【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]'3370만건 유출' 쿠팡 퇴사 직원, 배송지 목록도 1억번 뒤졌다

온카뱅크관리자

2026-02-10 14:07:32

<div id="layerTranslateNotice" style="display:none;"></div> 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="yrGD79d8TG">
 <figure class="figure_frm origin_fig" contents-hash="2ef2f4541c6b4f3e8e2f9735a0b0911cc93907409f3a0e9798864669e8ca985d" dmcf-pid="WmHwz2J6TY" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/552796-pzfp7fF/20260210140012258gvji.jpg" data-org-width="640" dmcf-mid="Q1N8CypXvX" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/552796-pzfp7fF/20260210140012258gvji.jpg" width="658">
 </figure>
 [디지털데일리 김보민기자] 쿠팡에서 대규모 개인정보를 유출한 전(前) 직원이 배송지 목록을 1억회 이상 조회했다는 조사 결과가 나왔다. 공동현관 비밀번호가 포함된 배송지 수정 페이지와, 주문상품 목록도 제한 없이 조회한 것으로 나타났다.
 정부는 공격자가 조회한 정보까지 포함해 개인정보 유출 규모를 확정할 방침이다. 아울러 사고 신고를 지연하고 자료보전 명령을 위반한 건에 대해 각각 과태료와 수사 의뢰를 진행할 방침이다.
 ◆ '인증 시스템 개발자' 전 직원, 인증 취약점 뚫어냈다
 과학기술정보통신부는 10일 민관합동조사단이 추진한 '쿠팡 전 직원에 의한 정보통신망 침해사고 조사 결과'를 발표했다. 조사단은 쿠팡 접속기록(로그) 25.6테라바이트(TB)를 분석했고, 공격자가 2025년 4월14일부터 11월8일에 걸쳐 공격했다고 밝혔다.
 조사에 따르면 '내정보 수정 페이지'에서 유출된 성명·이메일 등 개인정보는 약 3367만건으로 집계됐다. 배송지 및 주문 목록을 살펴본 흔적도 발견됐다. 공격자는 배송지 목록 페이지에서는 약 1억4000만회, 배송지 목록 수정 페이지에서는 5만회, 주문목록 페이지에서는 10만회 조회를 시도했다.
 배송지 목록 페이지에는 계정 소유자 본인 외에도 가족, 친구 등 제3자 이름, 전화번호, 배송지 주소 등 정보가 포함돼 있었다. 배송지 목록 수정 페이지에는 이름, 전화번호, 배송지 주소 외 공동현관 비밀번호가 포함돼 있었다. 조사단은 "개인정보 세부 유출 규모는 개인정보보호위원회에서 확정할 예정"이라고 말했다.
 공격자는 쿠팡에 재직했을 당시 백업을 위한 이용자 인증 시스템을 설계한 소프트웨어(SW) 개발자로 확인됐다. 공격자는 쿠팡 서버 인증 취약점을 악용해 정상 로그인 없이 이용자 계정에 접근해 정보를 무단 유출했다. 공격자는 재직 당시 관리하던 이용자 인증 시스템 서명키를 탈취한 후, 이를 활용해 전자출입증을 위변조해 쿠팡 인증체계를 통과했다.
 앞서 국회 청문회 등에서 밝혀진 내용과 동일하다. 조사단은 쿠팡이 업무 담당자가 퇴사할 때 해당 서명키를 더이상 사용하지 못하도록 갱신 절차를 진행해야 했으나 절차가 미비했다고 평가했다. 조사단은 현재 재직 중인 개발자 노트북을 포렌식한 결과, 서명키를 키 관리시스템에서만 저장해야 하지만 개발자 노트북에 저장(하드코딩)한 사실도 확인했다.
 공격자는 사전 테스트를 통해 이용자 계정에 접근 가능한 사실을 확인한 후, 자동화된 웹크롤링 공격 도구를 이용해 대규모 정보를 유출했다. 이 과정에서 사용한 인터넷프로토콜(IP)은 2313개에 달했다.
 <div contents-hash="c041dd82b02fcfa3df7907316d910cc8906cb57d3e25152f00f6bb8725a40757" dmcf-pid="33ftnjhDlO" dmcf-ptype="general">
 조사단은 쿠팡이 공격자가 위·변조한 전자출입증을 탐지하는 검증 체계가 부재하고, 모의해킹을 통해 취약점을 개선하려 했으나 관문 서버 이용자 인증 체계 등 전반적인 문제점이 보완되지 않았다고 평했다. 비정상 접속 행위에 대한 정보 유출을 탐지하고 차단하지 못한 것도 개선해야 한다고 강조했다.
 </div>
 <figure class="figure_frm origin_fig" contents-hash="5692432062655b1a017c0b81f9293c4ad5311ede2981590f75e90df6c19e67c9" dmcf-pid="004FLAlwTs" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/552796-pzfp7fF/20260210140012519abqr.jpg" data-org-width="640" dmcf-mid="xRKXeosAlH" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/552796-pzfp7fF/20260210140012519abqr.jpg" width="658">
 </figure>
 ◆ 신고 늦고 자료보전 명령도 위반...과태료·수사 본궤도
 조사단은 쿠팡이 침해사고 신고를 지연한 점도 문제점으로 꼽았다. 쿠팡은 정보통신망법에 따라 침해사고를 인지한 후 24시간 이내 과기정통부 또는 한국인터넷진흥원(KISA)에 신고해야 한다. 그러나 정보보호최고책임자(CISO)에게 보고한 시점인 2025년 11월17일 오후 4시로부터 24시간이 지난 11월19일 오후 9시35분경에 KISA에 신고가 접수됐다.
 쿠팡은 정보통신망법에 따라 과태료가 부과될 전망이다. 정보통신망법 제76조에는 해당 법을 위반한 사업자에 3000만원 이하 과태료를 부과하는 내용이 담겨 있다.
 쿠팡이 침해사고 원인을 분석할 때 필요한 자료를 보전하지 않은 점도 문제점으로 꼽혔다. 앞서 과기정통부는 정보통신망법에 따라 쿠팡에 자료보전을 명령했지만, 쿠팡 측은 자사 접속기록의 자동 로그 저장 정책을 조정하지 않아 약 5개월 분량 웹 접속기록이 삭제됐다. 또한 애플리케이션 접속기록에 대한 데이터도 일부 삭제됐다.
 관련 내용은 수사기관 수사에 따라 확인될 예정이다. 웹로그 삭제에 대한 수사 의뢰는 지난해 12월31일, 애플리케이션 로그 삭제에 대한 수사 의뢰는 올해 2월9일 추진됐다.
 과기정통부는 이번 조사 결과를 토대로 쿠팡에 재발방지 대책에 따른 이행계획을 제출하도록 하고, 이행 여부를 점검할 계획이다. 보완이 필요한 사항에 대해서는 정보통신망법에 의거해 시정조치를 명령할 방침이다.
 </section> 
 </div> 
 Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기