【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]쿠팡 개인정보 3367만명·배송지 목록 1.4억 건 털렸다...'관리 부실'이 원인 [일문일답]

온카뱅크관리자

2026-02-10 17:27:29

<div id="layerTranslateNotice" style="display:none;"></div> 쿠팡 민관합동조사단, 10일 브리핑 열고 조사 결과 발표 위·변조 전자 출입증 검증 체계·모의해킹 통한 취약점 개선 '미흡' 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="xwcGJjhDC8">
 [아이뉴스24 안세준 기자] 쿠팡의 대규모 개인정보 유출 사고가 고도화된 외부 해킹이 아니라 인증·암호키 관리 미흡 등 내부 보안 관리 부실에서 비롯됐다는 정부 조사 결과가 나왔다. 공격자(해커)가 이용자 인증 취약점을 악용해 정상 로그인 없이 계정에 접속하면서 대규모 정보 유출이 발생했다는 것이다. 위·변조 전자출입증 검증 체계 또한 미흡해 침해 행위를 사전에 차단하지 못한 것으로 드러났다.
 <figure class="figure_frm origin_fig" contents-hash="e979e5598bc277f860b044143a10ca6e99b0ac6ee6278084cb9411783007e0ae" dmcf-pid="Wb7dZU8Bhf" dmcf-ptype="figure">
 <img alt="10일 서울 종로구 정부서울청사에서 열린 쿠팡 침해사고 민관합동조사단 조사 결과 발표 브리핑에서 최우혁 과학기술정보통신부 네트워크정책실장(왼쪽)이 발표하고 있다. [사진=안세준 기자]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/inews24/20260210171745465yszn.jpg" data-org-width="580" dmcf-mid="Qr4A7ViPy6" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/inews24/20260210171745465yszn.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 10일 서울 종로구 정부서울청사에서 열린 쿠팡 침해사고 민관합동조사단 조사 결과 발표 브리핑에서 최우혁 과학기술정보통신부 네트워크정책실장(왼쪽)이 발표하고 있다. [사진=안세준 기자]
 </figcaption>
 </figure>
 10일 쿠팡 민관합동조사단(단장 임정규)은 서울 종로구 정부서울청사에서 브리핑을 열고 쿠팡 침해사고에 대한 조사 결과를 발표했다. 조사 결과에 따르면, 쿠팡 침해사고로 인해 성명·이메일 등 3367만여건의 개인정보 유출이 확인됐다. 또한 배송지 목록 페이지는 1억4000만회 이상 조회된 것으로 조사됐다. 실제 노출 규모는 더 클 수 있다는 분석이다.
 조사단은 특히 쿠팡 인증 체계와 암호키 관리 시스템이 제대로 작동하지 않았던 점을 문제로 지적했다. 공격 방식 역시 쿠팡의 관리 취약점을 이용한 결과 이용자 계정에 접속됐고 대규모 정보 무탄 유출로 이어졌다는 판단이다. 초기 조사 과정에서는 쿠팡의 자료 제출 협조가 원활하지 않았고, 조사 데이터량이 방대해 조사 기간이 길어졌다는 설명도 나왔다.
 다만 정부는 현재까지 결제 정보 유출이나 2차 피해 사례는 확인되지 않았다고 밝혔다. ISMS-P 인증 미흡 사항에 대해서는 보완 조치를 우선 요구한 뒤 개선이 이뤄지지 않을 경우 시정명령, 인증 취소 절차 등이 진행된다는 설명이다.
 다음은 이날 브리핑에서 최우혁 과학기술정보통신부 정보보호네트워크정책실장, 임정규 민관합동조사단 단장 겸 과기정통부 정보보호네트워크정책관, 이동근 민관합동조사단 부단장 겸 한국인터넷진흥원(KISA) 디지털위협대응본부장과의 일문일답이다.
 -쿠팡 자체 조사 결과 발표 시점(2025년 12월25일)과 비교해 합조단 조사 결과는 오랜 시간이 소요됐다. 이유는.
 (최우혁 실장) 처음에는 쿠팡의 자료 요청에 대한 협조가 미진한 부분이 있었다. 이후에는 신속하게 제출했다. 시간이 걸린 것은 데이터가 방대해서다. 기초 데이터량이 많았기 때문에 조사하는 데 어려움이 있었다.
 -직간접적으로 지목되고 있는 용의자 중국인(쿠팡 전 직원)에 대한 조사는 이뤄졌는지.
 (최 실장) 공격자에 대한 부분은 경찰의 수사 영역이다. 중국인 조사 여부는 저희 영역이 아니다.
 -전직자의 소행이라면 쿠팡의 관리 소홀로 봐야 하는지, 지능화된 해킹으로 봐야 하는지.
 (최 실장) 인증 체계 관리상 문제점을 강하게 질타하고 지적했다. 키 관리 시스템도 제대로 안 되고 있다는 점을 정확하게 지적했다. 이것은 분명 관리의 문제다. 지능화된 공격으로 보기는 어려울 것 같다.
 -쿠팡이 진행한 모의해킹에서 쿠팡 측이 인지한 인증체계 구조적 결함은 어떤 내용이었나.
 (이동근 민관합동조사단 부단장) 문제가 된 토큰과 관련해 여러 모의해킹을 시도해 문제점을 찾아가는 과정들이 있었다. 문제를 해결하는 과정 중에 근본적으로 이 토큰을 통해 공격자가 할 수 있는 경로상 문제점을 진단하고 제거했어야 하는데, 쿠팡은 모의해킹한 부분에 대해서만 집중해서 관리했다. 관문에서 토큰을 검증하는 체계에 대해 전혀 검토가 이뤄지지 않다 보니 이번 사고와 연결됐다.
