【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[실시간뉴스]쿠팡 해킹의 실체…내부자에 무너진 인증 시스템(종합)

온카뱅크관리자

2026-02-10 15:47:52

<div id="layerTranslateNotice" style="display:none;"></div> 서명키 탈취로 '전자 출입증' 위조…로그인 절차 우회 키 이력관리·비정상 접속 탐지 부실…대규모 크롤링 길 열려 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="8wQ6DIZv1R">
 <figure class="figure_frm origin_fig" contents-hash="50a1bcdb9ac43129f85a838435722a571ca0c51a17e71aaca8639315f49b26e0" dmcf-pid="6rxPwC5THM" dmcf-ptype="figure">
 <img alt="쿠팡 개인정보 유출 더 많았다…16만5천여건 추가 (서울=연합뉴스) 임화영 기자 = 쿠팡에서 유출된 고객 계정 수가 자체적으로 공개한 3천개보다 훨씬 많은 것으로 드러났다.
 쿠팡은 지난해 11월 확인된 개인정보 유출 사건과 관련해 16만5천여건 계정이 추가로 유출된 사실을 확인했다고 지난 5일 밝혔다.
 사진은 6일 서울 시내의 한 쿠팡 물류센터. 2026.2.6 hwayoung7@yna.co.kr" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/yonhap/20260210154041169jhpc.jpg" data-org-width="1200" dmcf-mid="feySqViPtd" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/yonhap/20260210154041169jhpc.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 쿠팡 개인정보 유출 더 많았다…16만5천여건 추가 (서울=연합뉴스) 임화영 기자 = 쿠팡에서 유출된 고객 계정 수가 자체적으로 공개한 3천개보다 훨씬 많은 것으로 드러났다. 쿠팡은 지난해 11월 확인된 개인정보 유출 사건과 관련해 16만5천여건 계정이 추가로 유출된 사실을 확인했다고 지난 5일 밝혔다. 사진은 6일 서울 시내의 한 쿠팡 물류센터. 2026.2.6 hwayoung7@yna.co.kr
 </figcaption>
 </figure>
 (서울=연합뉴스) 오지은 기자 = 쿠팡 소프트웨어(SW) 개발자는 어떻게 3천300만건에 달하는 개인정보를 탈취할 수 있었을까.
 재직 중 알게 된 정보를 악용해 대규모 개인정보를 유출하는 일탈 행위가 가능한 데는 쿠팡의 부실한 관리체계가 원인으로 자리 잡고 있었다.
 과학기술정보통신부는 10일 정부서울청사에서 이러한 내용의 쿠팡 정보통신망 침해사고 민관합동조사단 조사 결과를 발표했다.
 쿠팡 개발자, 어떻게 개인정보 털었나…서명키 빼돌려 출입증 위조
 정부 발표에 따르면 공격자는 쿠팡 재직 당시 이용자 인증 시스템을 설계하고 개발 업무를 수행하던 소프트웨어 개발자(백엔드 엔지니어)였다.
 공격자는 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 비정상적으로 접속해 정보를 무단으로 유출했다.
 정상적으로 접속하는 경우 이용자는 로그인 절차를 거쳐 일종의 전자 출입증을 발급받는다.
 이후 쿠팡 관문 서버는 발급받은 전자 출입증이 유효한지 여부를 검증하고 이상이 없을 시 서비스 접속을 허용한다.
 공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취하고 이를 활용해 전자 출입증을 위조하거나 변조해 쿠팡 인증체계를 통과했다.
 공격자는 재직 당시 이용자 인증 시스템의 취약점과 키 관리체계의 취약점을 인지하고 있었다.
 공격자는 이러한 취약점을 악용해 재직 당시 탈취한 서명키와 내부 정보를 활용해 전자 출입증을 위조했다.
 공격자는 정상적인 로그인 절차 없이 쿠팡 인증 체계를 통과했고 퇴사 후부터 사전 공격 테스트를 진행했다.
 이동근 민관합동조사단 부단장은 공격 수법에 대해 "접속할 때마다 인증 토큰(출입증을) 새로 생성해서 사용했다"라며 "토큰의 구조상 안에 고유 번호가 들어가야 하고 번호를 넣을 때마다 도장(서명키)을 찍고 만들어야 하기 때문이다"라고 부연했다.
 사전 테스트를 진행한 공격자는 이용자 계정에 접근할 수 있다는 사실을 확인한 뒤 자동화된 웹크롤링(데이터 수집) 공격 도구를 이용해 대규모 정보를 유출했다.
 공격자는 사전 테스트에서 위조한 전자 출입증을 이용해 타인의 계정으로 무단 접속한 후 유출한 정보를 해외 소재의 클라우드 서버로 전송할 수 있는 기능을 확인했다.
