【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]쿠팡 ‘3000개’라더니, 이름·이메일만 3367만건 유출…“통제권 벗어나면 '유출'” [팩플]

온카뱅크관리자

2026-02-10 18:47:32

<div id="layerTranslateNotice" style="display:none;"></div>  
        <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
         <section dmcf-sid="tkRrG3V7hH">
          <p contents-hash="aba9516fbe568a03bbef09533c54092ab3b07ca88600c44edd6426a4181d8439" dmcf-pid="FEemH0fzvG" dmcf-ptype="general">쿠팡 개인정보 유출 사태로 이용자 이름·이메일 정보 3367만여 건이 유출됐다는 정부 조사 결과가 나왔다. 쿠팡이 지난해 말 자체 조사 후 밝힌 피해 계정 수(3000여개)와는 큰 차이가 났다. 유출이 확인된 쿠팡 웹페이지에는 이용자의 전화번호와 주소, 공동 현관 비밀번호는 물론 최근 주문한 상품 목록과 지인들의 개인 정보까지 담겨 있었다. </p>
          <figure class="figure_frm origin_fig" contents-hash="d101a186163ed940bfeef4d0df3008feba9865dd68c139554d88f5359adaa06f" dmcf-pid="3DdsXp4qyY" dmcf-ptype="figure">
           <p class="link_figure"><img alt="해롤드 로저스 쿠팡 한국법인 임시 대표가 6일 오후 마포구 서울경찰청 광역수사단 반부패수사대에서 국회에서의 증언·감정 등에 관한 법률 위반 혐의 등 관련 2차 조사를 받기 위해 출석하고 있다. 뉴스1" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/joongang/20260210184526773enjd.jpg" data-org-width="1280" dmcf-mid="XJ9wYF2uy1" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/joongang/20260210184526773enjd.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            해롤드 로저스 쿠팡 한국법인 임시 대표가 6일 오후 마포구 서울경찰청 광역수사단 반부패수사대에서 국회에서의 증언·감정 등에 관한 법률 위반 혐의 등 관련 2차 조사를 받기 위해 출석하고 있다. 뉴스1
           </figcaption>
          </figure>
          <div contents-hash="1f62132beec1b26d43b5056fa46d69e92773b515840f72c0c912c752c44ca02d" dmcf-pid="0wJOZU8ByW" dmcf-ptype="general">
           <br> ━
           <br>
           <p> “공격자, 배송지 목록 1.4억회 조회” </p>
           <br> 과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해사고에 대한 민관합동조사단 조사 결과를 발표했다. 지난해 11월 30일 조사단이 구성된 지 72일 만이다. 
          </div>
          <p contents-hash="98aaa1c2e0af555e1ef8485d91e413c1a816084bdc188567fb005a398b8266f4" dmcf-pid="priI5u6bhy" dmcf-ptype="general">조사단이 쿠팡 웹과 앱 접속기록(로그) 데이터 등을 분석한 결과 ‘내정보 수정’, ‘배송지 목록’, ‘주문 목록’ 등의 쿠팡 웹페이지에서 이용자 개인 정보 유출이 확인됐다. ‘내정보 수정’ 페이지에선 성명과 이메일이 포함된 이용자 정보 3367만여건의 유출이 확인됐다. 공격자는 ‘배송지 목록’ 페이지 1억4806만회, ‘주문 목록’ 페이지도 10만회 이상 조회한 것으로 나타났다. 해당 페이지엔 계정 소유자 본인 외 지인의 개인 정보와 최근 주문 상품 목록 등이 포함돼 있다. </p>
          <p contents-hash="f3449680456a6e0d0f8863e77533ed9c5ad61934e4d5929314621a3c6e365846" dmcf-pid="UmnC17PKhT" dmcf-ptype="general">정부는 공격자가 웹 페이지를 무단으로 ‘조회’한 것 역시 ‘유출’로 판단했다. 표현의 차이일 뿐 법적 책임이 다르지 않다는 설명이다. 법적으로 개인정보처리자가 통제권을 상실한 경우라면 외부로 데이터가 나가지 않더라도 ‘유출’로 해석하기 때문이다. 다만 조사단이 ‘조회’ 표현을 따로 쓴 건 한 페이지 내 여러 건의 정보가 모여 있어 해당 페이지를 방문한 횟수를 명확히 하기 위해서다. </p>
          <figure class="figure_frm origin_fig" contents-hash="44bce81ce1b30eaa3359510c4a5f8b9c7e03497bf1dead8de312f7df76edf713" dmcf-pid="usLhtzQ9Sv" dmcf-ptype="figure">
