【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]"퇴사자가 로그인 키 따로 노트북 저장"…조사단이 밝힌 쿠팡의 잘못

온카뱅크관리자

2026-02-10 14:17:32

<div id="layerTranslateNotice" style="display:none;"></div>  
        <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
         <section dmcf-sid="Fit1yZB3ty">
          <figure class="figure_frm origin_fig" contents-hash="303a4c208381a69392e8209c61ccfef7b9881c63f1534bcdb4be13909b8aad39" dmcf-pid="3nFtW5b0GT" dmcf-ptype="figure">
           <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/moneytoday/20260210141126554zvua.jpg" data-org-width="1200" dmcf-mid="bZVaeosAX9" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/moneytoday/20260210141126554zvua.jpg" width="658"></p>
          </figure>
          <p contents-hash="a75110afa122f2eef44b0b710e70ca6b98ce63ff7625f67a79a51f0c924406c3" dmcf-pid="0L3FY1KpHv" dmcf-ptype="general">과학기술정보통신부는 10일 쿠팡 침해사고에 대한 민관합동조사단(이하 조사단)의 조사 결과를 발표하며, 쿠팡이 이용자 인증 체계와 서명 키 등에 대한 관리가 부실했다고 판단했다. 이에 재발방지 대책을 요구했다. </p>
          <p contents-hash="81ebec6199b97b183c65e158b9837543a5fa74d5bd05bfb1cbe92519abaa7c38" dmcf-pid="po03Gt9UXS" dmcf-ptype="general">먼저 문제점으로 꼽은 것은 이용자 인증체계다. 조사단은 공격자가 위·변조한 '전자 출입증'을 사용해 쿠팡 서비스에 무단으로 접속한 것을 확인했고, 정상적인 발급 절차를 거친 '전자 출입증'인지 여부를 검증하는 체계가 부재한 사실을 확인했다.</p>
          <p contents-hash="5b69b1a025e1363357775a254d283d50734771f29fc2854fc76e02196d421088" dmcf-pid="Ugp0HF2uGl" dmcf-ptype="general">앞서 쿠팡은 모의해킹을 통해 '전자 출입증' 기반 인증 체계의 취약점 발굴·개선을 추진했지만 발견된 문제에 대해서만 해결책을 모색했다. 정작 쿠팡의 관문서버 이용자 인증 체계 개선 등 전반적인 문제점 검토는 이뤄지지 않았다.</p>
          <p contents-hash="37166c93771ba5daa8c829bf6a43d1da9eafda460a69fbfca1d94ba1ade25609" dmcf-pid="uaUpX3V7Hh" dmcf-ptype="general">이에 따라 조사단은 쿠팡이 정상 발급절차를 거치지 않은 '전자 출입증'에 대한 탐지 및 차단 체계를 도입하는 한편, 모의해킹에서 발견된 취약점에 대해서는 근본적인 문제개선 방안을 마련해야 한다고 주문했다. </p>
          <figure class="figure_frm origin_fig" contents-hash="9f22811146242bec7e67c222f677abaae39e5c16fd8d23d53ce69528a6438d14" dmcf-pid="7NuUZ0fzXC" dmcf-ptype="figure">
           <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/moneytoday/20260210141127781hqfa.jpg" data-org-width="1200" dmcf-mid="t6TvmltWYW" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/moneytoday/20260210141127781hqfa.jpg" width="658"></p>
          </figure>
          <p contents-hash="311f8fa674f101c9888124b30383b0efcde1f0bc80a80e9a290d2824993ba936" dmcf-pid="zj7u5p4q1I" dmcf-ptype="general"> 키 관리체계도 문제가 있었다. </p>
          <p contents-hash="441db9e10593279fb2dafee0e41a09fafaf9324e9b248ba1d26c8a4ca07e0c98" dmcf-pid="qAz71U8BGO" dmcf-ptype="general">쿠팡은 자체 규정에 따라 서명키를 '키 관리시스템'에서만 보관하고, 개발자 PC 등에 저장(소스코드 내 하드코딩)하지 않도록 해야 한다고 명시하고 있다. 그러나 조사단은 현재 재직 중인 쿠팡 개발자가 노트북에 서명키를 저장, 키 유출 및 오남용 위험이 있음을 발견했다.</p>
          <p contents-hash="2f53965962a46914676acfa6e1db66c9cec7b7bc3a64c35691cab9b67bfaff5e" dmcf-pid="BEbB3zQ9Ys" dmcf-ptype="general">또 쿠팡은 서명키를 체계적으로 관리할 수 있도록 발급 내역을 기록·관리하도록 규정하고 있으나, 조사단은 키 이력 관리 체계가 부재해 목적 외 사용을 파악하는 조차 불가능함을 확인했다. </p>
          <p contents-hash="40c8fa7ec6c060189864728d2229cfbbe3f1a96f3cd8280f28c28aac52238ff8" dmcf-pid="bDKb0qx2Ym" dmcf-ptype="general">내부자(퇴사자)로 인해 서명키와 같은 주요 정보가 탈취될 수 있는 위협에 대한 대응체계도 없었다. </p>
