쿠팡에서 4500여명의 고객 정보가 노출된 가운데, 쿠팡이 실제 사고 시각으로부터 열흘 넘게 이를 인지하지 못했던 것으로 확인됐다.
21일 최민희 더불어민주당 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면, 비정상 접속은 11월6일 오후6시38분께 최초 발생한 것으로 추정된다. 쿠팡은 그로부터 12일이 지난 11월18일 밤 10시52분에서야 사고를 인지하고, 다음 날인 11월19일 저녁 9시35분 한국인터넷진흥원에 침해 사고를 신고했다.
쿠팡의 초기 조사에 따르면, 이번 사건은 공격자가 로그인 사용자에게 발급되는 ‘서명된 액세스 토큰’을 악용해 접근한 공격으로 추정된다. 공격자는 이 토큰을 통해 4536개의 계정 프로필에 접근했다. 이 프로필에는 고객의 최근 주문 내역 5건과 이름, 전화번호, 배송주소 등 고객의 주요 개인정보가 포함돼 있다. 최 의원은 “침해 사고 사실을 12일간 알아채지 못했다는 것은 단순한 실수를 넘어 중대한 보안 관리 부실이다”라고 비판했다.
쿠팡은 지난 20일 사고 발생 사실을 알리며 “결제 정보에 대한 접근은 없는 것으로 확인했다. 쿠팡 시스템과 내부 네트워크망의 외부 침입 흔적 역시 없는 것으로 확인했다”고 설명한 바 있다.
쿠팡은 현재 문제가 되는 토큰 계정의 서명 정보를 폐기한 상태다. 추가적인 접근 시도에 대응하기 위해 모니터링도 강화했다.
댓글목록
등록된 댓글이 없습니다.