대한민국 당국은 화요일에 전자상거래 대기업 쿠팡이 회사에서 발생한 대규모 데이터 유출의 원인으로 지목된 보안 시스템의 취약점을 해결해야 한다고 밝혔다.
정부가 주도한 사건 조사에서 첫 번째 결과를 발표하면서 과학기술정보통신부는 유출 원인을 쿠팡의 전 엔지니어에게 돌렸다. 과학기술정보통신부는 그가 인증 시스템의 취약점을 알고 있었으며, 2025년 1월에 접근을 시도했다는 기록을 인용했다. 이는 4월 데이터 침해 발생 3개월 전이며, 데이터 침해는 11월까지 지속되었다.
미국 증시에 상장된 쿠팡Inc가 운영하는 쿠팡 코리아(CPNG.N)에서 발생한 데이터 유출 사고는 대한민국 최악의 사례 중 하나로, 미국 관리들이 미국 기술 기업에 대한 처우에 우려를 표명하면서 미국과의 무역 마찰을 심화시키고 있다.
과기정통부는 조사 결과 약 3,370만 명의 고객 개인 정보가 유출된 것을 확인했다고 밝혔다.
"공격자가 사용자 인증 취약점을 악용하여 적절한 로그인 없이 사용자 계정에 접근, 대규모의 무단 정보 유출을 야기했다"라고 과기정통부는 밝혔다.
과기정통부는 전 직원이 서명 키로 알려진 내부 보안 키를 훔쳤다고 비난했으며, 이는 가짜 로그인 토큰을 생성하고 고객 계정에 무단으로 액세스하는 데 사용되었다고 밝혔다.
또한, 해당 전 직원 엔지니어는 쿠팡의 사용자 인증 시스템의 일부를 설계하고 개발했으며, 개발자가 퇴사한 후 회사가 위조된 로그인을 감지하고 서명 키를 교체하지 못했다고 밝혔다.
과기정통부는 "위조 또는 변조된 전자 액세스 카드에 대한 검증 시스템이 미흡하여 공격을 사전에 감지하거나 차단하기 어려웠다"고 밝혔다.
“쿠팡은 정상적인 발급 절차를 거치지 않은 전자출입증에 대한 탐지 및 차단 시스템을 도입해야 한다”고 밝혔다.
경찰과 개인 정보 보호 감독 기관의 데이터 유출에 대한 별도 조사가 계속 진행 중이다.
과기정통부는 쿠팡이 정보통신망법상 정보 유출 신고 의무를 규정된 24시간을 넘겨 지연 신고했다며 정보통신망법 위반으로 보고 과태료 3천만 원(미화 약 20,596달러)을 부과할 예정이라고 밝혔다.
과기정통부에 따르면 쿠팡은 11월 17일 오후 4시에 데이터 침해를 인지하고 11월 19일 오후 9시 35분에 당국에 신고했다.
또한, 쿠팡이 데이터 유출 원인 분석을 위해 내려진 데이터 보존 명령을 준수하지 않았다고 보고, 이 사안을 수사 당국에 의뢰했다.
쿠팡 측은 즉각적인 논평 요청에 응하지 않았다.
