【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[연예뉴스][일문일답] "쿠팡, 내정보 이름·이메일 3367만건 유출…2차 피해 아직"

온카뱅크관리자

2026-02-10 16:13:41

<div id="layerTranslateNotice" style="display:none;"></div> 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="28StrSFYlo">
 <figure class="figure_frm origin_fig" contents-hash="22665a4cab74a81c5319ecb1096d60806038890cc09ca7c351bfffde2a6cf98b" dmcf-pid="VpAhiAlwvL" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/552796-pzfp7fF/20260210161343162yjtm.jpg" data-org-width="640" dmcf-mid="9CPgKPaehg" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/552796-pzfp7fF/20260210161343162yjtm.jpg" width="658">
 </figure>
 [디지털데일리 김보민기자] 정부 민관합동조사단이 쿠팡에서 발생한 대규모 유출 사태와 관련해 첫 조사 결과를 발표했다. 조사에 따르면 내정보 수정 페이지에서 유출된 이름과 이메일은 3367만여건으로, 기존에 알려진 3370만건과 유사했다.
 조사단은 이번 사태 원인인 쿠팡 퇴사 직원의 공격으로 유출된 정보와 조회한 정보를 구분해 발표했다. 공격자는 배송지 목록 페이지를 약 1억4000만회, 배송지 목록 수정 페이지를 5만회, 주문목록 페이지를 약 10만회 조회한 것으로 나타났다.
 조사단은 공격자가 통제권에서 벗어나 타인 정보를 조회했다는 사실 자체가 '유출'이라고 판단했고, 추후 관계당국 조사를 통해 총 유출 규모가 특정될 것으로 시사했다. 현재 개인정보보호원회는 개인정보 유출 규모와 개인정보보호법 위반 여부 등을 조사하고 있다.
 보안업계에서 우려하는 2차 피해와, 결제 정보 유출은 없는 것으로 확인됐다. 조사단은 개인정보위를 비롯해 경찰 수사에 협력하고 유사 사고가 재발하지 않도록 방지 대책을 마련할 방침이다.
 다음은 10일 서울 종로구 정부서울청사에서 진행된 쿠팡 침해사고 민관합동조사단 조사 결과 브리핑 일문일답. 현장에는 최우혁 과학기술정보통신부 정보보호네트워크정책실장, 임정규 과기정통부 정보보호네트워크정책관, 이동근 한국인터넷진흥원(KISA) 디지털위협대응본부장이 참석했다.
 Q. 쿠팡이 먼저 자체조사 결과를 발표했는데, 그에 비해 조사단 결과가 늦게 나왔다. 오래 걸린 이유는 무엇인가.
 A. (최우혁) 쿠팡의 경우 처음에 협조가 미진한 부분이 있었는데, 이후 충분히 신속하게 대응해왔다. 데이터가 방대한 만큼 (조사 결과를 발표하기까지) 시간이 걸린 부분이 있다. 기초 데이터와 숫자 양이 많았기 때문에 어려움이 있었다.
 Q. 직간접적으로 중국인(쿠팡 퇴사 직원)에 대한 조사가 이뤄졌나. 국가정보원 지시 여부는.
 A. (최우혁) 경찰 수사 영역이고, 국정원에 문의해달라.
 Q. 이번에 '유출'과 '조회'를 나눠 발표했는데, 법적인 책임을 구분하기 위해서인가. 유출에 한해서만 법적으로 책임이 더 커지고, 조회에 대해서는 처벌이 낮아지나.
 A. (최우혁) 법적으로 차이가 있지 않다. 조회는 유출을 의미한다. 조회라고 해서 책임이 가벼워지지 않는다. 법상으로는 조회 및 유출에 대한 것은 '유출'로 보고 있다.
 Q. 쿠팡이 전체 회원 수를 공개하지 않았는데, 사실상 전 회원이 다 피해를 입은 것인가.
 A. (최우혁) 쿠팡 가입자 수는 확인이 불가능하다. 전체 가입자다 아니다를 판단하기 어렵다.
 Q. 계정 소유자 외 제3자 정보도 유출 및 조회됐는데, 회원과 비회원 피해 비중은.
 A. (최우혁) 회원·비회원 개인정보 등은 개인정보위가 최종적으로 판단할 부분이다. 조사단은 원인을 분석하고 유출 정보에 대한 포괄적 범위 및 재발방지 대책을 내는 기관이다. SK텔레콤(유출사고)을 보면, 지난해 7월에 조사단 발표가 있었고 두 달 뒤 개인정보위가 최종적으로 유출 규모와 과징금을 산출했다. 개인정보위 발표를 기다려달라.
 Q. 쿠팡이 3000여건만 저장됐거나 삭제됐다고 하는데, 주장에 대한 진위여부는. 추가 유출(16만여건)은 여기에 포함되지 않는 건지.
 A. (최우혁) 저희가 조사하는 방식을 먼저 설명드리겠다. 조사와 피조사기관이 있고, 피조사기관은 자기 주장을 하게 된다. 본인들의 자료를 내놓으면 조사기관은 해당 자료를 참고하지만 다시 한번 검증을 거치거나 다른 자료를 확인하는 과정이 있다. 그래서 쿠팡 3000건에 대한 이야기는 쿠팡이 이야기한 것이다. 참고 요소일 뿐이다.
