【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]“쿠팡 전직 직원, 인증키 탈취로 3367만건 개인정보 유출…관리 부실 드러나”

온카뱅크관리자

2026-02-10 17:07:30

<div id="layerTranslateNotice" style="display:none;"></div>  <strong class="summary_view" data-translation="true">정부, 3367만 건 유출 공식 확인…1.4억 회 이상 조회까지<br>퇴사자 접근 차단 실패…중국인 여부는 수사 중<br>규정만 있고 통제는 없었다…키 관리 시스템의 구조적 공백<br>축소 발표·셀프 포렌식 논란 끝…유출 규모 추가 확대 가능성</strong> 
        <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
         <section dmcf-sid="qrtA5u6bmF">
          <p contents-hash="a9164fd5960494af9bb16af8de8de99dece30fd0f603b9214a4f2abc68c4ad00" dmcf-pid="BmFc17PKIt" dmcf-ptype="general"> [이데일리 권하영 기자]정부가 공식 확인한 3367만건 규모의 쿠팡 개인정보 유출 사태는 인증·키 관리 체계 전반의 구조적 허점에서 비롯된 것으로 드러났다. 쿠팡 개발자 출신 공격자는 재직 당시 탈취한 인증 서명키로 퇴사 후에도 수개월간 시스템에 무단 접근했고, 관문 서버의 인증 토큰 검증이 사실상 제대로 작동하지 않으면서 대규모 유출을 막지 못했다.</p>
          <figure class="figure_frm origin_fig" contents-hash="d875d8f10ad2bfbaf80ffdab70002dc244fef724d014693baf9f432ea660eea3" dmcf-pid="bs3ktzQ9r1" dmcf-ptype="figure">
           <p class="link_figure"><img alt="최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 서울 종로구 정부서울청사에서 쿠팡 침해사고 민관합동조사단 조사결과를 브리핑하고 있다. 사진=연합뉴스" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/Edaily/20260210170045549vavg.jpg" data-org-width="670" dmcf-mid="zTfT2xjJE3" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/Edaily/20260210170045549vavg.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 서울 종로구 정부서울청사에서 쿠팡 침해사고 민관합동조사단 조사결과를 브리핑하고 있다. 사진=연합뉴스
           </figcaption>
          </figure>
          <div contents-hash="2b27f3833971cd892bf899f432d5f577228ad2a344ccdd28f4a39d862c3d84e4" dmcf-pid="KO0EFqx2E5" dmcf-ptype="general">
           10일 과학기술정보통신부가 발표한 민관합동조사단 조사 결과, 쿠팡에서 성명·이메일이 포함된 이용자 개인정보 3367만3817건이 유출된 사실이 공식 확인됐다. 성명·전화번호·배송지 주소·비식별화된 공동현관 비밀번호는 물론 가족·지인 등 제3자 정보까지 담긴 ‘배송지 목록’ 페이지는 1억4805만6502회 조회됐고, 주문 상품 정보가 포함된 ‘주문 목록’ 페이지도 10만2682회 조회된 것으로 집계됐다.
          </div>
          <p contents-hash="a657e3447576828a538122b7080216c65e26c6331ffd26b10b7fb64d73aeedb5" dmcf-pid="9IpD3BMVwZ" dmcf-ptype="general"><strong>인증 검증 없는 ‘전자 출입증’…관문 서버가 뚫렸다</strong></p>
          <p contents-hash="4a966fbba12081422eb051c6a8b0b277a74913476f765976a1ed185f44b41e99" dmcf-pid="2CUw0bRfOX" dmcf-ptype="general">조사단은 광범위한 유출과 무단 조회가 가능했던 배경으로 쿠팡의 인증 관리 체계 부실을 지목했다. 통상 이용자는 로그인(ID·비밀번호)을 거쳐 인증 토큰(전자 출입증)을 발급받고, 관문 서버가 토큰의 정상 발급 여부를 검증한 뒤 서비스 접근을 허용한다. 하지만 쿠팡은 관문 서버 단계에서 전자 출입증이 정상 발급 절차를 거친 것인지 확인하는 검증 절차가 사실상 부재했던 것으로 드러났다. 정상 발급이 아닌 토큰도 별다른 차단 없이 서비스 접근이 가능했던 셈이다.</p>
