AD
쿠팡 고객계정 정보 유출은 지난 6월 말부터 무려 다섯 달 가까이 이뤄진 것으로 파악됐습니다.
정부는 조사 결과 일반 고객이 쿠팡에 접속할 때 인증에 사용되는 암호키가 사용됐다고 밝혔습니다.
[류제명 / 과학기술정보통신부 2차관 : 인증용 토큰을 전자 서명하는 암호키가 악용됐습니다. 현재까지 공격이 식별된 기간은 25년 6월 24일부터 11월 8일까지이며….]
정보 유출 공격자로 지목된 중국 국적의 전 쿠팡 직원의 실체도 조금씩 드러났습니다.
쿠팡에서 인증 시스템을 만드는 개발자였습니다.
[박대준 / 쿠팡 대표 : 인증 시스템을 개발 하거나 그런 개발자였습니다. 보통 개발팀이 여러 역할을 가지고 있는 직원들을 모아서 하나의 팀을….]
박 대표는 또 해당 전 직원은 파견, 임시직이 아닌 정규직 직원이었고, 같은 팀 다른 동료들은 현재 쿠팡에서 일하고 있다고 답했습니다.
쿠팡 개발자의 절반 이상이 중국인과 인도인 등 외국인으로 구성됐다는 내부 폭로 글에 대해서는 사실이 아니라고 부인했습니다.
용의자의 대략적인 범행 방법도 언급됐습니다.
[브랫 매티스 / 쿠팡 최고정보보안책임자 : 원래 직원이 퇴사하면 이런 접근을 차단하지만 이 암호키를 쿠팡에서 일하는 중에 가져갔다면, 가져간 암호키를 가지고 토큰을 생성하는 행위를 하지 않았을까 추측하고 있습니다.]
당장 결제 정보, 로그인 정보가 유출되지 않았다는 설명이지만, SK텔레콤 때와 같이 조사 과정에서 유출이 더 확인될 수 있어 사전 조치가 필요하다는 지적도 나왔습니다.
[김승주 / 고려대학교 정보보호대학원 교수 : 결제카드를 등록했다면 전부 다 삭제하셔야 되고요. 비밀번호, 카드 비밀번호도 바꾸시는 게 좋고요. 아마 민관합동조사단이 전수조사를 하면 피해가 더 확산될 수 있기 때문에 최악의 상황을 가정하고….]
이런 가운데 쿠팡이 공식 사과문에서 정보 유출을 '노출'이라고 축소하고, 사과문을 홈페이지에서 삭제한 것과 관련해 질타가 이어졌습니다.
YTN 박기완입니다.
영상기자ㅣ이상은 이승창
영상편집ㅣ이영훈
자막뉴스ㅣ이 선
#YTN자막뉴스
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
정부는 조사 결과 일반 고객이 쿠팡에 접속할 때 인증에 사용되는 암호키가 사용됐다고 밝혔습니다.
[류제명 / 과학기술정보통신부 2차관 : 인증용 토큰을 전자 서명하는 암호키가 악용됐습니다. 현재까지 공격이 식별된 기간은 25년 6월 24일부터 11월 8일까지이며….]
정보 유출 공격자로 지목된 중국 국적의 전 쿠팡 직원의 실체도 조금씩 드러났습니다.
쿠팡에서 인증 시스템을 만드는 개발자였습니다.
[박대준 / 쿠팡 대표 : 인증 시스템을 개발 하거나 그런 개발자였습니다. 보통 개발팀이 여러 역할을 가지고 있는 직원들을 모아서 하나의 팀을….]
박 대표는 또 해당 전 직원은 파견, 임시직이 아닌 정규직 직원이었고, 같은 팀 다른 동료들은 현재 쿠팡에서 일하고 있다고 답했습니다.
쿠팡 개발자의 절반 이상이 중국인과 인도인 등 외국인으로 구성됐다는 내부 폭로 글에 대해서는 사실이 아니라고 부인했습니다.
용의자의 대략적인 범행 방법도 언급됐습니다.
[브랫 매티스 / 쿠팡 최고정보보안책임자 : 원래 직원이 퇴사하면 이런 접근을 차단하지만 이 암호키를 쿠팡에서 일하는 중에 가져갔다면, 가져간 암호키를 가지고 토큰을 생성하는 행위를 하지 않았을까 추측하고 있습니다.]
당장 결제 정보, 로그인 정보가 유출되지 않았다는 설명이지만, SK텔레콤 때와 같이 조사 과정에서 유출이 더 확인될 수 있어 사전 조치가 필요하다는 지적도 나왔습니다.
[김승주 / 고려대학교 정보보호대학원 교수 : 결제카드를 등록했다면 전부 다 삭제하셔야 되고요. 비밀번호, 카드 비밀번호도 바꾸시는 게 좋고요. 아마 민관합동조사단이 전수조사를 하면 피해가 더 확산될 수 있기 때문에 최악의 상황을 가정하고….]
이런 가운데 쿠팡이 공식 사과문에서 정보 유출을 '노출'이라고 축소하고, 사과문을 홈페이지에서 삭제한 것과 관련해 질타가 이어졌습니다.
YTN 박기완입니다.
영상기자ㅣ이상은 이승창
영상편집ㅣ이영훈
자막뉴스ㅣ이 선
#YTN자막뉴스
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]