【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]쿠팡 배송정보·비번, 1.4억회 털렸다

온카뱅크관리자

2026-02-11 00:57:32

<div id="layerTranslateNotice" style="display:none;"></div> 정부 “前 직원이 3367만명 정보 유출… 7개월에 걸쳐 탈취” 가족·친구 정보도 빠져나갔을 가능성, 피해 규모 더 커질 듯 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="VycePu6bX4">
 <figure class="figure_frm origin_fig" contents-hash="2487c558ba07dfd9a819abb1fb749cfeaaac5bd81d13604fef4650782ccdc705" dmcf-pid="fWkdQ7PKHf" dmcf-ptype="figure">
 <img alt="(서울=뉴스1) 황기선 기자 = 최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 '쿠팡 침해사고 민관합동 조사단 조사결과를 발표하고 있다. 2026.2.10/뉴스1" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/11/chosun/20260211005727151pqkw.jpg" data-org-width="4144" dmcf-mid="KkkhmnrNtP" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/11/chosun/20260211005727151pqkw.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 (서울=뉴스1) 황기선 기자 = 최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 '쿠팡 침해사고 민관합동 조사단 조사결과를 발표하고 있다. 2026.2.10/뉴스1
 </figcaption>
 </figure>
 쿠팡에서 발생한 해킹 사고 조사 결과 이용자 정보 3367만여 건이 유출된 것으로 확인됐다. 그러나 해커가 로봇 프로그램으로 쿠팡 이용자의 전화번호, 배송지 주소, 친구·가족 주소, 공동현관 비밀번호 등이 들어 있는 웹페이지를 1억회 넘게 조회한 것으로 드러나면서 실제 정보 유출 규모는 이보다 더 커질 것으로 보인다.
 과학기술정보통신부는 10일 정부서울청사에서 쿠팡 정보 침해 사고에 대한 민관합동조사단 최종 조사 결과를 발표했다. 최우혁 과기정통부 정보보호네트워크정책실장은 “쿠팡 전(前) 직원이 지난해 4월 14일부터 11월 8일까지 쿠팡 웹페이지에 접속해 이용자 정보를 유출한 것으로 파악됐다”면서 “(고객의) ‘내 정보 수정’ 페이지에 들어가 성명·이메일 3367만3817건의 정보를 유출했다”고 밝혔다. 조사단은 성명·이메일을 묶은 하나의 계정 정보를 1건으로 계산했다. 해킹 범인 중국인 전 직원은 쿠팡에서 일할 때 시스템 장애 등 백업을 위한 이용자 인증 시스템 설계·개발 업무를 수행한 소프트웨어 개발자였다. 앞서 쿠팡은 지난해 말 자체 조사 결과, 유출된 정보 3367만여 건 가운데 실제 해커가 하드 드라이브에 따로 저장한 정보는 약 3000건이라고 밝혔다.
 <figure class="figure_frm origin_fig" contents-hash="dddc74ae79a679291dc62dfe7f2d68728975f6b1c3e0118a8f30fd9fa7724aa6" dmcf-pid="6BGsEekL59" dmcf-ptype="figure">
 <img alt="그래픽=백형선" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/11/chosun/20260211005728695zcee.png" data-org-width="2000" dmcf-mid="9tPLebRfG6" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/11/chosun/20260211005728695zcee.png" width="658">
 <figcaption class="txt_caption default_figure">
 그래픽=백형선
 </figcaption>
 </figure>
 해커는 이 외에도 로봇 프로그램으로 성명·전화번호·주소·공동현관 비밀번호가 담겨 있는 ‘배송지 목록’ 페이지도 1억4000만회 넘게 조회한 것으로 조사됐다. 정부는 개인정보가 담겨 있는 페이지가 외부 공격자에 의해 뚫린 것을 해킹으로 판단하기 때문에 조회는 곧 정보 유출과 같은 의미라고 밝혔다. 같은 페이지를 여러 번 중복 조회한 경우가 있어 1억회가 넘는 조회 수가 기록됐다. 해커는 또 여성용품 등 민감한 구매 정보가 담긴 ‘주문 목록’ 페이지도 10만회 이상 조회한 것으로 드러났다.
 최우혁 실장은 “쿠팡에서 유출된 개인정보를 활용한 2차 범죄는 아직 확인되지 않았다”면서 “해당 개인정보가 클라우드를 통해 외부로 전송된 흔적은 발견하지 못했고 결제 정보도 유출되지 않았다”고 말했다.
 ◇정보 쓸어가는 로봇 프로그램 사용… “조회 자체를 유출로 봐야”