           <p class="link_figure"><img alt="최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 '쿠팡 침해사고 민관합동 조사단 조사결과를 발표하고 있다. 뉴스1" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/joongang/20260210184528184vbvk.jpg" data-org-width="1279" dmcf-mid="ZiwZb6gRT5" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/joongang/20260210184528184vbvk.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 '쿠팡 침해사고 민관합동 조사단 조사결과를 발표하고 있다. 뉴스1
           </figcaption>
          </figure>
          <div contents-hash="9e166d9368ccda0e92dd38f5c3e46903a8eeafb41b6ddc6ce13d155ef4c003ff" dmcf-pid="75I3fRcnlS" dmcf-ptype="general">
           <br> ━
           <br>
           <p> 쿠팡 ‘셀프 조사’ 결과와 뭐가 다른가 </p>
           <br> 쿠팡은 지난해 말 자체 조사 결과를 발표하면서 “유출자는 탈취한 보안 키를 사용해 고객 계정 3300만개의 기본적인 고객 정보에 접근했으나 이중 약 3000개 계정의 고객 정보만 저장했다”고 주장했다. 
          </div>
          <p contents-hash="f4da007912cfe40f1bbcdd8325e2ac6c6e2765dbe1c2869fa9b3d25505470865" dmcf-pid="z1C04ekLyl" dmcf-ptype="general">조사단은 공격자가 고객 계정 3300만개의 정보에 접근한 것 자체가 기업의 통제권에서 벗어난 것이라 ‘유출’로 판단했다. 최우혁 과기정통부 정보보호네트워크실장은 “3000건은 피조사 기관인 쿠팡이 한 주장일 뿐”이라며 “정부가 조사하고 검증해 확인한 유출 규모는 오늘 공개한 수치”라고 말했다. 이에 대해 쿠팡 측은 “페이지 조회 수가 정보 유출 규모를 의미하는 것은 아니다”며 “공격자의 페이지 조회는 3370여만개 계정에 대한 개별 개인정보를 수집하려는 시도의 결과”라고 반박했다. </p>
          <figure class="figure_frm origin_fig" contents-hash="5ee5c1bf75a9263691d9f74702350547d806b117cdb65d15aa3e3ccad1632192" dmcf-pid="qthp8dEoSh" dmcf-ptype="figure">
           <p class="link_figure"><img alt="김주원 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/joongang/20260210184529440hvwt.jpg" data-org-width="1280" dmcf-mid="5iBirSFYyZ" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/joongang/20260210184529440hvwt.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            김주원 기자
           </figcaption>
          </figure>
          <p contents-hash="e23745acec532234dd6a7e3e24c487368a1f22119b40429ba47ef0dffff533db" dmcf-pid="BFlU6JDgCC" dmcf-ptype="general"><br> 조사단이 확인한 유출 정보 종류도 쿠팡 측 기존 주장과 차이가 있다. 쿠팡은 유출 정보엔 “이름·이메일·전화번호·주소·일부 주문 정보·2609개의 공동현관 출입 번호가 포함됐다”고 주장했다. 하지만 조사 결과 지인 주소 등에 대한 정보도 포함돼 있었다. 임정규 민관합동조사단장은 “배송지 목록 페이지의 경우 이용자에 따라 주소 정보가 하나만 있기도, 20개가 있기도 하다”며 “정확한 유출 규모는 추후 개인정보보호위원회가 확정해 발표할 예정”이라고 말했다. 공동 현관 비밀번호 정보 등이 포함된 페이지 조회 수가 1억 4806만회에 달하는만큼 실제 유출 범위와 규모는 추후 개인정보위 조사결과에 따라 더욱 커질 것이라는 의미다. </p>
          <p contents-hash="1b4668d731f181ad76d23afd2f45de386af365e888445595d54dc2c79037324b" dmcf-pid="b3SuPiwaTI" dmcf-ptype="general">다만 쿠팡 측 설명대로 결제 정보에 대한 유출은 확인되지 않았다. 조사단은 2차 피해에 대해 “다크웹 등에서 아직 확인하지 못했다”고 밝혔다. </p>
          <div contents-hash="11b22a431d35a8e5980c2b89a0549afe5375a60184a56bcdb65064804b920d4f" dmcf-pid="K0v7QnrNWO" dmcf-ptype="general">
           ━
           <br>
           <p> 공격자 수법은 </p>
           <br> 이번 침해 사고 공격자는 이용자 인증 시스템을 설계하고 개발하는 업무를 담당한 쿠팡의 전직 소프트웨어 개발자(백엔드 엔지니어 스태프)였다. 공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 후 이를 활용해 ‘전자 출입증’을 위·변조해 쿠팡 인증 체계를 통과했다. 정상적인 로그인 절차 없이 개별 이용자 계정으로 쿠팡 웹페이지에 접속했다. 이후 정보를 자동으로 긁어오는 웹 크롤링 수법으로 지난해 4월 14일부터 11월 8일까지 이용자 정보를 수집했다. 