          <p contents-hash="5344b3a8c9fd5292bbafaa75c897df59970347a8a2fd0c085d31db641aa64fb7" dmcf-pid="VhurpKe4wH" dmcf-ptype="general">서명키 관리 역시 허술했다. 쿠팡은 내부 규정상 서명키를 키 관리 시스템에만 보관하고 개발자 개인 PC에는 저장하지 않도록 했으며, 발급·사용 이력을 체계적으로 관리하도록 규정하고 있었다. 그러나 조사 결과 재직 중인 다른 개발자의 노트북에서도 서명키가 저장된 사실이 확인됐고, 서명키 발급·이력 관리 체계도 부재했던 것으로 나타났다. 규정은 있었지만 실행과 통제가 따르지 않았다는 의미다.</p>
          <p contents-hash="f14bb8311fba42c71fa0c01ab40ae66d639cdc602dc9ae516fe2a8aaf74b9046" dmcf-pid="fl7mU9d8mG" dmcf-ptype="general">조사단은 인증·키 관리 체계 전반을 구조적 결함으로 판단하고, 정상 발급 절차를 거치지 않은 토큰 탐지·차단 체계 도입과 모의해킹 과정에서 확인된 취약점의 근본적 개선 등 재발 방지 대책 마련을 쿠팡에 요구했다.</p>
          <p contents-hash="449eccd8c49523fe1a42f347f48c728974b99d45d32e999f5730cd29e1b18491" dmcf-pid="4vqO7ViPOY" dmcf-ptype="general"><strong>전직 개발자 내부 지식 악용…7개월간 자동화 공격</strong></p>
          <p contents-hash="d125d32ca1d6a8ccc8de132593455080baecc3e870fd376d66ebb19aec6d2610" dmcf-pid="8TBIzfnQIW" dmcf-ptype="general">공격자는 쿠팡의 이용자 인증 시스템을 설계·개발했던 소프트웨어 개발자로 확인됐다. 재직 당시 인증 체계의 취약점을 인지한 뒤 서명키를 탈취했고, 퇴사 후 이를 활용해 전자 출입증을 위·변조하는 방식으로 로그인 절차 없이 시스템에 무단 접속했다. 조사단은 공격이 지난해 4월 14일부터 11월 8일까지 약 7개월간 이어졌으며, 2313개 IP와 자동화된 웹 크롤링 도구가 동원됐다고 밝혔다. 다만 공격자의 국적과 IP 접속 위치는 경찰 수사 진행을 이유로 공개되지 않았다.</p>
          <p contents-hash="f2565842abe9f41d3683b8ddac5c3648cb7b3be0928cb7a08c73819dbd132049" dmcf-pid="6ybCq4LxOy" dmcf-ptype="general">최우혁 과기정통부 정보보호네트워크정책실장은 “고도화된 지능형 공격이라기보다 인증 체계 관리 부실과 키 관리 체계의 공백에서 비롯된 명백한 관리 실패”라고 강조했다. 정부는 미 의회 일각에서 제기된 ‘미국 기업 차별’ 주장에 대해서도 “국내외 기업을 차별한 적이 없고, 법과 원칙에 따라 동일 기준을 적용해 왔다”는 입장을 재확인했다.</p>
          <p contents-hash="ec97501ebcfeb0f2d1051464bb6d9250b8ed8b682114093843c8c9ed59516609" dmcf-pid="PWKhB8oMDT" dmcf-ptype="general"><strong>‘셀프 조사’ 논란 종지부…최종 유출 규모 확대 가능성</strong></p>
          <p contents-hash="e814fa95f37532ddcf2947b0f96cea01fdf1418644c79a5be0a58a75e454a976" dmcf-pid="QY9lb6gRsv" dmcf-ptype="general">이번 발표는 쿠팡 개인정보 유출 규모를 둘러싼 논란 속에서 정부가 처음으로 공식 확인한 조사 결과다. 쿠팡은 사고 초기 4536개 계정 유출을 신고했으나, 이후 정부 현장 조사에서 3000만건 이상 유출 정황이 포착됐다. 이후 쿠팡이 “3000여 건의 정보만 저장됐다가 삭제됐다”는 취지의 자체 포렌식 결과를 내놓으면서 ‘축소·셀프 조사’ 논란이 이어졌고, 최근에는 추가로 16만5000여 건 유출 가능성도 안내한 바 있다.</p>
          <p contents-hash="28f6e4a5bf55638277819b3f62de5d7d9a35234fb048529f3765ef9e428c9918" dmcf-pid="xG2SKPaeES" dmcf-ptype="general">정부는 이번 조사에서 3367만건 유출과 함께 배송지 목록·주문 목록 페이지에 대한 대규모 무단 조회 사실까지 확인하면서, 최종 유출 규모가 더 늘어날 가능성도 배제하지 않았다. 다만 본인 정보와 제3자 정보가 복합적으로 얽힌 사안인 만큼, 정확한 유출 규모는 개인정보보호위원회가 추가 조사를 거쳐 확정·발표할 예정이다.</p>
          <p contents-hash="2a4bffad3903b762628328a1ffde7c02f7ef8dd77cb951e27eecaf81c834f253" dmcf-pid="yeO6mv3Gml" dmcf-ptype="general">권하영 (kwonhy@edaily.co.kr) </p>
         </section> 
        </div> 
        <p class="" data-translation="true">Copyright © 이데일리. 무단전재 및 재배포 금지.</p>

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

놀이터홍보 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기