 조사단이 쿠팡으로부터 제출받은 공격자의 하드디스크와 솔리드 스테이트 드라이브(SSD)를 포렌식한 결과 공격자가 제작한 스크립트가 발견됐고, 스크립트에 외부 클라우드와 연결하는 기능이 포함돼 있었다.
 다만 실제 전송이 이뤄졌는지는 확인되지 않았다.
 이 과정에서 공격자는 2천313개 인터넷 프로토콜(IP)을 사용한 것으로 확인됐다.
 이에 대해 이 부단장은 "쿠팡 공격자를 유출할 때 사용했던 IP가 로그에 남은 것을 조사단이 뽑았다"라며 "해커가 하나의 IP만 쓴 게 아니라 다양한 IP를 써서 정보를 유출했다"라고 설명했다.
 다만 조사단 측은 IP를 통해 접속 위치를 찾는 건 경찰 수사의 영역이라고 선을 그었다.
 쿠팡 보안체계 무엇이 문제였나…서명키·정보보호 체계 '구멍'
 전 임직원이 이처럼 대규모 개인정보 유출을 실행할 수 있었던 이유는 쿠팡의 이용자 인증체계에 허점이 있었기 때문이었다.
 공격자는 위조한 전자 출입증을 이용해 쿠팡 서비스에 무단으로 접속했는데, 쿠팡의 이용자 인증체계는 해당 출입증이 정상 발급 절차를 거친 출입증인지 검증하는 단계가 부족했다.
 <figure class="figure_frm origin_fig" contents-hash="fc314cb5ca29e1ca8f4cdad506ad519d50b528a412a62aaab72583cc01450c1e" dmcf-pid="b85X4MAit1" dmcf-ptype="figure">
 <img alt="쿠팡, 16만5천여건 개인정보 추가 유출 (서울=연합뉴스) 임화영 기자 = 쿠팡에서 유출된 고객 계정 수가 자체적으로 공개한 3천개보다 훨씬 많은 것으로 드러났다.
 쿠팡은 지난해 11월 확인된 개인정보 유출 사건과 관련해 16만5천여건 계정이 추가로 유출된 사실을 확인했다고 지난 5일 밝혔다.
 사진은 6일 서울 시내의 한 쿠팡 물류센터. 2026.2.6 hwayoung7@yna.co.kr" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/yonhap/20260210154041355ieaj.jpg" data-org-width="1200" dmcf-mid="4vAaW5b01e" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/yonhap/20260210154041355ieaj.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 쿠팡, 16만5천여건 개인정보 추가 유출 (서울=연합뉴스) 임화영 기자 = 쿠팡에서 유출된 고객 계정 수가 자체적으로 공개한 3천개보다 훨씬 많은 것으로 드러났다. 쿠팡은 지난해 11월 확인된 개인정보 유출 사건과 관련해 16만5천여건 계정이 추가로 유출된 사실을 확인했다고 지난 5일 밝혔다. 사진은 6일 서울 시내의 한 쿠팡 물류센터. 2026.2.6 hwayoung7@yna.co.kr
 </figcaption>
 </figure>
 쿠팡은 모의 해킹으로 전자 출입증 기반 인증 체계의 취약점을 발굴했지만, 해당 문제에 대한 해결책을 모색하는 등 전반적인 문제점 검토를 수행하지 않았다.
 전 직원이 빼돌린 서명키를 관리하는 체계 역시 미흡했다.
 쿠팡은 자체 규정에 따라 서명키를 키 관리시스템에서만 보관하고 개발자 PC에 저장하지 않아야 한다고 명시했다.
 하지만 조사 결과에 따르면 쿠팡 개발자가 노트북에 서명키를 저장하고 있어 키 유출이나 오남용 위험이 있었다.
 이 부단장은 "(공격자가) 이미 퇴사해서 조사할 수 없는 만큼 현 직원들이 어떻게 업무하는지 조사했다"라며 "재직자의 노트북을 포렌식 했더니 키를 저장하고 있는 것을 확인했고, 퇴사한 공격자도 키를 저장할 수 있었다는 사실을 파악했다"라고 설명했다.
 또 쿠팡은 서명키를 체계적으로 관리할 수 있도록 발급 내역을 기록하도록 규정했지만, 조사 결과에 따르면 키 이력 관리 체계가 부재해 목적 외 사용을 파악할 수 없었다.
 이 밖에 쿠팡의 공격 차단이 늦어진 점도 문제점으로 지적됐다.
 이번 사고는 동일한 서버 사용자 식별번호를 반복적으로 사용했고, 위조된 전자 출입증으로 비정상 접속행위가 발생했지만 쿠팡은 해당 공격 행위를 통한 정보 유출을 차단하지 못했다.
 최우혁 과기정통부 정보보호네트워크정책실장은 "이번 사태는 지능화된 공격이라기보다 인증 체계, 키 관리 등 관리 소홀의 문제로 볼 수 있다"라고 지적했다.
 built@yna.co.kr
 ▶제보는 카톡 okjebo
 </section> 
 </div> 
 Copyright © 연합뉴스. 무단전재 -재배포, AI 학습 및 활용 금지

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기