쿠팡 유출 '10년 방치 인증키'가 부른 사고 가능성(종합) 작성일 12-01 32 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">서명키 유효기간 "5~10년으로 설정하는 사례 많아"<br>경찰 "유출한 직원 국적, 확인해 준 적 없어"</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="p2HLzp5TZn"> <figure class="figure_frm origin_fig" contents-hash="ba9c79da9674676ded320930f89df9e41be2d9717372c107b6d743b6fffb9dcb" dmcf-pid="UVXoqU1yHi" dmcf-ptype="figure"> <p class="link_figure"><img alt="1일 서울 시내의 주차장에 쿠팡 배송트럭이 주차돼 있다. 국내 최대 이커머스 업체 쿠팡에서 3370만개의 고객 계정 정보가 유출된 사건이 발생했다. 노출된 정보는 이름·이메일 주소·배송지 주소록(입력한 이름·전화번호·주소) 일부 주문정보 등이다. ⓒ News1 황기선 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/01/NEWS1/20251201134317133szhx.jpg" data-org-width="1400" dmcf-mid="0G3cVbUZYL" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/01/NEWS1/20251201134317133szhx.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 1일 서울 시내의 주차장에 쿠팡 배송트럭이 주차돼 있다. 국내 최대 이커머스 업체 쿠팡에서 3370만개의 고객 계정 정보가 유출된 사건이 발생했다. 노출된 정보는 이름·이메일 주소·배송지 주소록(입력한 이름·전화번호·주소) 일부 주문정보 등이다. ⓒ News1 황기선 기자 </figcaption> </figure> <p contents-hash="3b23e43ec751ad9486e1e655395c237b8dd6c80cd1714e572550028a60619417" dmcf-pid="ufZgButWtJ" dmcf-ptype="general">(서울=뉴스1) 김민수 박응진 기자 = 쿠팡에서 발생한 3370만건 규모의 고객정보 유출 사태는 '10년 가까이 갱신되지 않은 내부 인증정보(서명키)'가 사실상 방치된 결과라는 지적이 나왔다. </p> <p contents-hash="10bbaf5af3a646cc735849665240a48af1a37ec967ab3a6e485305444978c702" dmcf-pid="745ab7FYXd" dmcf-ptype="general">쿠팡이 핵심 인증수단을 5~10년간 방치한 끝에 누구나 입수·접속할 수 있었다면 대기업에서는 발생하기 어려운 어처구니없는 사고가 터졌다고 볼 수 있다. 다만 쿠팡은 인증 정보를 최대 10년간 방치했다는 지적은 사실아 아니라고 부인했다.</p> <p contents-hash="5ee8b8afede825a35e906617fdcab5d318704c416cdc54371d4e20dfe7d9815c" dmcf-pid="zXEKThrNHe" dmcf-ptype="general">1일 최민희 더불어민주당 의원실이 쿠팡으로 받은 자료에 따르면 쿠팡은 로그인 토큰 생성에 쓰이는 서명키 유효기간을 "5~10년으로 설정하는 사례가 많다"며 "로테이션 기간이 길며, 키 종류에 따라 매우 다양하다"고 답했다.</p> <p contents-hash="e97ea860bdfb23b351491d53cf3235f22e8c37e986d22b256300edf787703cd2" dmcf-pid="qZD9ylmj5R" dmcf-ptype="general">최근 논란이 된 KT 펨토셀 사고는 소액결제 정보가 외부 침입을 통한 고난도 해킹으로 유출된 정황으로 분석되고 있다.</p> <p contents-hash="8759a7d419a60b753e5d6671aaabbe5fd70796de1320f375ba15081344fc5cbf" dmcf-pid="B5w2WSsAtM" dmcf-ptype="general">이번 쿠팡 사건은 KT와는 성격이 다르다. 전파 사각지대 커버를 위해 운영하던 장비 관리 부실과 중요 데이터 서버 자체에 접속하는 서명키 방치는 무게감에서부터 차이가 난다. </p> <p contents-hash="654ea91754354deb5c34335061a81fdc67aa35b611c579e4a9818a72ec3d2bb1" dmcf-pid="b1rVYvOc5x" dmcf-ptype="general">만약 서명키를 방치해 데이터를 탈취당했다면 보안투자에 소홀한 기업에서도 일어나기 어려운 사고가 쿠팡에서 터졌다고 해석할 수 있다.