 이 중 약 3000개 계정의 고객 정보만 저장했다"고 밝혔다. 그러나 실제로는 공격자가 장기간에 걸쳐 개인정보 페이지와 주소록, 주문 목록을 반복적으로 조회한 것이어서 사실상 대규모 유출이라는 지적이 나온다.</p> <p contents-hash="7e1284118d903517da3abaaf148ae932ff91b8d0507da7843268c87238e5feb3" dmcf-pid="23HIb6gRSh" dmcf-ptype="general">이름과 이메일뿐만 아니라 전화번호, 주소, 공동현관 비밀번호 등이 조회를 통해 노출됐을 가능성이 있기 때문에 2차 피해도 우려된다. 배송지 목록에는 계정 소유자의 배송지 정보 외에도 가족·친구 등 배송을 받을 제3자의 주소가 등록된 경우도 있다. 쿠팡에 가입하지 않은 사람들의 개인정보도 유출됐을 가능성이 제기되는 대목이다.</p> <p contents-hash="1f7716516d4d74fc9c19829679f9dfe5e56605f2aafadc4e09fd5e8d34a3838e" dmcf-pid="VnxbkIZvhC" dmcf-ptype="general">최우혁 과기정통부 정보보호네트워크정책실장은 "조회가 곧 유출을 의미하며, 조회라고 해서 책임이 가벼워지는 것은 아니다"고 설명했다.</p> <p contents-hash="0f62df54b17149a84da4052f0b2465cb111cf84cd3f706fe246d9abf10c3af5f" dmcf-pid="fLMKEC5TlI" dmcf-ptype="general">공격자가 주문 상품 목록도 조회했지만 카드번호 등 결제 정보는 유출되지 않은 것으로 확인됐다.</p> <p contents-hash="533113ab4461bebf7b3201ebec8c6bd00cb3e94a75e60a5e5acc39e7d639c7a1" dmcf-pid="4oR9Dh1yWO" dmcf-ptype="general">수개월간 공격자가 자유롭게 접근했다는 점에서 쿠팡의 허술한 보안 체계도 도마에 올랐다. 전 쿠팡 직원이었던 공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취해 공격에 활용했다. 쿠팡 시스템에 접근하려면 유효한 전자출입증이 필요한데, 공격자는 이 서명키로 전자출입증을 위·변조해 쿠팡 인증 체계를 통과한 뒤 자유롭게 드나들었다.</p> <p contents-hash="495f257d5a69bccd3ccb27ea3ea6e23a8d1ac03c6d0aef3fff01abcd44441d0a" dmcf-pid="8ge2wltWls" dmcf-ptype="general">합동조사단은 "쿠팡 서버에는 전자출입증 위조 여부를 확인하는 절차가 없었고, 키 관리 시스템에만 보관해야 할 서명키가 개발자 PC에 저장돼 퇴사자가 쉽게 유출할 수 있는 환경이었다"며 "다수 IP를 활용한 비정상 접속을 탐지하는 데에도 실패했다"고 설명했다. </p> <p contents-hash="48d1ee98ff727ff2aa6c006fb4c26175987f7325a79aff1bf7f6cdb21ebf1924" dmcf-pid="6adVrSFYhm" dmcf-ptype="general">[정호준 기자 / 이선희 기자]</p> </section> </div> <p class="" data-translation="true">Copyright © 매일경제 & mk.co.kr. 무단 전재, 재배포 및 AI학습 이용 금지</p> 관련자료 이전 美日, ‘ZAM’으로 한국 메모리 패권에 도전한다 02-10 다음 '탈팡' 30대가 가장 많았다…네이버쇼핑 "반사수혜" 02-10 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
