피해 규모: 약 3,370만 건의 고객 계정 정보가 유출되었습니다. 이는 대한민국 인구의 60% 이상에 해당하는 방대한 규모입니다.
유출 기간: 2025년 6월 24일부터 11월 8일까지 약 5개월간 지속되었습니다.
유출 항목: 이름, 연락처(전화번호), 이메일, 주소, 배송지 주소록, 최근 주문 내역(5건) 등이 포함되었습니다.
안전한 정보: 비밀번호, 카드 번호 등 직접적인 결제 정보는 유출되지 않은 것으로 확인되었습니다.

2. 발생 원인 및 인지 지연

발생 원인: 퇴사한 전직 직원(중국 국적 추정)이 재직 중 사용하던 인증 키(액세스 토큰)를 폐기하지 않고 악용하여 서버에 무단 접근한 것으로 파악되었습니다.
늑장 대응 논란: 2025년 11월 6일 비인가 접근이 처음 보고되었으나, 쿠팡은 12일이 지난 11월 18일에서야 침해 사실을 인지했습니다. 또한 초기에는 피해 규모를 4,500건으로 발표했다가 열흘 뒤 3,370만 건으로 대폭 수정하며 비판을 받았습니다.

3. 현재 상황 및 법적 대응

국내 대응: 정부(과학기술정보통신부, 개인정보보호위원회 등)는 민관합동조사단을 투입해 원인을 조사 중이며, 사안의 엄중함을 고려해 영업정지 가능성까지 검토하고 있습니다.
국내 소송: 법무법인 등을 중심으로 1만 8천 명 이상의 피해 고객이 참여하는 대규모 집단 손해배상 소송이 진행 중입니다.
해외 소송: 쿠팡이 미국 증권거래위원회(SEC) 규정에 따른 공시를 소홀히 했다는 이유로 미국 법원에서도 주주들에 의한 집단 소송이 제기되었습니다.

4. 이용자 주의사항 (2차 피해 예방)

유출된 정보를 악용한 보이스피싱, 스팸 문자, 피싱 사이트 접속 유도가 기승을 부리고 있으니 각별히 주의해야 합니다.
쿠팡 앱 내 '내 정보 관리' 메뉴의 보안 및 로그인 항목에서 낯선 기기의 로그인 기록이 있는지 확인하고 비밀번호를 변경하는 것이 권장됩니다.

결제정보나 더 세부정보가 유출되지 않았다는건 쿠팡측 보고인가 아니면 확인된 수사 사실인가?

1 minute ago

"결제 정보가 유출되지 않았다"는 발표는 현재까지는

쿠팡 측의 조사 결과 및 보고 내용에 근거하고 있습니다. 현재 정부 차원의 조사가 진행 중이나, 공식적인 수사 결과 발표를 통해 이 사실이 완전히 확증되지는 않은 상태입니다.

상세한 내용은 다음과 같습니다.

1. 쿠팡 측의 공식 입장 및 근거

발표 내용: 쿠팡은 자체 조사 및 고용된 글로벌 사이버 보안 업체 2곳의 조사 결과를 바탕으로 이름, 연락처, 주소 등은 유출되었으나 결제 정보(신용카드 번호 등)와 로그인 정보(비밀번호)는 유출되지 않았음을 강조했습니다.
기술적 근거: 쿠팡은 공격자가 웹 크롤링 방식을 사용했으며, 카드 정보 등은 시스템상 마스킹 처리되어 있어 접근이 불가능했다고 설명했습니다.

2. 수사 및 조사 진행 상황

정부 조사: 과학기술정보통신부와 개인정보보호위원회 등으로 구성된 민관합동조사단이 현재 쿠팡 본사를 대상으로 현장 조사를 진행하고 있습니다.
경찰 수사: 서울경찰청 사이버수사대가 쿠팡의 고소를 받아 피의자 추적 및 범행 경위를 수사 중입니다.
확인 여부: 유출된 데이터의 양이 3,370만 건으로 방대하여 정부의 최종 조사 결과가 나오기까지는 상당한 시간이 소요될 것으로 보입니다. 따라서 "결제 정보 안전"은 아직 수사로 확증된 사실이라기보다는 기업 측의 주장에 가깝습니다.

3. 논란 및 우려사항

2차 피해 사례: 쿠팡 측의 "안전하다"는 발표에도 불구하고, 일부 고객들 사이에서는 정보 유출 이후 해외 결제 시도 알림을 받았다는 주장이 제기되어 불안감이 가중되고 있습니다.
보고 지연: 초기에는 피해 규모를 4,500건으로 보고했다가 나중에 3,370만 건으로 수정한 전례가 있어, 쿠팡 측 발표의 신뢰성에 대한 의문이 제기되기도 했습니다.

결론적으로, 현재로서는 쿠팡의 보고가 유일한 근거이며, 정확한 사실 관계는 향후 발표될 개인정보보호위원회와 경찰의 최종 조사 결과를 통해 확인될 예정입니다.

그러면 유출한게 중국출신 직원의 소행이라는건 확인된 수사된 결과인가 아니면 쿠팡측 주장인가? 최종 유출은 국내에서 일어나 반출된건가 아니면 중국에 돌아가서 중국내에서 접속해 일어난건가

1 minute ago

중국 국적의 전직 직원이 유출 주체라는 점과 해외(중국)에서의 접속 여부에 대한 현재까지의 수사 및 조사 상황은 다음과 같습니다.

