“선물 준대서 주소 불러줬더니…” 공동현관 비번까지 싹 털렸다 ‘날벼락’ 무슨 일? 작성일 02-10 48 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="qNPca2J6tC"> <figure class="figure_frm origin_fig" contents-hash="1c224e61aab1291148b9d9774050bd30834d0ad19a3f8a454d5abf634bb1a97f" dmcf-pid="BjQkNViPHI" dmcf-ptype="figure"> <p class="link_figure"><img alt="현관 앞에 배송된 쿠팡 택배 모습. [독자 제공]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/ned/20260210204147208bxke.png" data-org-width="1003" dmcf-mid="uZKneu6bXS" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/ned/20260210204147208bxke.png" width="658"></p> <figcaption class="txt_caption default_figure"> 현관 앞에 배송된 쿠팡 택배 모습. [독자 제공] </figcaption> </figure> <p contents-hash="31ca477de2af10ee6ed220142b5d2be36d1eaf8f9e3902fe7d251c68ef6c97a5" dmcf-pid="bAxEjfnQtO" dmcf-ptype="general">[헤럴드경제=박혜림 기자] “좋은 마음으로 했을 텐데…”</p> <p contents-hash="f574baaf29ee2eca42121af21836868ee1527259b87c93c21d63ff05e9b0dad1" dmcf-pid="KcMDA4LxGs" dmcf-ptype="general">정부 조사 결과 확인된 쿠팡의 개인정보 유출 규모는 성명과 이메일 기준 3367만 건에 달하지만, 1억4000여건에 달하는 배송지 조회 기록 등을 아우를 경우 실제 피해자는 이를 훨씬 상회할 것으로 보인다. 특히 선물 배송 등을 이유로 이용자가 등록한 지인의 배송지 정보까지 유출 범위에 포함되며 최종 피해 규모는 눈덩이처럼 불어날 전망이다.</p> <p contents-hash="f0b5f413f3a37defe7c8d8e5fc0d31381c15c08ab0ac5959a1da9ee4a81b4430" dmcf-pid="98pQ45b0tm" dmcf-ptype="general">10일 과학기술정보통신부에 따르면 쿠팡 전 직원에 의한 정보통신망 침해사고 조사 결과 ‘내 정보 수정 페이지’를 통해 빠져나간 성명과 이메일은 총 3367만3817건이다.</p> <p contents-hash="68a732ff331aa678200b7d57161525190bab148f1381b54d73074249bbdc6446" dmcf-pid="26Ux81KpXr" dmcf-ptype="general">중복을 제외한 수치로 사실상 쿠팡 가입자 3367만3817명의 정보가 유출됐다고 해도 과언이 아니다.</p> <p contents-hash="9c11f5846729d11541278bbfdf8a1af53e60028ca7a205f26b4e3dc2e2b74037" dmcf-pid="VPuM6t9UHw" dmcf-ptype="general">문제는 피해 규모가 이보다 더 커질 수 있다는 것이다. 최우혁 과학기술정보통신부 정보보호네트워크정책실장은 “‘조회’ 행위 자체가 이미 쿠팡의 통제권을 벗어난 ‘유출’에 해당한다”며 “(해당 페이지에)들어간 순간 고객 정보가 시스템에 전송 되게 때문”이라고 말했다.</p> <figure class="figure_frm origin_fig" contents-hash="9daede30420e0ac91fb6eec4d8050c48bc0ade801959a42f52c761006355e29d" dmcf-pid="fQ7RPF2uXD" dmcf-ptype="figure"> <p class="link_figure"><img alt="과학기술정보통신부가 공개한 배송지 목록 수정 페이지 예시. [과학기술정보통신부 제공]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/ned/20260210204147448ffwc.png" data-org-width="643" dmcf-mid="70qdx0fzXl" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/ned/20260210204147448ffwc.png" width="658"></p> <figcaption class="txt_caption default_figure"> 과학기술정보통신부가 공개한 배송지 목록 수정 페이지 예시. [과학기술정보통신부 제공] </figcaption> </figure> <p contents-hash="c26abbb3816b877f6c4f346fc2dda1508f324a068f508fe292b907feed39101a" dmcf-pid="4xzeQ3V7YE" dmcf-ptype="general">과기정통부는 이번 조사에서 공격자가 1억4800만여 회에 걸쳐 ‘배송지 목록 페이지’를 조회한 사실을 확인했다. 