          <p contents-hash="efd597a7b201b93ae308a060e08e89d8362316913e71eb4a3dd483f669507cf7" dmcf-pid="Kw9KpBMVGr" dmcf-ptype="general">쿠팡은 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 받았다. 조사단은 이에 대해서도 점검했다. 그 결과, 쿠팡은 개발과 운영을 분리하지 않고 개발자에게 실제 운영 중인 '키 관리 시스템'에 접근하도록 권한을 부여했다. 또 내부 규정에서 키의 수명(3년 주기)만 정의하였고, 사용자의 정보 변경에 따른 교체 등 세부적인 운영절차 수립이 미흡했다.</p>
          <p contents-hash="5bd7256fd3057a050e8701d6fd1096c93e45f58bdf2b9469904eec6473d80fb7" dmcf-pid="9r29UbRftw" dmcf-ptype="general">정보보호 관리체계도 미흡했다. </p>
          <p contents-hash="db5743b1050f36f660d23b84ac3835335db3e21347b4ea3ec26d78ad139a9342" dmcf-pid="2mV2uKe45D" dmcf-ptype="general">쿠팡은 이번 침해사고가 동일한 서버사용자 식별번호를 반복적으로 사용했으며, 위·변조된 '전자 출입증'을 활용한 비정상 접속행위가 발생했음에도, 해당 공격 행위를 통한 정보유출을 탐지·차단하지 못했다.</p>
          <p contents-hash="320b80e35cda225b7da0b8ac8cd9bdaf51c323e2fd345e26538d06691c33b813" dmcf-pid="VsfV79d8XE" dmcf-ptype="general">쿠팡은 접속기록(로그) 중 서버사용자 식별번호, 이용자 고유식별번호를 내정보 수정페이지에서만 저장·관리하고 있으며, 배송지 목록, 주문목록 등 페이지에서는 해당 정보를 저장·관리하고 있지 않다. </p>
          <p contents-hash="4d8c7908e40e8b62f2c481dfd47e1d6d82a2e983fce75b77d1b69c0c5bf8db2f" dmcf-pid="fO4fz2J6Gk" dmcf-ptype="general">이에 조사단은 쿠팡에 비정상 접속행위 탐지 모니터링을 강화하고, 사고원인 분석 및 피해규모 식별 등 목적에 맞는 로그 저장관리 정책을 수립 및 정비할 것을 촉구했다. 또 자체 보안규정 준수 여부에 대한 정기 점검을 실시하고, 미준수 사항 발생 시 즉각 개선하는 관리체계를 구축해야 한다고 덧붙였다. </p>
          <p contents-hash="988f18bce6544f905d6b5c9b09e2eb7df1e92fe97aea576ea421772141922b55" dmcf-pid="4I84qViPZc" dmcf-ptype="general">조사단은 이번 조사에서 쿠팡이 침해사고 신고 지연, 자료보전 명령 위반 등의 법을 위반한 사실도 확인했다. </p>
          <div contents-hash="45c7b3739134db8fd7657920cae588975ef030ad741a7a46ae7f17e33c83458a" dmcf-pid="8C68BfnQGA" dmcf-ptype="general">
           <div></div>
           <div></div>
           <div>
            ━
           </div>
<strong>인지 후 신고 이틀 늦었다…조사 위한 자료 보전도 안해</strong>
           <div>
            ━
           </div>
           <div></div>
           <div></div>
           <br>침해사고가 발생하면 정보통신망법 제48조의3에 따라 침해사고를 인지한 후 24시간 이내에 과기정통부 또는 KISA에 신고해야 한다. 그러나 쿠팡은 정보보호 최고책임자(CISO)에게 보고한 시점(25.11.17 16:00)으로부터 이틀이 지난 후 KISA에 신고('25.11.19 21:35) 했다. 이에 정보통신망법에 따른 과태료(3000만원 이하)를 부과할 예정이다.
          </div>
          <p contents-hash="1e3093e8c196c98ea9b7d6945c172f7f24b174a74c98d571be4afc56c8cb2302" dmcf-pid="6hP6b4LxZj" dmcf-ptype="general">쿠팡은 침해사고 원인 분석을 위해 자료보전을 하라는 과기정통부의 명령도 듣지 않았다. 과기정통부는 정보통신망법 제48조의4에 따라 쿠팡에 자료보전을 명령('25.11.19 22:34)했지만, 쿠팡은 자사 접속기록의 자동 로그 저장 정책을 조정하지 않아 약 5개월('24.7~11월) 분량 웹 접속기록이 삭제됐다. 또 애플리케이션 접속기록(로그)도 지난해 5.23~6.2일 간의 데이터가 삭제됐다. 이는 수사기관에 수사를 의뢰했다.</p>
          <p contents-hash="58ad41626cc48c5caaf17a6b145a1479c93e05b79d29f59c4d925614a8729353" dmcf-pid="PlQPK8oMYN" dmcf-ptype="general">과기정통부는 이번 조사단의 조사결과를 토대로, 쿠팡에 재발방지 대책에 따른 이행계획을 제출(2월)토록 하고, 쿠팡의 이행(3~5월) 여부를 점검(6~7월)할 계획이다. 이행점검 결과, 보완이 필요한 사항에 대해서는 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획이다.</p>
          <p contents-hash="6c8640be3952a26c4454aedee1bb06660b5cc968f9683096eee21cd0f8905699" dmcf-pid="QSxQ96gR5a" dmcf-ptype="general">김소연 기자 nicksy@mt.co.kr 이찬종 기자 coldbell@mt.co.kr</p>
         </section> 
        </div> 
        <p class="" data-translation="true">Copyright © 머니투데이 &amp; mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.</p>

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기