아파트 비밀번호까지 털리다니...3000만 쿠팡 고객 잔혹사 작성일 02-15 50 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">공격자 배송지 목록 1억 건 열람<br>비회원 개인정보 유출 우려도<br>자료 삭제 등 쿠팡 관리 소홀 도마</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="yKTN52FYhS"> <figure class="figure_frm origin_fig" contents-hash="38ebba332447f22fe9d09a60e4d3eb480cf30ec3dc569d164be770a9b4592437" dmcf-pid="W9yj1V3Gyl" dmcf-ptype="figure"> <p class="link_figure"><img alt="사진=클립아트코리아" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/15/seouleconomy/20260215060226730zhwy.jpg" data-org-width="620" dmcf-mid="PSiHQcRfCy" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/15/seouleconomy/20260215060226730zhwy.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 사진=클립아트코리아 </figcaption> </figure> <div contents-hash="dd89bd4a75294113fe37998d516c3b15f7f176bc918c6369f1eed2b30ee6c237" dmcf-pid="Y2WAtf0HSh" dmcf-ptype="general"> <br> ‘로켓배송’에 일상을 맡긴 쿠팡 고객들의 개인정보가 글로벌 공공재로 전락했다. 쿠팡의 퇴사 직원에 의한 장기 무단 접속 및 개인정보 유출 사고 이야기다. <br> <br> 정부는 최근 민관합동조사 결과 3367만여 건의 계정정보가 유출됐다고 밝혔다. 공격자는 배송지 목록 등 고객 정보 페이지를 1억 건 넘게 조회했고, 일부 정보는 외부로 반출된 정황도 확인됐다. 단순한 계정정보 유출을 넘어 주소·연락처·주문 내역, 나아가 공동현관 비밀번호 같은 출입 정보까지 노출될 가능성이 제기되며 사건은 ‘플랫폼 보안 사고’를 넘어 ‘생활 안전’의 문제로 번지고 있다. <br> <br> <div> <strong>퇴사 직원이 7개월 고객 정보 1억 건 열람</strong> </div> <br> 쿠팡은 지난해 11월 16일 한 퇴사한 직원으로부터 ‘개인정보를 유출했다’는 내용이 담긴 메일을 받는다. 회사는 다음 날 오후 정보보호최고책임자(CISO)에게 이를 보고했다. 정보통신망법은 침해 사고를 인지한 경우 24시간 이내 신고하도록 규정하고 있지만, 쿠팡은 기한을 넘긴 19일 4536개 게정의 정보가 유출됐다는 내용의 신고를 한국인터넷진흥원(KISA)에 접수했다. <br> <br> 정부 조사에 따르면 공격은 2025년 4월부터 약 7개월간 이어졌다. 공격자은 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 접속했다. 정상적으로 접속할 때 이용자는 로그인을 한 후 일종의 ‘전자 출입증’을 발급받는다. 그러면 쿠팡은 이 ‘전자출입증’이 유효한지 확인한다. 하지만 공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취해 ‘전자 출입증’을 위변조했고, 이를 통해 쿠팡 인증 체계를 뚫었다. 정상적인 로그인 절차 없이 쿠팡 서비스에 무단 접속한 것이다. 민관합동조사단 조사 결과에 따르면 쿠팡에는 전자출입증의 위변조 여부를 확인하는 절차가 부재했다. <br> <br> 유출된 정보는 사실상 고객이 쿠팡에게 제공한 거의 모든 정보다. 계정 정보뿐 아니라 ‘내 정보 수정’ 영역, 배송지 목록, 주문 내역 등 고객의 일상과 직결된 데이터가 열람됐다. 배송지에는 가족과 지인의 주소까지 저장돼 있는 경우가 많다. 여기에 공동현관 비밀번호 같은 정보가 결합될 경우, 온라인 침해는 곧 오프라인 물리적 위험으로 이어질 수 있다. 플랫폼 기업이 보관하는 데이터가 단순한 ‘회원 정보’가 아니라 ‘생활 지도’임을 보여주는 대목이다. <br> <br> <div> <strong>퇴사자도 자유로운 정보 열람…관리 소홀에 도마에</strong> </div> <br> 쿠팡의 사후 대응도 도마 위에 올랐다. 사고 원인 규명을 위해 정부가 자료보전 명령을 내렸지만, 일부 접속 기록이 삭제된 사실이 드러났다. 정부는 웹 접속기록 수개월치와 앱 접속기록 일부가 보존되지 않았다고 밝혔다. 이는 단순 관리 부실을 넘어 조사 방해 가능성까지 따져봐야 할 사안으로, 정부는 수사를 의뢰한 상황이다. <br> <br> 쿠팡에 대해 정부는 과징금 부과 및 형사 책임 여부 검토 등 강도 높은 제재를 예고했다. 지난해 SK텔레콤은 유심(USIM) 정보 유출 사고로 1000억 원대 과징금을 부과받았고, LG유플러스도 과징금을 피하지 못했다. 개인정보 보호 위반에 대한 제재 수위는 갈수록 높아지고 있다. 쿠팡 역시 개인정보보호위원회의 최종 판단에 따라 별도의 과징금 처분과 시정명령을 받을 가능성이 있다. <br> <br> </div> <div class="video_frm" dmcf-pid="GVYcF4pXSC" dmcf-ptype="embed"> <div class="layer_vod"> <div class="vod_player"> <iframe allowfullscreen class="player_iframe" dmcf-mid="Q6XevUWITT" dmcf-mtype="video/youtube" frameborder="0" height="370" id="video@Q6XevUWITT" scrolling="no" src="https://www.youtube.com/embed/FHlAROmSMuw?origin=https://v.daum.net&enablejsapi=1&playsinline=1" width="100%"></iframe> </div> </div> </div> <div contents-hash="eb67fb382fed4e4ab341a9706fd3d0a76fac0abf42bf9fda94111b3bca1fca04" dmcf-pid="HfGk38UZyI" dmcf-ptype="general"> <div> 지금 당장 현관 비번 바꾸세요. 우리집 주소, 1억 5천만번 털렸습니다 </div> <br> 서지혜 기자 wise@sedaily.com </div> </section> </div> <p class="" data-translation="true">Copyright © 서울경제. 무단전재 및 재배포 금지.</p> 관련자료 이전 지니3가 불러온 공포…"개발자 대체되나" 업계 수장들 답변은? 02-15 다음 [체험기] “블루투스 없는 곳에서도 무선 이어폰을”… ‘LG 엑스붐 버즈 플러스’, 가성비는 글쎄 02-15 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