 Q. 공격자가 인터넷프로토콜(IP)를 2000여개 사용했다고 하는데, 어떻게 활용했나.
 A. (이동근) 공격자가 정보를 유출할 때 사용한 IP가 로그에 남아 있는 것을 뽑았다. 추정하기로는 해커가 단일 IP만 쓴 게 아니라, 굉장히 다양한 IP를 써서 정보를 유출했다고 본다.
 Q. 공격자가 전자출입증을 생성해서 개인 페이지에 하나하나 들어가 웹크롤링 했다고 보면 되나.
 A. (이동근) 1억건을 조회하려면 사람이 들어가서 할 수가 없다. 웹크롤링이라고 해서 자동화된 기법을 썼는데, 공격자는 스크립트 형태로 짜 정해진 유출주소를 입력하면 웹페이지를 긁어 개인정보와 기타 정보를 추출하는 방식을 사용했다고 보면 된다.
 Q. 결국 전직자 소행인데, 관리 소홀인가 아니면 지능화된 해킹인가.
 A. (최우혁) 인증체계 관련상 문제점을 강하게 질타하고 지적했다. 그 다음에 키 관리시스템도 제대로 안 되고 있는 부분도 지적했다. 분명히 관리 문제다. 지능화된 공격으로 보긴 어렵다.
 Q. 웹로그를 분석할 때 접속기록도 확인해야 하는데, (공격자가) 접속한 위치도 확인됐다.
 A. (이동근) 2300여개 IP를 사용했는데 접속 국가 등에 대해서는 수사 건이라 정확하게 말씀드리기 어렵다.
 Q. 쿠팡이 발표한 3000건과 비교했을 때 (유출 규모에) 차이가 크다. 쿠팡이 침해사고 범위를 축소하려는 여지가 있다고 보나.
 A. (최우혁) 주장에 대해서 조사하고 검증한 뒤 국민에게 투명하게 결과를 발표하는 게 조사단 의무다. 그들(쿠팡)이 이야기하는 부분은 평가하지 않는다.
 Q. 지금까지 전 직원 1명에 의해 유출이 발생했다고 알려졌는데, 배후에 다른 조직이 있지는 않나.
 A. (최우혁) 죄송하지만 수사 영역이다. 공격자가 1명 혹은 여러 명이라고 말씀드릴 정보가 없다. 경찰 결과를 봐달라.
 Q. 서명키가 개발자 개인 노트북에서 저장된 사실이 적발됐는데, 이렇게 부적절하게 보관 중인 개발자 규모는 몇 명인가.
 A. (이동근) 이번에 문제가 된 (공격자는) 키 시스템을 직접 개발할 때 참여한 이였고, 해당 팀에는 여러 명이 있었다. 그 멤버들이 업무하는 형태를 확인했지만 구체적인 숫자 확인은 어렵다. 현재 있는 직원들이 업무를 어떻게 하는지 확인했고, 재직자 노트북을 가져가 포렌식을 해보니 키를 저장하는 것을 확인했다. 과거에도 퇴사한 공격자가 동일한 형태로 업무를 했기 때문에 키 관리가 전반적으로 이뤄지지 않았다고 평가했다. 몇 명이 가져갔는지 등은 말씀드리기 어려운 부분이 있다. 이력 관리가 안 되는 부분도 있다.
 Q. 모의해킹에서 쿠팡 측이 인지한 인증체계 구조적 결함은 어떤 내용이었나.
 A. (이동근) 이번에 문제가 된 토큰과 관련해 여러 모의해킹을 시도해 문제점을 찾아가는 과정들이 있었다. 문제를 해결하는 과정 중 근본적으로 이 토큰을 가지고 공격자가 할 수 있는 경로상에 있는 문제점을 진단하고 제거했어야 했는데, (쿠팡은) 딱 모의해킹한 부분에 대해서만 집중 관리하다 보니 관문에서 토큰을 검증하는 체계에 대해서는 전혀 검토가 이뤄지지 않았다.
 Q. 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 취소 가능성은.
 A. (임정규) ISMS 인증 기준에 미달되는 부분이 있었다. 특히 직무 분리가 미흡하고 암호키 관리 부분의 인증체계에 미흡한 부분이 있었다. 인증 기준에 미달했다고 하는 사실을 확인하면 통상적으로 보완 조치를 요청하게 되고, 이후 개선이 안 되면 다음에 시정명령을 한다. 그래도 안 하면 사실상 취소하는 절차를 진행한다.
 Q. 공격자가 전자 출입증을 일대일(1:1)로 위변조해 접속한 게 맞나.
 A. (이동근) 토큰을 위변조했을 때 매번 접속할 때마다 새로 생성해서 사용했다. 토큰 구조상 안에 고유번호가 들어가야 하고 번호를 넣을 때마다 새로 서명키, 일종의 도장을 찍고 만들어야 한다. 접속할 때마다 그런 형태 토큰을 생성했다고 보면 된다.
 Q. 정보통신망법상 신고 지연 외 관리 부실에 대해 더 처벌할 방법은 없나.
 A. (최우혁) SK텔레콤 사례에서 보듯이 과징금에 대한 부분은 개인정보위 영역이다. 망법에서는 지연 신고, 재발 방지 대책에 대한 이행이 적절하지 않을 경우 과태료 처분 등 조치를 할 수 있다. 망법에서도 침해 사고에 대해 과징금을 물릴 수 있도록 입법이 진행되고 있다. 국회에서 입법이 되면 침해 사고에 대해서도 과징금을 물리는 제도가 만들어질 것 같다.
 Q. 결제 정보는 유출되지 않았나. 2차 피해 여부는.
 A. (최우혁) 저희가 조사한 사항으로는 없는 것으로 알고 있다. 2차 피해의 경우 현재까지 다크웹 등 다른 곳에서 확인하지 못했다.
 </section> 
 </div> 
 Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기