【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[실시간뉴스]쿠팡 해킹, 배송지 등 1억4800만건…이용자 정보 3367만명

온카뱅크관리자

2026-02-10 14:17:55

<div id="layerTranslateNotice" style="display:none;"></div> 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="K51a3zQ9yf">
 <figure class="figure_frm origin_fig" contents-hash="23dad87b6c7a63c6626038d62434c45512d37a2d6b8ba8d86c1d37f0aa9f5c55" dmcf-pid="91tN0qx2vV" dmcf-ptype="figure">
 <img alt="연합뉴스" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/kukminilbo/20260210141245280hzcq.jpg" data-org-width="1200" dmcf-mid="bTyeGt9UC4" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/kukminilbo/20260210141245280hzcq.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 연합뉴스
 </figcaption>
 </figure>
 쿠팡 전 직원이 유출한 개인정보 규모가 당초 정부 추정대로 3000만건을 넘어는 것으로 파악됐다. 범인이 들여다본 배송지 주소 등의 정보는 1억5000만건에 달하는 것으로 조사됐다.
 과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해 사고에 관한 민관 합동 조사 결과를 잠정 발표했다.
 과기정통부는 지난해 11월 29일부터 남아있는 쿠팡의 웹 접속기록(로그) 25.6테라바이트(TB) 분량(데이터 6642억 건)을 분석한 결과 쿠팡 '내 정보 수정 페이지'에서 이용자 이름, 이메일 3367만여 건이 유출된 것을 확인했다.
 조사 대상에는 범행에 쓰인 것으로 추정되는 공격자의 PC 저장장치 4대가 포함됐고 현재 재직 중인 쿠팡 개발자 노트북도 포렌식 조사했다.
 ‘배송지 목록 페이지’에서는 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보를 범인이 1억4800만여 차례 조회해 정보가 유출된 것을 파악했다.
 이 정보에는 쿠팡 계정 소유자 본인 외에도 물품을 대신 구매해 배송한 가족, 친구 등의 이름, 전화번호, 배송지 주소 등 제삼자 정보도 다수 포함돼 있어 정보 유출 대상자 범위가 확대될 가능성이 있다.
 또, 조사단이 파악한 개인정보 유출 규모에는 쿠팡이 최근 추가로 밝힌 16만5000여 계정 유출 건은 포함되지 않은 것으로 알려졌다.
 조사단은 “웹 접속기록 등을 기반으로 유출 규모를 산정했고 정확한 개인정보 유출 규모에 대해서는 향후 개인정보보호위원회에서 확정해 발표할 예정”이라고 밝혔다.
 2차 범죄에 악용될 우려가 컸던 공동현관 비밀번호는 ‘배송지 목록 수정 페이지’를 통해 이름, 전화번호, 주소와 함께 5만여 건 조회됐다.
 최근 주문한 상품 목록은 ‘주문 목록 페이지’에서 10만여 차례 조회됐다.
 조사단이 파악한 정보 유출 규모는 중국인 전 직원이 지난해 11월 25일 쿠팡 측에 보낸 이메일에서 주장한 유출 규모보다는 작다.
 그는 이메일에서 “1억2000만개 이상의 배송 주소 데이터, 5억6000만개 이상의 주문 데이터, 3300만개 이상의 이메일 주소 데이터를 확인했다”고 밝힌 바 있다.
 조사단은 그가 쿠팡 재직 당시 시스템 장애 시 백업을 위한 이용자 인증 시스템 설계를 맡은 개발자였다며 지난해 1월부터 쿠팡 서버의 인증 취약점을 발견하고 공격 여지를 시험한 뒤 지난해 4월 14일부터 본격적인 무단 유출에 나섰다고 전했다.
 범인은 지난해 11월 8일까지 자동화된 웹 크롤링 공격 도구를 이용해 이용자들의 개인정보를 수집했다. 이를 외부 클라우드로 전송했는지 여부는 확인되지 않았다.
 조사단은 이용자 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 접속, 대규모 정보 유출을 했는데도 쿠팡 측이 이를 인지하지 못했다고 지적했다.
 또, 정상 발급 절차를 거치지 않은 ‘전자 출입증(토큰)’이 사이버 공격에 악용될 가능성이 있다는 점이 쿠팡이 사전에 실시한 모의 해킹에서 드러난 바 있지만 쿠팡이 이를 개선하지 않았다고 했다.
 조사단은 쿠팡에 인증키 발급·사용 이력 관리와 비정상 접속행위 탐지 모니터링을 강화할 것과 자체 보안규정 준수 여부에 대한 정기 점검을 실시할 것을 요구했다.
 아울러, 쿠팡이 사이버 침해 사고를 인지하고 최고정보보호책임자((CISO)에게 보고한 시점인 지난해 11월 17일 오후 4시보다 만 이틀이 지난 19일 오후 9시 35분에 당국에 신고하며 24시간 내 신고 규정을 위반한 데 대해 과태료 처분할 계획이다.
 또, 과기정통부가 지난해 11월 19일 정보 유출 사고 원인 분석을 위해 쿠팡에 자료 보전을 명령했지만 따르지 않아 2024년 7월부터 약 5개월 분량의 웹 접속기록이 삭제되고 지난해 5월 23일∼6월 2일 애플리케이션 접속 기록이 사라진 데 대해서는 수사를 의뢰했다.
 과기정통부는 조사 결과를 토대로 쿠팡에 재발 방지 대책에 따른 이행계획을 이달 중으로 제출하도록 하고 올해 7월까지 이행 결과를 점검할 계획이다.
 구정하 기자 goo@kmib.co.kr
 GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 수집, 재배포 및 AI학습 이용 금지
 </section> 
 </div> 
 Copyright © 국민일보. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기