해당 페이지에는 가입자 본인뿐 아니라 가족, 지인 등 제3자의 성명과 전화번호, 주소가 포함돼 있다. 또 한 페이지에 최대 20개의 배송 정보를 기입할 수 있다. 한 페이지 당 최대 피해 인원이 20명일 수도 있으며, 피해 대상이 회원 뿐 아니라 비회원까지 광범위하게 뻗어있음을 시사한다.</p> <p contents-hash="5065d72c9dfa50aff53daed6c19e77f11182d0d165dfdf0614f8f09c6fc8ed98" dmcf-pid="8Mqdx0fz1k" dmcf-ptype="general">이동근 한국인터넷진흥원(KISA) 본부장은 “공격자가 처음에는 내 정보 수정 페이지 등을 통해 이름과 이메일 등을 수집하다가 이후 배송지 목록 페이지에 직접 접속해 개인정보를 무작위로 조회했다”면서 “1억4800여 건에는 3367만 명의 회원 외에도 내 정보 수정 페이지가 유출되지 않은 회원, 쿠팡에 가입하지 않은 사용자까지 포함돼 있다”고 설명했다.</p> <p contents-hash="a6f929ff6aafadf7ce2ef457e2857d13cc43101d0311a0a0f6df39e5feeb701e" dmcf-pid="6RBJMp4qXc" dmcf-ptype="general">여기에 공동현관 비밀번호까지 포함된 배송지 목록 수정 페이지 조회 5만여 건, 최근 주문한 상품목록이 담긴 주문 목록 페이지 조회 10만여 건 등도 확인됐다. 중복 접속 및 피해자를 제외하더라도 최소 3367만명 이상의 개인정보가 유출됐을 가능성이 높다.</p> <figure class="figure_frm origin_fig" contents-hash="0dd799b06c25465854be100d378a7d47c5f62ad91c30897db81d24286c8edc1a" dmcf-pid="PebiRU8BYA" dmcf-ptype="figure"> <p class="link_figure"><img alt="공격자가 쿠팡에 보낸 메일. 2025년 11월 25일 주문상품 정보가 담겨있다. [과학기술정보통신부 제공]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/ned/20260210204147626tpci.png" data-org-width="643" dmcf-mid="zk6Ag9d8Hh" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/ned/20260210204147626tpci.png" width="658"></p> <figcaption class="txt_caption default_figure"> 공격자가 쿠팡에 보낸 메일. 2025년 11월 25일 주문상품 정보가 담겨있다. [과학기술정보통신부 제공] </figcaption> </figure> <p contents-hash="f970d62e77dda4f6a066b27b119fd2fca69b78259d2ca209618f8b96f9f872b5" dmcf-pid="QdKneu6btj" dmcf-ptype="general">특히 공동현관 비밀번호의 경우 쿠팡 측이 그간 유출 가능성을 부인해온 부분이다. 쿠팡은 개인정보보호위원회의 권고에 따라 최근 정보가 유출된 고객들에게 “결제 및 로그인 정보, 공동현관 비밀번호, 이메일, 주문목록은 유출되지 않았음을 확인했다”고 안내했지만, 이번 정부 조사 결과와 정면으로 배치되면서 피해 규모를 축소하려 했다는 지적을 피하기 어렵게 됐다.</p> <p contents-hash="4181959db55676d913522aecba6b33231fb7f5f22715da79dab06121f67869d6" dmcf-pid="xNPca2J6XN" dmcf-ptype="general">조사 결과 쿠팡의 전직 개발자인 공격자는 재직 당시 탈취한 ‘서명키’를 활용해 전자 출입증을 위조하는 방식으로 내부망에 무단 접속한 것으로 파악됐다. 쿠팡은 서명키를 보안 시스템이 아닌 개발자 노트북에 저장해뒀고 해당 직원이 퇴사한 후에도 이를 갱신하지 않고 방치하는 등 관리 부실이 심각했던 것으로 드러났다. 최우혁 정책실장은 “이번 정보유출 사태는 분명 관리의 문제”라며 “지능화된 문제로 보기는 어렵다”고 지적했다.</p> <p contents-hash="46478980179067c5185c7c5f5b67721c7748b2be1d424f7fad862236c298eb4f" dmcf-pid="y0vu3OXSGa" dmcf-ptype="general">한편 개인정보의 세부적인 최종 유출 규모는 이번 기술 조사 결과를 바탕으로 개인정보보호위원회에서 확정된다.</p> </section> </div> <p class="" data-translation="true">Copyright © 헤럴드경제. 무단전재 및 재배포 금지.</p> 관련자료 이전 [현장영상] "다가오면, 설렌다"…조슈아, 젠틀맨의 정석 02-10 다음 "안정적 출력은 기본, 위기에 강해야 됩니다" 마이크로닉스가 말하는 AI 시대 파워서플라이 02-10 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