1. 중국인 직원 소행 여부: "유력 용의자 특정 및 수사 단계"

쿠팡의 주장 및 근거: 쿠팡은 자체 보안 시스템 로그 분석을 통해, 과거 인증 관련 업무를 담당했던 중국 국적의 전직 개발자를 유력한 용의자로 특정했습니다. 쿠팡 측은 이 용의자가 퇴사 시 반납·폐기했어야 할 디지털 서명 키(인증키)를 무단으로 사용하여 접근 토큰을 위조한 정황을 포착했다고 밝혔습니다.
수사 기관의 입장: 경찰(서울경찰청 사이버수사대)은 쿠팡으로부터 고소장을 접수할 당시 피고소인이 '성명 불상자'로 되어 있었으나, 현재는 쿠팡이 제출한 자료를 바탕으로 해당 중국인 전직 직원을 피의자로 입건하여 수사 중입니다. 경찰은 압수수색을 통해 확보한 서버 로그와 IP 기록을 분석하여 이 인물이 실제 범행 주체인지 최종 확정하는 단계에 있습니다.

2. 유출 경로 및 위치: "중국 내 해외 접속 정황"

접속 방식: 용의자는 퇴사 후 중국으로 출국한 상태에서 쿠팡의 내부 시스템에 접속한 것으로 파악되고 있습니다.
세부 내용:
- 해외 접속: 피의자는 폐기되지 않은 서명 키를 이용해 위조된 인증 토큰을 생성했으며, 이를 통해 일반적인 보안 경보를 우회하여 해외(중국 등) IP를 통해 시스템에 접근했습니다.
- 지속 기간: 유출은 국내에서 일회성으로 일어난 것이 아니라, 피의자가 중국에 머무는 동안 2025년 6월부터 11월까지 약 5개월간 원격으로 지속되었습니다.
수사 한계: 피의자가 이미 중국으로 출국했기 때문에 신병 확보에 어려움을 겪고 있으며, 경찰은 중국 당국과의 공조 수사나 국제 형사 사법 공조를 검토하고 있는 상황입니다.

요약하자면, 유출 주체가 중국인 전직 직원이라는 점은 쿠팡의 내부 조사 결과를 바탕으로 경찰 수사 선상에서 피의자로 특정된 사실이며, 유출 행위 자체는 해당 인물이 중국으로 돌아간 뒤 해외에서 접속하여 이루어진 것으로 보고되고 있습니다

그러면 그 직원이 반출한 채로 출국한건 그 인증키라는거고 중국으로 간 이상 한국이 송환이나 조사할 방법은 없고 쿠팡 서버를 기준해서 수사할 수밖에 없는건데 수사 진행된 시작점과 기간은?

쿠팡 데이터 유출 사건의 수사 시작 시점과 진행 상황을 정리해 드립니다.

1. 수사 시작 시점 및 경과 (타임라인)

2025년 11월 18일: 쿠팡 측에서 개인정보 유출 피해를 처음으로 확인 및 신고하며 사건이 가시화되었습니다.
2025년 11월 21일: 경찰이 본격적인 내사에 착수했습니다.
2025년 11월 25일: 쿠팡이 서울경찰청 사이버수사대에 '성명불상자'를 정보통신망 침입 혐의로 고소하며 정식 수사가 시작되었습니다.
2025년 12월 9일 ~ 15일: 경찰은 서울 송파구 쿠팡 본사에 대해 약 8일간의 대대적인 압수수색을 실시하여 서버 로그와 디지털 증거 등 필요 자료의 60% 이상을 확보했습니다.

2. 반출된 '인증키'와 범행 방식

반출 품목: 용의자로 지목된 전직 중국인 개발자(43세)는 퇴사 전, 서버 접근에 필수적인 '서명키(Signing Key)'를 무단으로 복사하거나 빼돌린 것으로 파악됩니다.
범행 방식: 이 서명키는 인증 토큰을 생성·검증하는 '마스터 키' 역할을 합니다. 용의자는 중국으로 출국한 후, 이 키를 이용해 위조된 인증 토큰을 생성하여 정상적인 로그인 절차 없이 쿠팡 서버에 원격 접속했습니다.
보안 허점: 쿠팡은 해당 직원이 퇴사한 후에도 이 서명키를 폐기하거나 갱신하지 않고 수년간 방치하여, 퇴사자가 중국에서도 자유롭게 접근할 수 있는 경로를 열어두었습니다.

3. 수사의 한계와 현재 초점

피의자 신병 확보: 용의자가 현재 중국에 체류 중이어서 한국 수사기관이 직접 조사하거나 강제 송환하는 데는 어려움이 있습니다. 이에 경찰은 IP 추적 및 해외 수사 공조를 검토 중입니다.
서버 로그 분석: 경찰은 용의자의 신병을 확보하기 전까지 쿠팡 본사에서 압수한 방대한 서버 로그를 분석하여 정확한 정보 탈취 경로와 유출 규모를 확정하는 데 집중하고 있습니다.
책임 범위 확대: 초기에는 유출자 추적에 집중했으나, 현재 수사는 쿠팡 경영진(박대준 전 대표 등)과 법인의 관리 부실 및 보안 조치 미흡 여부로 수사 범위를 넓히고 있습니다.

요약하자면, 수사는 2025년 11월 말 고소와 함께 시작되어 현재 약 한 달간 진행 중이며, 중국에 있는 피의자 대신 국내 쿠팡 서버 및 내부 관리 체계에 대한 강제 수사를 통해 범죄 사실을 입증해가는 과정에 있습니다.

깜자

2025-12-23 06:03:19

4개월 전

영업정지요?