【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]"현관 비번 5만회 조회…정보 불법거래는 확인 안돼"

온카뱅크관리자

2026-02-10 18:07:32

<div id="layerTranslateNotice" style="display:none;"></div> 과기부 "쿠팡 前 직원이 개인정보 3367만건 유출" 조사단 "조회가 곧 정보 유출" 유출 계정에서 1.5억회 조회 단순열람 넘어 데이터 수집한 듯 개보위 과징금 결정에 영향 촉각 ` 장기간 대량조회에도 탐지 못해 스타트업 만도 못한 '관리 부실' 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="GN3Z5u6byO">
 지난해 4월 발생한 것으로 추정되는 쿠팡 개인정보 유출의 전모가 밝혀졌다. 쿠팡 전 직원이던 공격자는 3367만 건의 개인정보가 저장된 서버를 제집 드나들 듯 염탐했고, 현관 비밀번호 같은 민감 정보를 약 5만 회 조회했다. 국내 1위 유통 대기업인 쿠팡이 스타트업에도 못 미칠 정도의 부실한 보안 관리로 자초한 결과라는 비판이 나온다. 다만 우려된 2차 피해와 관련해 민관 합동조사단은 “현재까지 확인한 바로는 (개인정보 등을 불법적으로 거래하는) 다크웹 등에 유출된 정보가 올라온 것은 확인되지 않았다”며 “결제 정보 유출도 없었다”고 설명했다.
 ◇재확인된 쿠팡의 보안 부실
 <figure class="figure_frm origin_fig" contents-hash="7a65e7ce00b82dddffc94f868451d74494b4a57ab16730d896e1e737f44aba79" dmcf-pid="ZL5YG3V7Tr" dmcf-ptype="figure">
 <img alt="최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 쿠팡 침해사고 민관합동조사단 조사결과를 발표하고 있다. /이솔 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/ked/20260210175837222uiej.jpg" data-org-width="300" dmcf-mid="WInReaIkvC" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/ked/20260210175837222uiej.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 쿠팡 침해사고 민관합동조사단 조사결과를 발표하고 있다. /이솔 기자
 </figcaption>
 </figure>
 10일 과학기술정보통신부 주도로 진행된 민관 합동조사단의 발표는 여러 민감한 사안이 걸린 터라 긴장감 속에 이뤄졌다. ‘공격자 PC에 저장된 개인정보는 3000건뿐이고, 외부로 전송되지 않은 채 삭제됐다’는 쿠팡의 ‘셀프 조사’에 대한 정부의 종합 설명인 데다 미국 의회는 쿠팡 사태와 관련해 청문회를 예고했다.
 이날 발표는 지난해 11월 29일 1차 조사 결과와 크게 다르지 않다. 3367만 건 유출을 재확인했다. 달라진 건 ‘조회’ 개념을 새로 적용한 것이다. 조사단은 공격자가 배송지 목록 페이지를 약 1억4805만 회 조회한 사실을 확인했다고 발표했다.
 배송지 목록에는 계정 소유자 본인 외에도 가족 등 제3자의 성명, 전화번호, 배송지 주소 등 정보가 포함돼 있다. 공동현관 비밀번호 등이 포함된 배송지 목록 수정 페이지 역시 5만474회 조회된 것으로 나타났다. 고객의 최근 주문 상품 정보가 포함된 주문 목록 페이지는 10만2682회 조회됐다. 보안업계 관계자는 “이 정도의 반복 조회가 이뤄졌다면 단순 열람이 아니라 데이터를 체계적으로 수집해갔다고 보는 게 일반적”이라고 말했다.
 <figure class="figure_frm origin_fig" contents-hash="750df0450b8e77c1d029399ddc306def1b09d5f406b2199dfb8caf9f0d46b413" dmcf-pid="FN3Z5u6bSk" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/10/ked/20260210175837424lpqq.jpg" data-org-width="1039" dmcf-mid="Y7uF3BMVTI" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/10/ked/20260210175837424lpqq.jpg" width="658">
 </figure>
 정부는 조회도 유출 범위에 포함된다는 점을 분명히 했다. 최우혁 과기정통부 정보보호네트워크정책실장은 “조회라고 해서 책임이 가벼워지는 건 아니다”고 말했다. 이에 대해 보안업계에선 “개인정보 유출 규모에 대한 최종 결과는 개인정보보호위원회에서 확정해 발표한다”며 “조회 개념을 도입한 건 개인정보위의 과징금 규모 결정과 연관돼 있을 것”이라고 추정했다.
 과기정통부가 관할하는 정보통신망법에 따르면 쿠팡의 보안 부실에 대한 과태료는 ‘3000만원 이하’에 불과하다. 개인정보위가 부과하는 과징금은 최대 매출의 3%까지 책정할 수 있다. 개인정보위 관계자는 “현재 15명이 투입된 대규모 조사단이 가동 중으로 개인정보위 역사상 이 정도 규모는 처음”이라며 “늦은 사과와 자체 조사 결과 발표 등 기업의 소명 노력이 다른 기업 사례와 비교해 충분했다고 보기 어려워 처음부터 끝까지 엄정하게 들여다볼 것”이라고 말했다.
 ◇“데이터 수집이 목적일 수도”
 논란이 된 쿠팡의 셀프 조사와 관련해 최 실장은 “피조사기관의 주장일 뿐”이라고 일축하며 “수치가 맞다, 틀리다 말하는 것은 불필요한 사항”이라고 강조했다. 공격자의 PC 등 저장장치에 유출된 개인정보가 몇 건 저장됐는지는 중요하지 않다는 의미다.
 이번 조사 결과는 쿠팡이 제출한 공격자 PC 저장장치(HDD 2대, SSD 2대)와 재직 중인 개발자 노트북을 포렌식한 내용을 분석한 결과다. 공격은 올해 4월부터 11월까지 약 7개월간 이어졌다. 공격자의 PC 등엔 데이터를 홍콩 소재 클라우드 서버로 전송할 수 있는 기능이 깔려 있었던 것으로 확인됐다. 최 실장은 “실제 전송이 이뤄졌는지도 기록이 남아 있지 않아 확인할 수 없다”고 말했다.
 조사단은 이번 사고의 핵심 원인으로 인증 구조의 취약점과 서명키 관리 부실을 꼽았다. 개발자 PC에 서명키가 저장돼 있어 키 유출 및 오남용 위험이 있었고 공격자가 인증 시스템 개발자였는데도 퇴사 이후 서명키를 즉시 교체하지 않았다는 것이다.
 한 보안업체 관계자는 “간단한 프로그램 점검과 인원 대조만 해도 확인할 수 있는 기본적인 오류를 방치한 채 보안을 안일하게 여긴 것이 이번 사태로 이어진 것”이라고 평가했다.
 이영애/최지희 기자 0ae@hankyung.com
 </section> 
 </div> 
 Copyright © 한국경제. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기