 조사 결과 해커는 쿠팡에서 관리하는 개인 정보 페이지를 ‘웹 크롤링’(로봇 프로그램을 동원해 웹사이트 정보를 무단으로 싹쓸이하는 방식) 공격 도구를 활용해 무단 조회한 것으로 드러났다. 최우혁 실장은 “해커는 성명·전화번호·배송지 주소와 공동현관 비밀번호가 포함된 배송지 목록 페이지를 1억4805만여 회 조회했고, 성명·전화번호·배송지 주소·공동현관 비밀번호 등이 담긴 ‘배송지 목록 수정’ 페이지도 5만여 회 조회했다”며 “최근 주문한 상품 목록이 포함된 주문 목록 페이지도 10만여 회 조회했다”고 밝혔다.
 <figure class="figure_frm origin_fig" contents-hash="d153e8c6f9a4a480a42fc41ff763f9497c57890016899e043d6d229c0e773645" dmcf-pid="WOn4K5b0tz" dmcf-ptype="figure">
 <img alt="과학기술정보통신부공동현관 비번 담긴 배송지 목록 화면 쿠팡 인터넷 사이트의 ‘배송 목록’ 페이지. 성명·전화번호·주소·특수문자로 가려진 공동현관 비밀번호가 기재되어 있다." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/11/chosun/20260211005730044fmqy.jpg" data-org-width="668" dmcf-mid="2qUYSAlwG8" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/11/chosun/20260211005730044fmqy.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 과학기술정보통신부공동현관 비번 담긴 배송지 목록 화면 쿠팡 인터넷 사이트의 ‘배송 목록’ 페이지. 성명·전화번호·주소·특수문자로 가려진 공동현관 비밀번호가 기재되어 있다.
 </figcaption>
 </figure>
 그러나 민관합동조사단은 정확한 개인정보 유출 규모는 밝히지 않았다. 임정규 과기정통부 정보보호네트워크정책관은 “배송지 목록 페이지에는 주소를 최대 20개까지 넣을 수 있는데 사람마다 입력한 배송지 수가 달라서 모두 산정하지 못했다”면서 “개인정보보호위원회에서 성명, 전화번호, 배송지 주소, 공동 현관 비밀번호 등이 몇 건 유출됐는지를 확인해 발표할 예정”이라고 말했다. 친구나 가족 등의 주소지도 입력할 수 있는 쿠팡 특성상 제3자의 배송지 주소도 무더기로 유출됐기 때문에 최종 피해 규모는 더 커질 수밖에 없다는 것이다.
 ◇”쿠팡 관리 부실이 원인”
 이번 해킹은 쿠팡의 관리 부실로 발생했다. 최 실장은 “해커는 재직 당시 관리하던 이용자 인증 시스템의 서명키(비밀키)를 탈취한 뒤 이를 활용해 ‘전자 출입증’을 위·변조하는 방식으로 쿠팡 인증 체계를 통과했다”면서 “정상적인 로그인 절차를 거치지 않고 쿠팡 서비스에 무단 접속할 수 있었다”고 했다. 쿠팡은 ‘전자 출입증’ 위·변조 여부를 확인하는 절차는 없었던 것으로 나타났다. 또한 업무 담당자가 퇴사할 경우 서명키를 더 사용하지 못하도록 갱신해야 했지만, 이에 대한 절차도 없었다. 이동근 KISA(한국인터넷진흥원) 디지털위협대응본부장은 “중국인 전 직원이 일했던 팀의 업무 행태를 확인한 결과 재직자 노트북에 서명키를 저장하는 문제를 확인했다”면서 “서명키 관리가 제대로 이뤄지지 않았다는 얘기”라고 말했다.
 또한 해커는 쿠팡에 재직하던 당시 이용자 인증 시스템·개발 업무를 수행하면서 이용자 인증 체계의 취약점을 이미 인지하고 있었던 것으로 드러났다. 과기정통부는 “해커가 지난해 1월 5~20일 공격 테스트를 진행한 접속 기록이 확인됐다”면서 “사전 테스트를 통해 이용자 계정에 접근이 가능한 사실을 확인한 이후 자동화된 웹 크롤링 공격 도구를 이용해 대규모 정보를 유출했다”고 밝혔다.
 ◇유출 정보 해외 클라우드 전송 여부 확인 못 해
 민관합동조사단은 해커의 PC 저장 장치를 분석한 결과 위·변조된 ‘전자 출입증’을 이용해 타인의 계정으로 무단 접속한 후 유출한 정보를 해외에 있는 클라우드 서버로 전송할 수 있는 기능을 확인했지만, 기록이 남아 있지 않아 실제 클라우드 전송 여부는 확인하지 못했다. 해커는 정보 수집 및 외부 서버로 전송이 가능한 형태로 공격 프로그램을 직접 만든 것으로 드러났다.
 과기정통부는 쿠팡이 해킹 사실을 인지한 시점부터 24시간 이내에 당국에 신고해야 하지만 이 시점을 어겼기 때문에 과태료를 부과할 예정이다. 또 자료 보전 명령 위반과 관련해 수사기관에 수사를 의뢰했다. 쿠팡은 이달 안에 과기정통부에 재발 방지 대책 이행 계획을 제출하고 3~5월에 이를 시행해야 한다. 정부는 6~7월 이행 여부를 점검할 계획이다.
 쿠팡 관계자는 “쿠팡은 기존 3370만여 개 계정의 유출 규모를 부정한 적이 없다”면서 “2차 피해에 대한 국민 불안감을 낮추기 위하여 공격자 진술에 근거해 약 3000개 계정만 공격자 하드 드라이브에 저장되었고, 해당 정보들이 삭제되었음을 확인해 이를 설명한 것”이라고 말했다. 정부는 “저장 여부와 관계없이 해커가 개인정보가 들어 있는 페이지를 조회했다면 그 자체로 유출된 것”이라고 밝혔다.
 </section> 
 </div> 
 Copyright © 조선일보. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기