그냥 적어보는 쿠팡 관련 사태
이마 찾아보시고 알만한 내용 다 아실테니 간다 요약하는식으로 말함.
박모씨가 받았던 11월 16일 오후 8시30분에 받았다는 메일 내용
대충.. 당신의 쿠팡 개인 정보가 유출 되었다는 메일이다.
해당 박모씨는 메일을 받고 90분동안 멍때리다가 바로 쿠팡측에 신고하였고 (16일)
확인결과 쿠팡측에서 해킹 되었다는 사실을 뒤늦게 알게 되었다. (19일)
그리고 20일쯤에 해킹사실을 공식 발표하게 된다.
어떻게 해킹이 이루워졌는지 정확한 사실 확인은 힘드나..
퇴사한 중국인 개발자가 기존에 쓰던 쿠팡API 접근인증키를 통해 데이터 접근을 자유롭게 이용한것으로 보여진다.
대략 2025년 6월 24일 ~ 11월 8일 사이에 해당 데이터가 유출 된것으로 보여진다.
이준석 의원의 질의를 통해 추가로 드러난 바에 의하면, 쿠팡은 내부 데이터베이스의 사용자 식별값(Primary Key)을 암호화된 난수나 랜덤 값이 아닌 순서대로 1씩 늘어나는 정수(Auto Increment Integer)로 설정해두고 있었다고 한다.
그렇다는건 API를 통해 개인 고유식별키를 알아내어 약 3,370만 정도의 데이터 유출이 있었을거라 보여진다.
물론 이 정보가 어디까지 접근권한이 되었는지는 자세히 모르나.. 메일 내용으로 봐서는 주문목록 및 배송정보만 보여진다.
쿠팡측에서는
가입자 이름, 이메일, 주문정보
배송지(이름, 전화번호, 주소)
공동현관 비밀번호
이정도가 유출 되었으며 느낌상 배송API을 해킹한것으로 보여진다.
문제는 그 API가 개인 고유식별키로 지난 주문내역까지 볼수 있다는 문제가 있기에 더 큰 논란으로 보여진다.
어째든 쿠팡측 말이 사실이라면 회원가입 및 카드정보는 알수가 없었을것이며
카드 비밀번호 또한 쿠팡측에 등록된 카드식별인증번호를 통해 카드사와 연결하여 비밀번호을 입력하기에
쿠팡측에서 카드 비밀번호를 수집하면 불법이기에 이런 데이터정보는 남아 있지 않을것으로 보여진다.
어째든.. 이 일로 인해 내부 보안을 엉망으로 진행하였으며 그 피해가 어떻게 될지는 아직 미지수다보니..
좀 더 지켜봐야할 입장이긴하다..
결론
쿠팡측말이 사실이면 회원가입 및 카드정보는 유출이 안되었겠지만 어째든 개인정보 유출은 맞으며
개인 연락을 통하여 2차피해가 있을수 있기에 고지를 하고 빠른 조치가 이루워지는게 맞는 상황이긴하다.
사실 결론을 어떻게 내야 할지 모르겠음 ㅋ
만약 고객 이름으로 성별 유추하여 주문내역으로 여자 혼자 사는 집을 찾아갈지도 모르는 일이지만..
그런 계획범죄가 이루워지기에는 리스크가 크기에 피싱자료로 쓰일거라 보여지며..
개인정보가 이미 털릴때로 다 털리는 대한민국이라서.. 통신사도 그렇고.. 최근 카카오페이도 알리페이에 4000만명 고객정보 무단제공 하고 과징금 59억6천800만 내리는 꼴을 보면..
쿠팡도 그런식으로 피해규모 축소 시켜 과징금으로 끝날것으로 보여지긴 한다.