/
쿠팡 전 직원에 의한 정보통신망 침해사고 조사 결과
쿠팡 전 직원에 의한 정보통신망 침해사고 조사 결과
쿠팡 전 직원에 의한 정보통신망 침해사고 조사 결과
쿠팡 전 직원에 의한 정보통신망 침해사고 조사 결과
쿠팡 전 직원에 의한 정보통신망 침해사고 조사 결과
■ 조사 범위
- 쿠팡 이용자 인증체계
- 공격범위·유출규모 파악을 위한 접속기록 등 분석
- 전사 차원의 정보보호 관리체계 점검
■ 유출 규모
- 내정보 수정 페이지
: 성명·이메일 3367만여 건 유출 확인
- 배송지 목록 페이지
: 1.4억여 회 조회(성명, 전화번호, 주소 등)
- 배송지 목록 수정 페이지
: 5만여 회 조회(성명, 전화번호, 주소, 공동현관 비밀번호)
- 주문 목록 페이지
: 10만여 회 조회 (최근 주문한 상품 목록)
※ 개인정보 세부 유출규모는 개인정보보호위원회에서 확정 예정
■ 사고 원인 및 문제점
공격자는 이용자 인증 취약점을 악용하여 정상적인 로그인 없이 이용자 계정에 접속하여 대규모 정보 무단 유출
- 위·변조한 전자 출입증에 대한 검증 체계가 미흡하여 공격자의 공격 행위를 사전에 탐지·차단하지 못함
- 모의해킹 결과로 파악한 보안 취약점 개선 미흡
- 공격자가 이용자 인증 관련 시스템 개발자임에도 퇴사 이후, 쿠팡은 서명키를 즉시 갱신하지 않은 채 운영
■ 재발방지 대책
- 정상 발급절차를 거치지 않은 전자 출입증 탐지 및 차단체계 도입
- 모의해킹에서 발견한 취약점 조치 필요
- 서명키 발급·폐기 등 관리 체계 강화
■ 조치 사항
정보통신망법 상 신고지연, 자료보전 명령 위반사항 확인
- 신고 지연: 과태료(부과 예정)
침해사고를 인지한 시점('25.11.17 16:00)으로부터 24시간이 지난 이후 KISA에 신고('25.11.19 21:35)
- 자료보전 명령 위반: 수사 의뢰
자료보전 명령('25.11.19 22:34) 이후에도 웹 및 애플리케이션 접속기록을 삭제하여 조사 제한
■ 향후 계획
2월: 쿠팡의 재발방지 대책 이행계획 제출
3~5월: 쿠팡의 재발방지 대책 이행
6~7월: 쿠팡의 재발방지 대책 이행 여부 점검
이후: 보완이 필요한 사항에 대한 시정조치 명령
쿠팡 전 직원에 의한 정보통신망 침해사고 조사 결과
■ 조사 범위
- 쿠팡 이용자 인증체계
- 공격범위·유출규모 파악을 위한 접속기록 등 분석
- 전사 차원의 정보보호 관리체계 점검
■ 유출 규모
- 내정보 수정 페이지
: 성명·이메일 3367만여 건 유출 확인
- 배송지 목록 페이지
: 1.4억여 회 조회(성명, 전화번호, 주소 등)
- 배송지 목록 수정 페이지
: 5만여 회 조회(성명, 전화번호, 주소, 공동현관 비밀번호)
- 주문 목록 페이지
: 10만여 회 조회 (최근 주문한 상품 목록)
※ 개인정보 세부 유출규모는 개인정보보호위원회에서 확정 예정
■ 사고 원인 및 문제점
공격자는 이용자 인증 취약점을 악용하여 정상적인 로그인 없이 이용자 계정에 접속하여 대규모 정보 무단 유출
- 위·변조한 전자 출입증에 대한 검증 체계가 미흡하여 공격자의 공격 행위를 사전에 탐지·차단하지 못함
- 모의해킹 결과로 파악한 보안 취약점 개선 미흡
- 공격자가 이용자 인증 관련 시스템 개발자임에도 퇴사 이후, 쿠팡은 서명키를 즉시 갱신하지 않은 채 운영
■ 재발방지 대책
- 정상 발급절차를 거치지 않은 전자 출입증 탐지 및 차단체계 도입
- 모의해킹에서 발견한 취약점 조치 필요
- 서명키 발급·폐기 등 관리 체계 강화
■ 조치 사항
정보통신망법 상 신고지연, 자료보전 명령 위반사항 확인
- 신고 지연: 과태료(부과 예정)
침해사고를 인지한 시점('25.11.17 16:00)으로부터 24시간이 지난 이후 KISA에 신고('25.11.19 21:35)
- 자료보전 명령 위반: 수사 의뢰
자료보전 명령('25.11.19 22:34) 이후에도 웹 및 애플리케이션 접속기록을 삭제하여 조사 제한
■ 향후 계획
2월: 쿠팡의 재발방지 대책 이행계획 제출
3~5월: 쿠팡의 재발방지 대책 이행
6~7월: 쿠팡의 재발방지 대책 이행 여부 점검
이후: 보완이 필요한 사항에 대한 시정조치 명령
이 누리집은 대한민국 공식 전자정부 누리집입니다.
