[더 보다] 쿠팡 사태, 내 정보도 로켓배송? / KBS 2025.12.15. скачать в хорошем качестве

[더 보다] 쿠팡 사태, 내 정보도 로켓배송? / KBS 2025.12.15.

어느 날 갑자기 날아든 한 통의 이메일. 제목에 적힌 내 주소와 전화번호 그리고 ‘개인정보가 유출될 수 있다’는 한마디. 메일에는 지난 8년간 썼던 5개의 배송지, 현관 출입 방법, 그리고 최근 주문 내역 15건이 적혀있었습니다. 박찬희 / 최초 신고자 바로 제가 쿠팡에 접속해서 주문 목록을 확인해 봤거든요. 근데 진짜 그 최근에 주문한 내역들이 다 있고 일치를 해서 일단 숨이 막혔죠. 제 정보가 다 들어있는데 8년 전 회사는 물론 가족의 직장 주소까지 배송지로 입력된 주소 모두 고스란히 넘어갔습니다. 일단은 어머니 직장에 찾아가서 저를 사칭할 수도 있는 거고, 또 저희 어머니의 휴대전화 전화번호까지 들어 있었으니까... 거기에 들어있는 정보들이 워낙 이제 보이스피싱 하기 딱 좋은 정보들로만 갖춰져 있으니까. 곧바로 쿠팡 고객센터에 신고했고, 쿠팡은 그제야 개인정보 유출 사실을 알게 됐습니다. 그다음 날에 연락이 또 왔어요. 그때 연락을 제가 받았을 때가 4시 50분이라 뜨는데. 2분밖에 통화를 안 했거든요. 4500명 정도가 유출됐다. 그렇게 설명을 들었습니다. (쿠팡에서 그럼 미안하다는 얘기는 했어요?) 따로 뭔가 사과를 받은 건 없고 그냥 불편을 드려 죄송하다.. 하지만 거기서 끝이 아니었습니다. 뉴스9 (11월 30일) 고객 4,500명의 정보가 노출됐다더니, 탈취된 계정 3,300만 개가 넘는 것으로 확인됐습니다. 한국인터넷진흥원 조사 결과 유출된 계정은 3,370만 개. 우리나라 인구 65%의 전화번호와 주소, 현관 비밀번호가 유출됐습니다. 온라인 상거래 사상 최대 규모입니다. 6월부터 시작된 침입은 무려 147일간 이어졌습니다. 류제명/ 과학기술정보통신부 2차관 현재까지 공격이 식별된 기간은 25년 6월 24일부터 11월 8일까지이며 해당 기간에 무단 조회된 피해 계정은 3천만 개 이상이며 유출된 정보는 고객명 이메일 배송지 전화번호 실제 주소 등으로 확인됐습니다. 그때 박찬희 씨가 메일을 열지 않았다면 이 유출 사고는 아직 수면 아래에 있을지도 모릅니다. 외부 공격이나 침입 흔적은 없다던 쿠팡, 적은 내부에 있었습니다. 정보 유출 용의자는 다름 아닌 쿠팡에서 근무했던 개발자. 뉴스9 (12월 1일) 유력 용의자는 쿠팡 내부 전산망을 관리하는 중국 국적 전직 직원입니다. (12월 2일) 인증 시스템 개발자로 일할 당시 갖고 있던 정보 접근권을 악용한 것으로 추정됩니다. 이 직원이 쿠팡을 관둔 건 지난해 12월. 그가 침입자라면 서버 침입은 회사를 나간 지 반년이 넘어 시작된 겁니다. 한희/ 서울미디어대학원대학교 총장 필연적으로 공격자는 내부 공격을 선택해요. 그래서 내부자를 포섭하고 협박해서 안에서 공격하는 방법을 찾아요. 반드시 이 점령해야 할 표적이라면 그렇게 하는 거죠. 취재진은 보안업체와 함께 어떻게 서버에 침입해 데이터에 접근할 수 있는지 모의실험을 해봤습니다. 이정상/ 스텔스솔루션 상무 원격으로 그러니까 해커가 설치해 놓은 서버죠. 그 서버에 붙어서 쿠팡으로 들어가는 시뮬레이션인 거예요. 그래서 이제 서버로 붙는 거죠. 이렇게... 그다음에 여기에서 이제 쿠팡 서버로 붙을 거예요. 여기서 서버의 문을 열 수 있는 열쇠 ‘보안 토큰’이 필요합니다. 유효기간을 둔 열쇠 하나를 주는 거예요. 그 열쇠만 있으면 들어가는 거예요. 그 유효기간 안에는 ID 패스워드를 치지 않아도... 딱 이렇게 이제 만들어진 걸 가지고 지금은 저는 그냥 화면에 보여줬는데 이거를 파일로 뽑아가지고 가져가는 거예요. 전직 직원이 서버에 접속할 수 있는 보안 토큰을 확보한 건 이 열쇠를 만드는 마스터키 ‘전자 서명키’를 갖고 있어서입니다. 김승주/ 고려대 정보보호대학원 교수 쿠팡의 인증 시스템을 개발하는 부서에서 근무하던 퇴직한 개발자가 퇴사한 개발자가 호텔방 키를 발급할 수 있는 마스터키를 들고 나갔다. 그래서 그걸 이용해서 3,300만 명 이용자의 호텔방 키를 대량으로 생산한 다음에 그 이용자들을 가장해서 접속해서 개인정보를 긁어모았다. 퇴직할 때 반드시 회수해야 할 서명키의 관리 부실이 사태의 원인이라는 지적이 나옵니다. 문제는 정상적인 기업에서 이 서명키를 가져 나오는 건 불가능에 가깝다는 점입니다. 대다수 기업은 이 키를 특수장치 ‘HSM’에 보관하면서 유출과 복제를 원천 차단하고 있습니다. 김승주/ 고려대 정보보호대학원 교수 (쿠팡이) HSM 장비를 안 썼을 수도 있고, HSM 장비 자체가 부실했을 수도 있고, 아무튼 이유는 모르겠지만 그 장비 안에 있어야 할 전자서명 키를 어떤 방법인지는 모르겠으나 밖으로 가져 나갔다. 그래서 이 부분은 분명한 건 쿠팡의 어떤 실수다. 쿠팡의 어떤 과실이다. 근본적으로 서버에 접근할 수 있는 인증 체계를 바꿔야 한다는 지적이 나옵니다. 왕효근/ A보안업체 대표 내부자조차도 믿을 수 없다고 해서 내부자가 들어올 때도 인증을 하고 ‘아 이 사람이 맞구나’라고 체크한 후에 들여보내는 이 방식으로 적용하지 않는 한 사실 내부자가 들어오고 내부자였던 사람이 들어오는 문제는 계속 반복될 수밖에 없는 문제다. “고객님의 소중한 개인정보가 일부 노출되는 사고가 발생했습니다” 지난달 말 쿠팡이 회원들에게 보낸, 이른바 개인정보 ‘노출’ 통지. 제목과 본문에 유출 대신 ‘노출’이라는 말을 다섯 차례나 썼습니다. ▣ 제보 하기 ◇ 카카오톡 : 'KBS제보' 검색 ◇ 전화 : 02-781-1234 ◇ 홈페이지 : https://goo.gl/4bWbkG ◇ 이메일 : [email protected] Copyright ⓒ KBS. All rights reserved. 무단 전재, 재배포 및 이용(AI 학습 포함) 금지 #쿠팡 #캐인정보유출 #쿠팡유출 #사고 #유출 #로켓배송