          </div>
          <p contents-hash="508465060abd760a34ae66e84f26f6f5a320237abc4ee3b337a0f3f22744861d" dmcf-pid="9pTzxLmjCs" dmcf-ptype="general">조사단은 쿠팡에 전자 출입증 위·변조 확인 절차가 부재했고, 퇴사자의 서명키 관리를 제대로 하지 않았다는 점을 지적했다. 쿠팡은 특히 모의해킹을 통해 전자 출입증 전반의 인증 체계의 취약점을 발견했지만, 근본적인 문제 개선을 하지 않은 것으로 나타났다. </p>
          <div contents-hash="759159827c2b5f46a563caddcbc8f178a8ec11e628ed45d4573ff0dba240b7d6" dmcf-pid="2UyqMosAhm" dmcf-ptype="general">
           ━
           <br>
           <p> 앞으로는 </p>
           <br> 
          </div>
          <figure class="figure_frm origin_fig" contents-hash="9a10a50522d2c4db17583d22a6fa81ce9c7dfba2b4204b929f6e8b9848dfa2b9" dmcf-pid="VuWBRgOcvr" dmcf-ptype="figure">
           <p class="link_figure"><img alt="10일 서울 시내 쿠팡 물류센터 앞을 시민이 지나가고 있다. 뉴스1" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/joongang/20260210184530705ryzf.jpg" data-org-width="1279" dmcf-mid="1hnC17PKyX" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/joongang/20260210184530705ryzf.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            10일 서울 시내 쿠팡 물류센터 앞을 시민이 지나가고 있다. 뉴스1
           </figcaption>
          </figure>
          <div contents-hash="017593c90fae7ccca67b40c1f422b846d2977c829f517fc5c248a2094da339fb" dmcf-pid="fHm19QNdTw" dmcf-ptype="general">
            과기정통부는 이번 조사 결과를 토대로 쿠팡에 재발 방지 대책에 따른 이행 계획을 제출하도록 했다. 또 쿠팡이 침해 사고를 인지한 후 24시간이 지난 후에 신고한 점을 고려해 과태료를 부과할 예정이다. 또 쿠팡의 자료보전 명령 위반과 관련해 수사기관에 수사도 의뢰했다. 
          </div>
          <p contents-hash="7ab96b29cd8510387fd039bf5319744b90556d58e60133b53c92c6d15e22f0b9" dmcf-pid="4Xst2xjJhD" dmcf-ptype="general">이번 조사와 별도로 개인정보위는 쿠팡 침해 사고관련 개인정보보호법에 따른 개인정보 유출 규모 및 법 위반 여부도 조사하고 있다. 1조원 이상의 과징금 부과 여부와 16만5000여개 회원 계정에 대한 추가 유출 여부는 이 조사 결과에서 나온다. 공격자의 국적 정보와 배후 세력 존재 여부 등은 경찰 수사를 통해 드러날 것으로 전망된다. </p>
          <p contents-hash="7d653fbc54e724e8db7cda6219749461f53638ab8618e7d91abc0906ac489bd0" dmcf-pid="8ZOFVMAiSE" dmcf-ptype="general">강광우 기자</p>
         </section> 
        </div> 
        <p class="" data-translation="true">Copyright © 중앙일보. 무단전재 및 재배포 금지.</p>

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기