</p> <p contents-hash="3cb0f379e5bf744b01b972ce4ead6cdce2de93a48e5639403c007cc9ce51db42" dmcf-pid="KtmfGTIk5Q" dmcf-ptype="general">서명키는 토큰 발급의 최종 서명 도장으로, 서버가 해당 키를 신뢰하는 구조다. 이 때문에 서명키가 살아 있는 한, 회사 시스템은 퇴사자까지 '정상 사용자'로 인식한다. 이번 사건에서는 해당 직원이 퇴사했음에도 서명키가 로테이션 되지 않고 남아 있어, 토큰 생성과 데이터 접근 경로가 그대로 유지됐다는 의혹이 나온다.</p> <p contents-hash="b6073294d7b470169e87a12236bf5db2f87f97822119e2bff47065ce345bd8e5" dmcf-pid="9Fs4HyCEGP" dmcf-ptype="general">다시 말해 막힌 문을 뚫고 들어온 해킹이 아니라, 문을 열어둔 채 10년간 누구든 사용하도록 방치한 사고일 수 있다는 것이다. </p> <p contents-hash="664603beecb0c4eaf98a3247ba0c290c77ca65a86f0dde2ab1ef2d956bef45d9" dmcf-pid="23O8XWhD56" dmcf-ptype="general">이같은 지적에 쿠팡 관계자는 "5~10년간 방치되었다는 것은 사실이 아니다"며 "현재 수사 중인 상황이라 자세한 언급은 할 수 없다"고 말했다.</p> <p contents-hash="8ca62d9a742b185beb19251340de8c529c0f9742574ab722f53fd233a67477ef" dmcf-pid="V0I6ZYlwX8" dmcf-ptype="general">한편 경찰은 이번 사건과 관련한 협박 이메일 계정 2개를 추적 중이다. 서울경찰청 관계자는 "지난달 16일 쿠팡 고객들에게, 25일 쿠팡 고객센터 이메일 계정으로 (협박) 메일이 보내졌다"며 발신 이메일의 계정은 각각 다른 2개로 확인했으며, 이메일을 보낸 사람이 동일인인지 여부를 확인 중이라고 했다.</p> <p contents-hash="da87e5659b892b52649d80504f3063c115470adab8a0a1f39cbdaf44f9a3e310" dmcf-pid="fpCP5GSrH4" dmcf-ptype="general">경찰은 대규모의 고객 계정 정보가 유출된 만큼, 1명의 소행이 아니라 조직적인 범죄 가능성도 배제하지 않고 있다. 유통 업계는 이번 유출 사태의 핵심 관련자가 중국 국적의 쿠팡 전 직원이며, 이 직원은 이미 출국한 상태로 추정하고 있다.</p> <p contents-hash="cb31c12debbc3b6939b1fa05577362260c56928fc4113b81531dc6ee87e9f373" dmcf-pid="4UhQ1Hvmtf" dmcf-ptype="general">다만 경찰 관계자는 중국 국적의 쿠팡 전 직원의 범죄인지 묻자 "경찰에서 확인해 준 적이 없다"면서도 "(그럴 가능성을) 포함해서 보고 있다"고 전했다. 이 직원이 인증 업무 담당자인지도 확인 중이라고 했다.</p> <p contents-hash="7d340cbb5a98aa9d66afde8868f28cd5d7d11a9b0e7ae85e197d152afc697d52" dmcf-pid="8ulxtXTsXV" dmcf-ptype="general">그는 "(피의자가) 언론에 나온 사람으로 특정되면, 국제 공조가 필요하면 당연히 해당 국가와 국제 공조를 하겠다"고 말했다.</p> <p contents-hash="c3bce0ba46d19744fc60af7c1bb654f2629b253b24c85e8242e2b4e71a33d348" dmcf-pid="6a2lJM4qG2" dmcf-ptype="general">kxmxs4104@news1.kr </p> </section> </div> <p class="" data-translation="true">Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.</p> 관련자료 이전 "AI 기본법만으로 부족"…산학계, '한국형 표준 체계' 필요성 한목소리 12-01 다음 비트겟(Bitget), 11월 준비금 증명(PoR) 보고서 발표… 안전성·신뢰도 검증 12-01 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
