[3줄 요약]
1. 퇴사자가 들고 나간 ‘JWT 서명키’ 5개월간 3370만명 정보 유출
2. 개인정보위 긴급회의 ‘노출’ 아닌 ‘유출’로 재통지, “공동현관 비번 누락도 수정” 명령
3. 국회 과방위 “회사 망해도 할 말 없는 수준” 매출 3% ‘조 단위’ 제재 검토
[보안뉴스 조재호 기자] 쿠팡이 창사 이래 최대 위기에 직면했다. 전체 회원 수보다 많은 3370만건의 개인정보 유출 사고가 발생하며 ‘전 국민의 정보가 털렸다’는 우려가 현실이 됐다. 특히 이번 사고가 고도화된 해킹이 아닌, 퇴사자의 접근 권한을 회수하지 않은 ‘기초적인 관리 부실’에서 비롯된 점에서 쿠팡이 피해 사실을 축소 통지했다는 정부 지적까지 나오며 파장이 커지고 있다.
[자료: 연합뉴스]
방치된 ‘디지털 키’(JWT) 5개월간 보안 관제는 깜깜
올해 공시 기준 연간 890억원의 보안 예산과 200명이 넘는 전담 인력을 보유한 쿠팡의 보안 시스템이 퇴사한 직원이 소지한 ‘엑세스 토큰 서명키’(JWT·JSON Web Token) 하나에 무력화됐다.
보안 업계와 내부 조사 사실을 종합해보면, 쿠팡은 시스템 접근 권한을 증명하는 JWT 서명키를 교체하지 않고 방치했다. 퇴사자가 이를 악용해 지난 6월 24일부터 11월까지 5개월간 시스템을 휘젓고 다니면서 데이터를 빼냈지만, 쿠팡의 로그 분석 및 이상 징후 탐지 시스템은 전혀 작동하지 않았다.
이와 관련해 한 보안 전문가는 “보안은 가장 약한 부분을 공격하는 만큼, 애플리케이션 영역으로 판단해 관리가 미흡했던 JWT 서명키 같은 영역에 대해서도 빠짐없는 다층 보안(MLP·Multi Layered Protection)과 같은 보호 대책을 혼용해서 관리해야 할 것으로 보인다”며 “이번에 유출된 개인정보 연결 공격 및 간편결제 등록 등에 대해서도 피해자 보호 조치 및 주의를 환기해야할 필요가 있다”고 조언했다.
개인정보위, 긴급 제동 “‘공동현관 비번’ 유출 알려라”
3일 오전 개인정보위원회는 긴급 전체회의를 열고 쿠팡의 부실한 대응을 강하게 질타하며 시정 조치를 의결했다.
개인정보위는 조사 결과, 쿠팡은 명백한 해킹 유출 사고를 안내문에 ‘노출’이라는 모호한 표현으로 안내하고, 홈페이지 공지도 1~2일 만에 내리는 등 사건을 축소하려 한 정황이 포착됐다고 꼬집었다. 이어 유출 항목 중 민감한 ‘공동현관 비밀번호’ 등을 누락해 소비자 혼란을 초래했다는 점도 지적했다.
개인정보위는 쿠팡에 ‘노출’ 통지를 ‘유출’로 수정하고 누락된 항목을 반영한 재통지와 홈페이지 초기 화면에 일정 기간 이상 공지, 전담 대응팀을 확대 운영 등을 명령하고, 7일 이내 조치 결과를 제출하도록 했다.
역대급 제재 불가피...과징금 1조원 현실화되나?
국회의 질타도 연일 이어지고 있다. 지난 2일 과학기술정보통신방송위원회 긴급 현안 질의에 이어, 오늘(3일)은 정무위원회가 전체 회의를 열고 쿠팡 사태를 집중적으로 추궁한다.
2일 긴급 현안 질의에서 이정렬 개인정보위 부위원장은 “이번 사고는 전례 없는 대규모 침해사고”라며 “매출액의 3% 범위에서 과징금을 부과하는 방안을 중점적으로 검토하고 있다”고 밝혔다. 이에 따라 최대 1조원 대 과징금 부과가 가능한 상황이다.
곧 진행될 정무위 현안 질의에서는 개인정보보호 주무 부처의 수장인 송경희 개인정보보호위원장이 직접 출석할 예정이다. 송 의원장은 취임 직후부터 “개인정보 침해사고에 대해 엄정한 조사와 처분을 내리겠다”고 강조해 온 만큼 쿠팡에 대한 고강도 제재 방침을 재확인할 것으로 보인다.
