쿠팡 개인정보 유출, 대만 계정 20만개 포함… “민감 정보는 없었다” 최종 발표
#쿠팡 #개인정보유출 #대만계정 #사이버보안 #맨디언트 #고객보호
쿠팡의 모회사 쿠팡Inc가 개인정보 유출 사건과 관련한 최종 포렌식 조사 결과를 공개했습니다.
핵심은 이렇습니다.
총 3,300만 개 계정 중 약 20만 개가 대만 소재 계정으로 확인됐으며, 해당 데이터를 빼낸 전 직원은 이 중 단 1개 계정의 데이터만 저장한 것으로 밝혀졌다는 것입니다.
이번 조사는 글로벌 보안업체 맨디언트와 팔로알토 네트웍스가 참여한 포괄적 포렌식 분석을 통해 이뤄졌습니다.
민감 정보는 유출되지 않았다
쿠팡은 제3자 전문가 분석 결과, 유출된 데이터는 이름·이메일·전화번호·배송 주소·일부 주문 내역 등 기본 정보에 한정됐다고 밝혔습니다.
다음 정보는 유출되지 않았다고 강조했습니다.
- 금융 정보 및 결제 카드 정보
- 로그인 비밀번호 등 자격 증명
- 정부 발행 신분증 정보
한국 사용자 계정 2,609건에 건물 로비 출입문 접근 권한이 포함돼 있었던 점은 확인됐지만, 고도 민감 정보는 어느 지역에서도 유출되지 않았다는 설명입니다.
기기 회수 및 데이터 보존 규모
공격에 사용된 전 직원의 기기는 모두 회수됐으며, 포렌식 결과 약 3,000개 계정 데이터가 일시 보관됐다가 삭제된 것으로 결론났습니다.
특히 저장된 데이터는
- 한국 계정 약 3,000개
- 대만 계정 1개
뿐이며, 제3자 열람·공유·전송 증거는 발견되지 않았다고 밝혔습니다.
다크웹 등 모니터링 결과도 공개
쿠팡은 CN Security 등 여러 보안업체가 다크웹·딥웹·텔레그램·중국 메시징 플랫폼 등을 지속 모니터링한 결과, 현재까지 고객 데이터 유출 사례는 발견되지 않았다고 설명했습니다.
대한민국 경찰청 및 민관합동수사팀(JIT)도 2차 피해 사례는 확인되지 않았다고 전했습니다.
새로운 발견: 대만 계정 20만 개 접근
초기에는 대만 계정 피해 증거가 없었으나, 추가 조사 결과 약 20만 개 대만 계정에 무단 접근이 있었던 것으로 확인됐습니다.
다만 대만 계정에서도 접근 정보는 기본 연락처·주문 정보에 한정됐으며, 금융·로그인·신분증 정보는 포함되지 않았다고 밝혔습니다.
쿠팡은 대만 디지털부와 협력해 조사 과정을 공유했으며, 관련 기관과 지속적으로 협력하겠다고 밝혔습니다.
다음 단계는?
- 한국·대만 정부 기관과 지속 협력
- 상황 지속 모니터링
- 보안 기준 강화 및 내부 통제 개선
쿠팡은 “이번 사건은 전 직원의 범죄 행위이며, 당사는 책임을 통감한다”며 재발 방지와 보안 강화 의지를 강조했습니다.
현재까지 데이터 오용이나 2차 피해는 확인되지 않았지만,
대형 플랫폼 기업의 내부 통제와 접근 권한 관리에 대한 경각심은 한층 높아진 상황입니다.
쿠팡개인정보유출,대만계정20만건,사이버보안사고,맨디언트조사,고객정보보호,데이터포렌식
핑백: “RTX5090만 노렸다” 평택 GPU 도둑 35시간 만에 검거… 리딩방 피해까지 드러난 전말 - 케케우