"크롤링 뭐길래"…쿠팡 개인정보 유출 조회수 등장한 이유 작성일 02-11 52 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="zNw63SFY5I"> <figure class="figure_frm origin_fig" contents-hash="78be2bb5e6695d2a7df8b7fe358ef262198fa206bb8b0d04f4e072a06e201541" dmcf-pid="qjrP0v3G1O" dmcf-ptype="figure"> <p class="link_figure"><img alt="배송지 목록 페이지/사진=과기정통부 제공" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/11/moneytoday/20260211040644830fbbx.jpg" data-org-width="1200" dmcf-mid="uc4HDdEoHh" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/11/moneytoday/20260211040644830fbbx.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 배송지 목록 페이지/사진=과기정통부 제공 </figcaption> </figure> <p contents-hash="a95c8ac3fd6725f3af919ef119aed8e940760b384ae411b27c8dd45330fb515a" dmcf-pid="BAmQpT0HYs" dmcf-ptype="general">쿠팡 전직원(공격자)이 정보를 유출한 방식은 크롤링이다. 크롤링은 인터넷에 공개된 웹페이지나 앱 등에서 필요한 정보를 자동으로 수집하는 기술이다. 인터넷상의 로봇이 웹페이지를 돌아다니며 알아서 목록을 만들어 데이터를 쌓는 것으로 이해하면 쉽다. </p> <p contents-hash="63c9ee458e6470fdc3e428f737bc6b834f07fc5a53ed0746036c1c16af1b04bb" dmcf-pid="bcsxUypXYm" dmcf-ptype="general">사람이 직접 웹사이트를 하나씩 열어서 복사하고 필요정보를 정리하는 대신 프로그램이 웹에 접속해 정해진 규칙대로 정보를 가져오다 보니 빠른 시간 내 다량의 데이터를 확보할 수 있다. 공격자 역시 공격 스크립트를 작성해 자동으로 개인정보를 끌어모은 것으로 보인다. </p> <p contents-hash="9814a7549ec6c9e310b202058d51f69b0a87d1a66f04aa8f287dd51d77cb47a0" dmcf-pid="KkOMuWUZ1r" dmcf-ptype="general">10일 과학기술정보통신부와 민관합동조사단이 '3367만여건 개인정보 유출' 외에 1억4000만여건의 조회수를 들고 나온 이유기도 하다. <br> 조사단은 내 정보 수정 페이지에서 이용자 정보 3367만3817건이 유출됐다고 했다. 그러나 △배송지 목록 페이지(1억4805만회) △배송지 목록 수정페이지(5만474회) △주문목록 페이지(10만2682회)에선 조회수를 언급했다. </p> <p contents-hash="dcf00466ca03820ab1ab71128b81bdecf1cce9b8d6a81d9aebbfd5143ac3aa17" dmcf-pid="9EIR7Yu51w" dmcf-ptype="general">크롤링 기법을 썼기 때문에 해당 웹페이지에 있던 정보는 모두 탈취됐을 것으로 보고 조회수를 따진 것이다. 조회수는 곧 공격자의 공격횟수기도 하다. 쿠팡 회원뿐 아니라 비회원의 개인정보도 빠져나갔을 것으로 추정된다. </p> <figure class="figure_frm origin_fig" contents-hash="2761b386c28e6c4c5475304152e5c3dbafed8eb4539a5eb211e38ca7695174f0" dmcf-pid="2DCezG715D" dmcf-ptype="figure"> <p class="link_figure"><img alt="사진=과기정통부" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/11/moneytoday/20260211040646114pfyd.jpg" data-org-width="1200" dmcf-mid="70BSa6gRtC" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/11/moneytoday/20260211040646114pfyd.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 사진=과기정통부 </figcaption> </figure> <p contents-hash="c3d13f0b9b5501a449b246c6e702ce55a78f55f88399c1c1368c5183cb6ef18b" dmcf-pid="VwhdqHzt5E" dmcf-ptype="general"><br> 실제 공격자는 지난해 11월16일과 25일 2차례 쿠팡에 개인정보를 탈취했다는 이메일을 보내면서 1억2000만개 이상 배송주소 데이터, 5억6000만개 이상 주문데이터, 3300만개 이상 이메일주소 데이터를 모았다고 적었다. </p> <p contents-hash="3f9dc6018ac0275d39f80d84ea4c8650d20c47dcda580425e1b05633ccabd25a" dmcf-pid="frlJBXqFZk" dmcf-ptype="general">또 공격자는 개인정보 유출을 위해 2313개 IP(인터넷 프로토콜)주소를 사용한 것으로 조사됐다. 웹크롤링 도구에 VPN(가상사설망)을 연결해 다량의 IP로 대규모 정보를 끌어모았을 수 있다. </p> <p contents-hash="c354a52f154fcadb9ea071c52118710ea368765fad5f2868049c618f760dbd68" dmcf-pid="4mSibZB3Zc" dmcf-ptype="general">최우혁 과기정통부 네트워크실장은 이날 브리핑에서 "(공격자가) 1억4000만여건을 조회했고 그 조회정보는 명확히 유출된 것으로 본다"면서 "개인정보보호위원회(개보위)나 경찰청도 우리와 숫자를 동일하게 보고 있다"고 말했다. </p> <p contents-hash="d0ebe1671c972f584d353ef168f4aeb14631066ceda11a151ceda15c8adaa662" dmcf-pid="8kOMuWUZ1A" dmcf-ptype="general">이동근 민관합동조사단 부단장은 "배송지 목록 페이지에 본인이 등록한 주소들이 등록돼 있는데 굉장히 많다. 그 페이지를 1억4000만회 들어간 것"이라며 "이 정보들을 다 추려내고 발라내야 해서 세세한 유출건수는 개보위가 발표할 예정"이라고 밝혔다. </p> <p contents-hash="39798a2933f4efb310dc69f0b6d43b6f4c0c459e327bd0b87e22071b1dcac0e0" dmcf-pid="6EIR7Yu5tj" dmcf-ptype="general">다만 조회수가 의미 없다는 지적도 있다. 이는 중복 카운팅된 것으로 1억여개 개인정보가 나갔다는 뜻은 아니다. </p> <p contents-hash="13a7082fb16d1778516fc56e5e352a5cf9061eebd23ae62caa0e879b581f5a37" dmcf-pid="PDCezG715N" dmcf-ptype="general">김용대 카이스트 전기전자공학부 교수는 "접근권한이 있으니까 해커가 개인정보에 접근했던 것이고 그 수법이 웹크롤링이었던 것뿐"이라며 "쿠팡의 가장 큰 문제는 퇴직자에게서 인증키 회수를 안한 것"이라고 짚었다. 그러면서 "개인정보가 유출된 것은 맞지만 실제 피해정도는 입증하기 어려울 것같다"고 했다. </p> <p contents-hash="5dd61315fe2b376c318005c8cdb63d1cc9ecb29ff234a72208d417d8f204e169" dmcf-pid="QwhdqHztHa" dmcf-ptype="general">김소연 기자 nicksy@mt.co.kr 이찬종 기자 coldbell@mt.co.kr</p> </section> </div> <p class="" data-translation="true">Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.</p> 관련자료 이전 중국인 개발자, 퇴사 전 공격 테스트까지…쿠팡 개인정보 유출 전말 02-11 다음 메달 따고 뜬금없이 후회와 반성…"사실 난 바람 피운 놈"[올림픽] 02-11 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
