【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[실시간뉴스]쿠팡 직원 어떻게 개인정보 털었나…'인증토큰·서명키' 의심

온카뱅크관리자

2025-12-01 10:57:48

<div id="layerTranslateNotice" style="display:none;"></div> 전문가 "인증토큰 있으면 로그인 없이 DB 접근 가능" 퇴사자 권한 회수·서명키 관리 부실 논란 확산 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="XwLjqIDgH1">
 <figure class="figure_frm origin_fig" contents-hash="8ee5fff0ecbc5eebb256bcaea5ac09fbbf47f20e79bdb7bfacf33a921d9d38cb" dmcf-pid="ZroABCwaZ5" dmcf-ptype="figure">
 <img alt="고객정보 유출된 쿠팡 (서울=연합뉴스) 신현우 기자 = 국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3천만건이 넘는 대규모 정보 유출 사고가 발생했다. 쿠팡은 현재까지 고객 계정 약 3천370만개가 유출된 것을 확인했다. 이는 국내 성인 네 명 중 세 명의 정보에 해당하며, 사실상 쿠팡 전체 계정에 맞먹을 것으로 추정된다.
 사진은 30일 서울 송파구 쿠팡 본사. 2025.11.30 nowwego@yna.co.kr" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/01/yonhap/20251201105707801aegz.jpg" data-org-width="1200" dmcf-mid="HbVPGoe41t" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/01/yonhap/20251201105707801aegz.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 고객정보 유출된 쿠팡 (서울=연합뉴스) 신현우 기자 = 국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3천만건이 넘는 대규모 정보 유출 사고가 발생했다. 쿠팡은 현재까지 고객 계정 약 3천370만개가 유출된 것을 확인했다. 이는 국내 성인 네 명 중 세 명의 정보에 해당하며, 사실상 쿠팡 전체 계정에 맞먹을 것으로 추정된다. 사진은 30일 서울 송파구 쿠팡 본사. 2025.11.30 nowwego@yna.co.kr
 </figcaption>
 </figure>
 (서울=연합뉴스) 오지은 기자 = 쿠팡에서 3천370만명의 개인정보가 대규모로 유출된 원인으로 인증 토큰과 서명키 관리 부실 의혹이 도마 위에 오르고 있다. 
 1일 정보통신기술(ICT) 업계와 과학기술정보방송통신위원장 최민희 의원실에 따르면 쿠팡 고객 정보를 빼돌린 건 현재는 퇴사한 인증 관련 담당자로 알려졌다.
 보안업계에서는 개인 정보를 유출한 직원이 인증 관련 담당자가 맞다면, 이 직원이 인증 관련 권한을 갖고 있어 퇴사 이전부터 로그인 없이 취약점에 접근하기 쉬웠을 것으로 보고 있다. 
 최 의원실 등에 따르면 이 직원은 퇴사 이후 개인 정보를 유출했다고 알려졌는데, 이 과정에서 인증 토큰 서버인증키와 보안 취약점을 악용한 것으로 추정되고 있다.
 인증 토큰은 로그인할 때 발행되는 출입증으로, 통상 토큰을 갖고 있으면 시스템에 로그인 없이 접근할 수 있다. 
 이렇듯 인증 관련 담당자가 퇴사 후에도 인증토큰을 활용해 시스템에 접근했다면, 그 배경으로는 쿠팡이 인증 토큰 생성에 필요한 서명키를 부실하게 관리한 점이 지목되고 있다.
 <figure class="figure_frm origin_fig" contents-hash="75050558ea909fd2dd9d64af88872f090b73c9f80b13c78dfdd09e137d42468b" dmcf-pid="pgQdtcoM5y" dmcf-ptype="figure">
 <img alt="발언하는 박대준 쿠팡 대표 (서울=연합뉴스) 한종찬 기자 = 30일 정부서울청사에서 쿠팡 관련 긴급 관계부처 장관회의가 열린 가운데 박대준 쿠팡대표가 회의장을 나서며 공개 사과하고 있다. 2025.11.30 [공동취재] saba@yna.co.kr" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/01/yonhap/20251201105504374xmuw.jpg" data-org-width="1200" dmcf-mid="7JmUwfB3G5" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/01/yonhap/20251201105504374xmuw.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 발언하는 박대준 쿠팡 대표 (서울=연합뉴스) 한종찬 기자 = 30일 정부서울청사에서 쿠팡 관련 긴급 관계부처 장관회의가 열린 가운데 박대준 쿠팡대표가 회의장을 나서며 공개 사과하고 있다. 2025.11.30 [공동취재] saba@yna.co.kr
 </figcaption>
 </figure>
 인증 토큰은 생성과 폐기가 빠르면 1시간 이내로 완료되는 등 주기가 짧은데, 이를 생성하기 위해 필요한 게 서명키다. 
 쿠팡이 해당 직원 퇴사 후에도 서명키를 삭제하거나 갱신하지 않았다면 해당 직원이 인증 토큰을 악용해 데이터베이스(DB) 접속할 수 있게 되는 것이다.
 보안 전문가는 "(인증토큰과 서명키를 악용하면) 외부에서 접근해서 자신의 (인증) 권한을 행사할 수 있었을 것"이라며 "로그인 없이 데이터베이스(DB)를 빼냈다는 건 인증토큰을 활용했다는 가능성이 높다는 의미"라고 말했다. 
 염흥열 순천향대 정보보호학과 교수는 "통상 퇴사하면 모든 계정, 모든 접근 권한을 뺏어야 한다"라며 "만약 쿠팡이 이를 살려뒀다면 이러한 관리 방침이 이해되지 않는다"라고 말했다. 
 특히 쿠팡의 개인정보 유출 사고는 해커 등 외부 사이버 공격에 이뤄졌던 여타 개인정보 유출 사고와 달리 내부자의 소행이라는 점에서 차별점이 있다. 
 지난 2011년 3천500만명의 개인정보가 유출된 싸이월드-네이트의 경우 중국 해커가 이스트소프트 알집 업데이트 서버를 해킹하면서 시작됐고, 지난 4월 2천300만명의 개인정보가 유출된 SK텔레콤도 외부 해커의 유심 복제가 발단이 됐다. 
 염 교수는 "퇴사한 직원이 이렇게 대규모로 개인정보를 유출한 건 이번이 처음인 것으로 안다"라고 말했다. 
 built@yna.co.kr
 ▶제보는 카톡 okjebo
 </section> 
 </div> 
 Copyright © 연합뉴스. 무단전재 -재배포, AI 학습 및 활용 금지

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기