[앵커]
과학기술정보통신부가 오늘(10일) ‘쿠팡 침해사고 민관 합동조사단’의 최종 조사 결과를 발표했는데요.
3,367만 건이 넘는 고객 계정 정보가 유출된 것으로 파악됐습니다.
유출자는 7개월간 이름과 주소는 물론 공동 현관 비밀번호까지 조회한 것으로 드러났습니다.
자세한 내용 취재기자 연결해 알아보겠습니다.
문형민 기자.
[기자]
네, 국내 최대 이커머스 플랫폼 쿠팡에서 발생한 개인정보 유출 계정 규모가 당초 사측이 신고한 4,536개가 아닌, 3,367만 3천여 개인 것으로 파악됐습니다.
유출자는 쿠팡 이용자의 이름과 전화번호, 주소 등이 적힌 배송지 목록 페이지를 1억 4,805만 회 넘게 들여다본 것으로 확인됐습니다.
또, 공동 현관 비밀번호가 포함된 배송지 목록 수정 페이지를 5만여 회, 이용자가 최근 주문한 상품 목록이 포함된 주문 목록 페이지를 10만 2천여 회 조회한 것으로 드러났습니다.
조사단은 쿠팡으로부터 제출받은 유출자의 PC 저장장치와 현재 재직 중인 쿠팡의 개발자 노트북에 대한 포렌식 분석을 진행했는데요.
분석 결과, 유출자는 지난해 4월 14일부터 11월 8일까지 약 7개월에 걸쳐 공격한 것으로 확인됐습니다.
조사단에 따르면, 유출자는 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 접속해 정보를 무단 유출했습니다.
고객이 정상 접속하는 경우 로그인 절차를 거쳐 일종의 ‘전자 출입증’을 발급받는데, 이때 쿠팡은 이 전자 출입증이 유효한지 검증하고 이상이 없을 때 서비스 접속을 허용합니다.
그러나 유출자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 뒤, 이를 활용해 ‘전자 출입증’을 위·변조했고 쿠팡 인증 체계를 통과한 것으로 드러났습니다.
조사단은 “이와 관련한 쿠팡의 검증 체계가 미흡해 유출자의 공격 행위를 사전에 탐지 및 차단하지 못했다”라고 평가했습니다.
그러면서 “쿠팡은 유출자가 이용자 인증 관련 시스템 개발자임에도 퇴사 이후 서명키를 즉시 갱신하지 않은 채 운영했다”라고 설명했습니다.
또, 쿠팡은 정부의 자료 보전 명령이 내려진 이후, 지난해 7월부터 11월까지의 웹과 애플리케이션 접속 기록을 삭제해 조사를 방해했습니다.
이에 대해 정부는 수사기관에 수사를 의뢰했다고 전했습니다.
아울러 정부는 쿠팡이 침해사고를 인지한 시점으로부터 24시간이 지난 이후에 한국인터넷진흥원(KISA)에 신고한 것과 관련해 정보통신망법상 신고 지연에 따른 과태료를 부과할 예정입니다.
한편, 개인정보의 세부적인 최종 유출 규모와 개인정보보호법 위법 여부 등은 이번 기술 조사 결과를 바탕으로 개인정보보호위원회에서 확정할 계획입니다.
지금까지 정부서울청사에서 전해드렸습니다.
[영상취재 김동화]
[영상편집 박진희]
연합뉴스TV 기사문의 및 제보 : 카톡/라인 jebo23
문형민(moonbro@yna.co.kr)
과학기술정보통신부가 오늘(10일) ‘쿠팡 침해사고 민관 합동조사단’의 최종 조사 결과를 발표했는데요.
3,367만 건이 넘는 고객 계정 정보가 유출된 것으로 파악됐습니다.
유출자는 7개월간 이름과 주소는 물론 공동 현관 비밀번호까지 조회한 것으로 드러났습니다.
자세한 내용 취재기자 연결해 알아보겠습니다.
문형민 기자.
[기자]
네, 국내 최대 이커머스 플랫폼 쿠팡에서 발생한 개인정보 유출 계정 규모가 당초 사측이 신고한 4,536개가 아닌, 3,367만 3천여 개인 것으로 파악됐습니다.
유출자는 쿠팡 이용자의 이름과 전화번호, 주소 등이 적힌 배송지 목록 페이지를 1억 4,805만 회 넘게 들여다본 것으로 확인됐습니다.
또, 공동 현관 비밀번호가 포함된 배송지 목록 수정 페이지를 5만여 회, 이용자가 최근 주문한 상품 목록이 포함된 주문 목록 페이지를 10만 2천여 회 조회한 것으로 드러났습니다.
조사단은 쿠팡으로부터 제출받은 유출자의 PC 저장장치와 현재 재직 중인 쿠팡의 개발자 노트북에 대한 포렌식 분석을 진행했는데요.
분석 결과, 유출자는 지난해 4월 14일부터 11월 8일까지 약 7개월에 걸쳐 공격한 것으로 확인됐습니다.
조사단에 따르면, 유출자는 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 접속해 정보를 무단 유출했습니다.
고객이 정상 접속하는 경우 로그인 절차를 거쳐 일종의 ‘전자 출입증’을 발급받는데, 이때 쿠팡은 이 전자 출입증이 유효한지 검증하고 이상이 없을 때 서비스 접속을 허용합니다.
그러나 유출자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 뒤, 이를 활용해 ‘전자 출입증’을 위·변조했고 쿠팡 인증 체계를 통과한 것으로 드러났습니다.
조사단은 “이와 관련한 쿠팡의 검증 체계가 미흡해 유출자의 공격 행위를 사전에 탐지 및 차단하지 못했다”라고 평가했습니다.
그러면서 “쿠팡은 유출자가 이용자 인증 관련 시스템 개발자임에도 퇴사 이후 서명키를 즉시 갱신하지 않은 채 운영했다”라고 설명했습니다.
또, 쿠팡은 정부의 자료 보전 명령이 내려진 이후, 지난해 7월부터 11월까지의 웹과 애플리케이션 접속 기록을 삭제해 조사를 방해했습니다.
이에 대해 정부는 수사기관에 수사를 의뢰했다고 전했습니다.
아울러 정부는 쿠팡이 침해사고를 인지한 시점으로부터 24시간이 지난 이후에 한국인터넷진흥원(KISA)에 신고한 것과 관련해 정보통신망법상 신고 지연에 따른 과태료를 부과할 예정입니다.
한편, 개인정보의 세부적인 최종 유출 규모와 개인정보보호법 위법 여부 등은 이번 기술 조사 결과를 바탕으로 개인정보보호위원회에서 확정할 계획입니다.
지금까지 정부서울청사에서 전해드렸습니다.
[영상취재 김동화]
[영상편집 박진희]
연합뉴스TV 기사문의 및 제보 : 카톡/라인 jebo23
문형민(moonbro@yna.co.kr)
당신이 담은 순간이 뉴스입니다!
- jebo23
- 라인 앱에서 'jebo23' 친구 추가
- jebo23@yna.co.kr
ⓒ연합뉴스TV, 무단 전재-재배포, AI 학습 및 활용 금지
-
좋아요
0 -
응원해요
0 -
후속 원해요
1
ADVERTISEMENT