최민희 과방위원장 “대한민국 3분의1 넘는 국민이 이용하는 쿠팡… 6일 개인정보 유출됐는데 18일 인지” 비판
▲ 서울 송파구 쿠팡 본사. ⓒ연합뉴스쿠팡이 4536명 고객의 개인정보유출 사실을 12일 동안 몰랐던 것으로 나타났다.
20일 쿠팡은 4536명 고객 계정 프로필에서 이름·전화번호·배송주소 등이 비정상 접속으로 노출된 사실을 공개했다. 그러나 쿠팡은 사건 발생 이후 12일 동안 이 사실을 인지하지 못하고 있었다.
최민희 국회 과학기술정보방송통신위원회(과방위) 위원장이 21일 한국인터넷진흥원(KISA) 으로부터 제출받은 자료에 따르면 , 비정상 접속은 11월 6일 18시38분경 최초 발생한 것으로 추정된다.
그럼에도 쿠팡은 12일이 지난 11월18일 22시52분에야 처음으로 비정상 접근을 인지했다. 다음날인 11월19일 21시 35분 KISA에 침해사고 사실을 신고했다 .
쿠팡의 내부 조사 결과 이번 사건은 기존 로그인 사용자에게 발급되는 '서명된 액세스 토큰' 이 악용된 공격으로 파악됐다 . 이 토큰을 통해 최근 주문내역 5건과 이름·전화번호·배송주소 등 고객의 주요 개인정보가 포함된 프로필에 광범위하게 접근한 것으로 분석된다. 쿠팡은 현재 해당 토큰 계정을 모두 폐기한 상태이며 추가적인 접근 시도에 대응하기 위해 탐지 규칙을 추가하여 모니터링을 강화한 상태다.
최민희 위원장은 "대한민국 3분의1 가량이 넘는 국민이 이용하고 있는 쿠팡에서 침해사고 사실을 12일간 알아채지 못했다는 것은 단순한 실수를 넘어 중대한 보안관리 부실이다. 신속한 조치를 통해 고객 불안을 덜고 쿠팡은 정부 측 조사에 성실히 임하여 원인 규명에 최선을 다해야한다"라고 밝혔다.
20일 쿠팡은 4536명 고객 계정 프로필에서 이름·전화번호·배송주소 등이 비정상 접속으로 노출된 사실을 공개했다. 그러나 쿠팡은 사건 발생 이후 12일 동안 이 사실을 인지하지 못하고 있었다.
최민희 국회 과학기술정보방송통신위원회(과방위) 위원장이 21일 한국인터넷진흥원(KISA) 으로부터 제출받은 자료에 따르면 , 비정상 접속은 11월 6일 18시38분경 최초 발생한 것으로 추정된다.
그럼에도 쿠팡은 12일이 지난 11월18일 22시52분에야 처음으로 비정상 접근을 인지했다. 다음날인 11월19일 21시 35분 KISA에 침해사고 사실을 신고했다 .
쿠팡의 내부 조사 결과 이번 사건은 기존 로그인 사용자에게 발급되는 '서명된 액세스 토큰' 이 악용된 공격으로 파악됐다 . 이 토큰을 통해 최근 주문내역 5건과 이름·전화번호·배송주소 등 고객의 주요 개인정보가 포함된 프로필에 광범위하게 접근한 것으로 분석된다. 쿠팡은 현재 해당 토큰 계정을 모두 폐기한 상태이며 추가적인 접근 시도에 대응하기 위해 탐지 규칙을 추가하여 모니터링을 강화한 상태다.
최민희 위원장은 "대한민국 3분의1 가량이 넘는 국민이 이용하고 있는 쿠팡에서 침해사고 사실을 12일간 알아채지 못했다는 것은 단순한 실수를 넘어 중대한 보안관리 부실이다. 신속한 조치를 통해 고객 불안을 덜고 쿠팡은 정부 측 조사에 성실히 임하여 원인 규명에 최선을 다해야한다"라고 밝혔다.
댓글목록
등록된 댓글이 없습니다.