정부와 기업 조치 이전에 ‘내 돈과 정보는 내가 지켜야’...소비자 행동 수칙 가이드
정부 조사와 별개로, 유출된 3370만 건의 정보를 악용한 2차 피해를 막기 위해 보안 전문가들은 다음 7가지 보안 수칙을 참고해 조치를 진행할 것을 권고했다.
[자료: 생성형 AI 이미지]
1. 비밀번호 변경 및 자동 로그인 해제: 크리덴셜 스터핑(ID·PW 무작위 대입) 방지를 위해 쿠팡과 동일한 ID 혹은 비밀번호를 쓰는 다른 사이트의 정보를 모두 변경하고, 전 기기에서 로그아웃을 진행한다.
2. 공동현관 비밀번호 변경: 개인정보위는 배송지 정보에 포함된 공동주택 현관 비밀번호가 유출된 것으로 파악했다. 주거 칩입 등 물리적 보안 위협을 막기 위해 해당 비밀번호를 변경해야 한다.
3. 로그인 이력 점검: 쿠팡 앱 내 ‘보안 및 로그인’ 메뉴에서 낯선 기기나 해외 접속 등 의심 이력이 발견되면 즉시 ‘로그아웃’해 연결을 차단한다.
4. 2차 인증 활성화: 비밀번호 유출에 대비해 생체인식 로그인을 활성화하고, 결제 시 별도 비밀번호나 생체 인증을 거치도록 설정한다.
5. 간편결제 도용 확인(쿠팡페이·스마일페이 등): ID·비밀번호가 같거나 유사한 경우 타 플랫폼 결제 수단도 위험한 만큼 주요 간편결제 내역을 확인하고 필요시 연동을 해제한다.
6. 개인통관고유부호 재발급: 쿠팡 직구 등 서비스 사용자는 입력된 통관번호가 유출됐을 가능성이 높다. 관세청 유니패스에서 기존 번호를 폐기하고 재발급받아 명의도용을 방지해야 한다.
7. 피싱 문자 클릭 금지: 피해 보상이나 주소 정정 등을 미끼로 한 문자 내 URL은 절대 클릭하지 말고, 의심스러운 문자는 KISA 보호나라를 통해 악성 여부를 확인한다.
[조재호 기자(sw@boannews.com)]
1. 퇴사자가 들고 나간 ‘JWT 서명키’ 5개월간 3370만명 정보 유출
2. 개인정보위 긴급회의 ‘노출’ 아닌 ‘유출’로 재통지, “공동현관 비번 누락도 수정” 명령
3. 국회 과방위 “회사 망해도 할 말 없는 수준” 매출 3% ‘조 단위’ 제재 검토
[보안뉴스 조재호 기자] 쿠팡이 창사 이래 최대 위기에 직면했다. 전체 회원 수보다 많은 3370만건의 개인정보 유출 사고가 발생하며 ‘전 국민의 정보가 털렸다’는 우려가 현실이 됐다. 특히 이번 사고가 고도화된 해킹이 아닌, 퇴사자의 접근 권한을 회수하지 않은 ‘기초적인 관리 부실’에서 비롯된 점에서 쿠팡이 피해 사실을 축소 통지했다는 정부 지적까지 나오며 파장이 커지고 있다.
[자료: 연합뉴스]
방치된 ‘디지털 키’(JWT) 5개월간 보안 관제는 깜깜
올해 공시 기준 연간 890억원의 보안 예산과 200명이 넘는 전담 인력을 보유한 쿠팡의 보안 시스템이 퇴사한 직원이 소지한 ‘엑세스 토큰 서명키’(JWT·JSON Web Token) 하나에 무력화됐다.
보안 업계와 내부 조사 사실을 종합해보면, 쿠팡은 시스템 접근 권한을 증명하는 JWT 서명키를 교체하지 않고 방치했다. 퇴사자가 이를 악용해 지난 6월 24일부터 11월까지 5개월간 시스템을 휘젓고 다니면서 데이터를 빼냈지만, 쿠팡의 로그 분석 및 이상 징후 탐지 시스템은 전혀 작동하지 않았다.
이와 관련해 한 보안 전문가는 “보안은 가장 약한 부분을 공격하는 만큼, 애플리케이션 영역으로 판단해 관리가 미흡했던 JWT 서명키 같은 영역에 대해서도 빠짐없는 다층 보안(MLP·Multi Layered Protection)과 같은 보호 대책을 혼용해서 관리해야 할 것으로 보인다”며 “이번에 유출된 개인정보 연결 공격 및 간편결제 등록 등에 대해서도 피해자 보호 조치 및 주의를 환기해야할 필요가 있다”고 조언했다.
