Tech & Investment

홈서버 구축

IT기술

자기계발

쿠팡 3,370만 명 개인정보 유출: ‘내부자’는 어떻게 뚫었나?

쿠팡 3,370만 명 개인정보 유출: ‘내부자’는 어떻게 뚫었나?

대한민국 국민 대부분이 사용하는 이커머스 공룡, 쿠팡(Coupang)에서 역대급 보안 사고가 터졌습니다.

당초 4,500명 수준이라던 피해 규모는 정밀 조사 결과 3,370만 명으로 밝혀졌습니다. 사실상 쿠팡을 쓰는 전 국민의 정보가 털린 셈입니다. 이번 사태의 가장 충격적인 점은 외부의 고도화된 해킹 공격이 아닌, ‘중국 국적의 전(前) 직원’이 유력 용의자로 지목되었다는 사실입니다.

오늘은 이번 사태를 통해 내부자 위협의 기술적 허점과 유출된 정보를 악용한 2차 피해 시나리오, 그리고 우리가 취해야 할 대응책을 정리해 봅니다.

1. 기술적 분석: 그는 어떻게 3천만 명의 정보를 가져갔나?

경찰과 쿠팡 측의 발표를 종합해보면, 이번 사건은 “해외 서버를 통해 비인가 접근”이 이루어졌으며, 핵심 용의자는 “퇴사한 전 직원”입니다. 이를 토대로 엔지니어링 관점에서 유출 경로를 추정해 볼 수 있습니다.

① IAM(계정 권한 관리) 및 퇴사자 프로세스 실패

가장 유력한 원인은 ‘좀비 계정’입니다. 원래 직원이 퇴사하게 되면 즉시 사내 시스템 접근 권한(VPN, DB접근권한, AWS IAM 등)을 회수해야 합니다. 하지만 이 프로세스가 누락되었거나, 해당 직원이 퇴사 전 ‘백도어(Backdoor) 계정’을 몰래 생성해두고 나갔을 가능성이 큽니다.

  • 기술적 허점: 퇴사 후에도 유효한 세션 토큰이나 API 키가 남아 있었거나, 해외 IP 차단 정책(Geo-blocking)이 내부 직원 계정에는 느슨하게 적용되었을 수 있습니다.

② 대량 데이터 스크래핑 (Scraping) & API 악용

3,370만 명이라는 숫자는 단순 쿼리 한 번으로 가져오기 힘듭니다. 용의자는 정상적인 관리자 권한을 악용해 대량의 데이터를 조회하는 API를 반복 호출(Enumeration)했을 가능성이 높습니다.

  • Rate Limiting 부재: 일반적인 서비스라면 짧은 시간에 대량의 조회가 발생할 때 이를 차단(Rate Limit)해야 합니다. 하지만 ‘내부 관리자 권한’으로 인식된 트래픽에 대해서는 이러한 감시가 소홀했을 수 있습니다.

③ 쉐도우 IT와 해외망 우회

‘해외 서버를 경유했다’는 점은 용의자가 추적을 피하기 위해 프록시(Proxy)나 VPN을 사용했음을 의미합니다. 내부망에 접근할 때 2단계 인증(MFA)이 제대로 작동하지 않았거나, 특정 우회 경로가 존재했을 가능성을 시사합니다.

2. 해킹 피해자들이 겪을 2차 피해

이번 유출이 무서운 이유는 단순히 이름과 전화번호만 나간 게 아니기 때문입니다. ‘주문 이력’과 ‘배송지 정보’가 포함되었습니다. 이는 해커들에게 ‘완벽한 시나리오’를 제공합니다.

🚨 시나리오 1: 맞춤형 스미싱 (Targeted Smishing)

  • 기존: “택배가 반송되었습니다. 확인하세요.” (의심스러움)
  • 이번 유출 후: “김쿠팡님, 11월 20일 주문하신 [제주 삼다수 2L]가 품절되어 환불 처리 중입니다. 아래 링크에서 계좌를 확인해주세요.”
  • 위험성: 내가 실제로 주문한 상품명을 언급하며 접근하기 때문에, 의심 많은 사용자도 속아 넘어갈 확률이 매우 높습니다.

🚨 시나리오 2: 보이스피싱의 고도화

배송지 주소와 수령인 정보까지 유출되었습니다. 범죄자들은 이를 이용해 수사기관이나 택배사를 사칭하며 더 구체적인 정보를 들이대며 협박할 수 있습니다.

🚨 시나리오 3: 2차 해킹 미끼

“쿠팡 유출 피해 보상금 조회”와 같은 키워드로 가짜 사이트를 만들어 상단에 노출시킵니다. 불안한 마음에 검색해본 피해자가 이 사이트에 접속하면, 악성코드(APK)가 설치되어 스마트폰이 좀비폰이 될 수 있습니다.

3. 대응 방안: 지금 우리는 무엇을 해야 하나?

이미 정보는 유출되었습니다. 이제는 방어에 집중해야 할 때입니다.

✅ 개인 사용자 대응 수칙

  1. 문자 속 링크 절대 클릭 금지: 쿠팡이나 택배사는 절대 문자로 URL을 보내 개인정보 입력을 요구하지 않습니다. ‘환불’, ‘배송지 오류’ 문자는 무조건 공식 앱을 켜서 확인하세요.
  2. KISA ‘보호나라’ 활용: 카카오톡 채널에서 ‘보호나라’를 친구 추가하세요. 의심스러운 문자를 복사해서 보내면, 악성 스미싱인지 판별해 줍니다.
  3. 소액결제 차단/확인: 혹시 모를 금전 피해를 막기 위해 통신사 앱에서 소액결제 한도를 줄이거나 차단하세요. 이미 클릭했다면 통신사 고객센터를 통해 결제 내역을 확인해야 합니다.

✅ 기업이 얻어야 할 교훈

  1. 제로 트러스트(Zero Trust) 도입: “내부자도 믿지 마라.” 퇴사자 권한 회수 자동화(Off-boarding Automation)와 엄격한 접근 제어(NAC)가 필수입니다.
  2. 이상 징후 탐지(Anomaly Detection): 특정 계정이 평소와 달리 대량의 데이터를 조회하거나, 심야 시간에 해외 IP로 접속하는 행위를 실시간으로 탐지하고 차단하는 시스템이 필요합니다.

📝 마치며

편리함의 대명사였던 ‘로켓배송’이 보안의 구멍이 되어 돌아왔습니다. 이번 사건은 기술적인 방어벽만큼이나 ‘내부 인력 관리’와 ‘권한 통제’가 얼마나 중요한지 보여주는 뼈아픈 사례로 남을 것입니다.

당분간 [국제발신][환불안내] 문자는 의심하고 또 의심하시기 바랍니다.

코멘트

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다