 -공격자가 이용자들의 전자 출입증을 일대일(1:1)로 위변조해 접속한 게 맞나.
 (이 부단장) 토큰을 위변조했을 때 매번 접속할 때마다 새로 생성해서 사용했다. 토큰의 구조상 안에 고유번호가 들어가야 한다. 그 번호를 넣을 때마다 새로 서명키, 일종의 도장을 찍고 만들어야 한다. 접속할 때마다 그런 형태 토큰을 생성했다고 보면 된다.
 -쿠팡은 정보가 3000여건 저장됐다가 삭제 처리됐다고 발표했다. 이 주장에 대한 진위 여부는.
 (최 실장) 3000여건은 쿠팡이 이야기한 것이다. 저희는 쿠팡의 서버를 다 조사해서 외부 공격자로 인해 얼마만큼 조회, 유출이 됐는지 말씀드리는 것이다.
 -쿠팡의 3000여건 주장 관련, 사고 범위를 축소하려는 행위로 볼 수 있는지. 법적 문제 소지 여부는.
 (최 실장) 피조사 기관의 주장일 뿐이다. 그 주장에 대해 조사하고 검증하고 확인해서 국민들께 투명하게 조사 결과를 발표하는 것이 조사단의 의무다. 적게 숫자가 발표됐다고 해서 법적으로 처벌할 수 있는 규정은 없다.
 -개보위 과징금 여부가 아직 남아 있지만 유출 규모나 보안 관리 부실에 비해 처벌이 미약한 것으로 보인다. 정보통신망법상 관리 부실 등으로 처벌할 수 있는 법적 근거는 없는지. 
 (최 실장) 과징금에 대한 부분은 개보위 영역이다. 정보통신망법에서는 지연 신고, 재발 방지 대책 이행에 대해 문제가 있다고 할 경우 과태료 처분 등을 할 수 있다. 앞으로 법 개정에 따라 망법에서도 침해사고에 대해 과징금을 물릴 수 있도록 입법이 진행되고 있다. 국회에서 입법되면 침해사고에 대해 과징금을 물리는 제도가 만들어 질 것이다.
 -공격자가 총 2313개 IP를 이용한 것과 관련, 구체적으로 어떻게 사용된 것인지.
 (이 부단장) 공격자가 유출할 때 사용했던 IP가 로그에 남아 있는 것들을 뽑은 것이다. 저희가 추정하기로는 해커가 하나의 IP만 쓴 게 아니라 다양한 IP를 사용해 정보를 유출했다고 보고 있다.
 -정부는 유출 규모에 대해 내정보 수정 페이지에서 성명·이메일 3367만여건 유출이 확인됐고, 배송지 목록 페이지에서 1.4억여회 조회됐다고 밝혔다. 유출과 조회는 무슨 차이인가.
 (임정규 민관합동조사단 단장) 내정보 수정 페이지에는 한 페이지에 이름이 하나, 이메일이 하나만 나온다. 명시적으로 바로 나온다. 그런데 배송지 목록에 주소에 들어가 보면 1개 페이지에 어떤 페이지는 주소를 하나만 넣는 사람도 있고 주소를 20개 넣는 사람도 있다. 그리고 그 페이지 안에는 성명, 전화번호, 주소, 공동현관 비밀번호까지 다 들어가 있다. 어떻게 보면 1개부터 20개까지 분류를 할 수가 있다.
 그래서 이 페이지에 조회한 한 페이지를 하나로 봤다. 이를 1.4억여회를 조회했다고 발표한 것이다. 개인정보보호위원회에서 확인해서 발표해야 하기 때문에 저희는 이 페이지에 조회했다고 발표했다.
 -쿠팡의 정보보호 및 개인정보보호 관리체계인증(ISMS-P) 미흡 관련 인증 취소 계획은.
 (임 단장) ISMS 인증 기준에 미달되는 부분이 있었다. 특히 직무 분리가 미흡하고 암호키 관리 부분 인증 체계에 미흡한 부분이 있었다. 다만 통상적인 절차는 인증 기준 미달에 대해서 일단 보완 조치를 요청한다. 보완 조치 이후 개선이 안 될 경우 시정명령하고, 그래도 안 될 경우 취소하는 절차를 진행한다. 미달 기준이 나왔을 때 그것을 보완하는 것을 우선하고 있다.
 -쿠팡 정보 유출로 인한 2차 피해 여부는.
 (최 실장) 2차 피해 부분은 현재까지 확인하지 못했다.
 -조사단은 공격자 PC 저장장치(HDD 2대, SSD 2대)를 포렌식 분석한 결과, 공격자가 정보 수집·외부 서버 전송이 가능한 공격 스크립트를 작성한 것을 확인했다고 밝혔다. 공격자가 의도적으로 외부 서버 전송 기능을 포함시켰다고 봐야 하는지.
 (이 부단장) 쿠팡으로부터 제출받은 공격자의 하드디스크와 SSD에 있는 내용을 포렌식했다. 공격자가 제작한 것으로 보이는 스크립트를 확인했고, 그 스크립트에는 해외 소재 클라우드 서버와 연동하는 기능이 있었다. 다만 제출받은 하드디스크 상에서는 직접적으로 통신한 기록이 없었다. 로그가 일부 삭제됐을 수 있다. 실제 삭제 흔적이 있는데 (삭제가 되어) 판단할 수 없었다.
 <address contents-hash="f26da81fcd0ada432451b571ac40093955453a1f6a4a99a9f73209b3b582de23" dmcf-pid="WPfju2J6hI" dmcf-ptype="general">/안세준 기자(nocount-jun@inews24.com)
</address>
 </section> 
 </div> 
 Copyright © 아이뉴스24. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

놀이터홍보 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기