개인정보위, 긴급 제동 “‘공동현관 비번’ 유출 알려라”
3일 오전 개인정보위원회는 긴급 전체회의를 열고 쿠팡의 부실한 대응을 강하게 질타하며 시정 조치를 의결했다.
개인정보위는 조사 결과, 쿠팡은 명백한 해킹 유출 사고를 안내문에 ‘노출’이라는 모호한 표현으로 안내하고, 홈페이지 공지도 1~2일 만에 내리는 등 사건을 축소하려 한 정황이 포착됐다고 꼬집었다. 이어 유출 항목 중 민감한 ‘공동현관 비밀번호’ 등을 누락해 소비자 혼란을 초래했다는 점도 지적했다.
개인정보위는 쿠팡에 ‘노출’ 통지를 ‘유출’로 수정하고 누락된 항목을 반영한 재통지와 홈페이지 초기 화면에 일정 기간 이상 공지, 전담 대응팀을 확대 운영 등을 명령하고, 7일 이내 조치 결과를 제출하도록 했다.
역대급 제재 불가피...과징금 1조원 현실화되나?
국회의 질타도 연일 이어지고 있다. 지난 2일 과학기술정보통신방송위원회 긴급 현안 질의에 이어, 오늘(3일)은 정무위원회가 전체 회의를 열고 쿠팡 사태를 집중적으로 추궁한다.
2일 긴급 현안 질의에서 이정렬 개인정보위 부위원장은 “이번 사고는 전례 없는 대규모 침해사고”라며 “매출액의 3% 범위에서 과징금을 부과하는 방안을 중점적으로 검토하고 있다”고 밝혔다. 이에 따라 최대 1조원 대 과징금 부과가 가능한 상황이다.
곧 진행될 정무위 현안 질의에서는 개인정보보호 주무 부처의 수장인 송경희 개인정보보호위원장이 직접 출석할 예정이다. 송 의원장은 취임 직후부터 “개인정보 침해사고에 대해 엄정한 조사와 처분을 내리겠다”고 강조해 온 만큼 쿠팡에 대한 고강도 제재 방침을 재확인할 것으로 보인다.
정부와 기업 조치 이전에 ‘내 돈과 정보는 내가 지켜야’...소비자 행동 수칙 가이드
정부 조사와 별개로, 유출된 3370만 건의 정보를 악용한 2차 피해를 막기 위해 보안 전문가들은 다음 7가지 보안 수칙을 참고해 조치를 진행할 것을 권고했다.
[자료: 생성형 AI 이미지]
1. 비밀번호 변경 및 자동 로그인 해제: 크리덴셜 스터핑(ID·PW 무작위 대입) 방지를 위해 쿠팡과 동일한 ID 혹은 비밀번호를 쓰는 다른 사이트의 정보를 모두 변경하고, 전 기기에서 로그아웃을 진행한다.
2. 공동현관 비밀번호 변경: 개인정보위는 배송지 정보에 포함된 공동주택 현관 비밀번호가 유출된 것으로 파악했다. 주거 칩입 등 물리적 보안 위협을 막기 위해 해당 비밀번호를 변경해야 한다.
3. 로그인 이력 점검: 쿠팡 앱 내 ‘보안 및 로그인’ 메뉴에서 낯선 기기나 해외 접속 등 의심 이력이 발견되면 즉시 ‘로그아웃’해 연결을 차단한다.
4. 2차 인증 활성화: 비밀번호 유출에 대비해 생체인식 로그인을 활성화하고, 결제 시 별도 비밀번호나 생체 인증을 거치도록 설정한다.
5. 간편결제 도용 확인(쿠팡페이·스마일페이 등): ID·비밀번호가 같거나 유사한 경우 타 플랫폼 결제 수단도 위험한 만큼 주요 간편결제 내역을 확인하고 필요시 연동을 해제한다.
6. 개인통관고유부호 재발급: 쿠팡 직구 등 서비스 사용자는 입력된 통관번호가 유출됐을 가능성이 높다. 관세청 유니패스에서 기존 번호를 폐기하고 재발급받아 명의도용을 방지해야 한다.
7. 피싱 문자 클릭 금지: 피해 보상이나 주소 정정 등을 미끼로 한 문자 내 URL은 절대 클릭하지 말고, 의심스러운 문자는 KISA 보호나라를 통해 악성 여부를 확인한다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
_m.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
