[앵커]

쿠팡의 로켓 배송을 확인하며 하루를 시작했던 고객들로선, 황당하고 불안합니다.

정상적인 로그인 없이도 고객 정보를 빼돌릴만큼 보안의 취약성이 그대로 드러났기 때문입니다.

쿠팡은 뒤늦게 국민 앞에 사과했습니다.

이어서 이지은 기잡니다.

[리포트]

정부는 쿠팡 서버의 인증 절차, 즉 로그인 과정 자체가 취약한 점이 이번 정보 유출로 이어진 거로 보고 있습니다.

[배경훈/과학기술정보통신부 장관 : "공격자가 쿠팡 서버의 인증 취약점을 악용하여 정상적인 로그인 없이 3천만 개 이상 고객 계정의 고객명, 이메일, 배송지 전화번호 및 주소를 유출한 것으로 확인했습니다."]

쿠팡이 고객 정보 유출을 알린 최초 신고서에도 보면 '유효한 인증 없이' 접근한 기록이 발견됐고, '서명된 액세스 토큰'을 악용한 것으로 추정된다고 쓰여있습니다.

바꿔 말하면 1단계 인증, 즉 로그인 절차가 뚫려, 고객 정보에 대한 접근이 이뤄졌고 수천만 명의 데이터가 유출됐다는 식의 설명으로 보입니다.

정부는 국가배후 해킹공격까지도 열어놓고 접근 중이라고 밝혔습니다.

[이기혁/중앙대 산업보안학과 교수 : "쭉 스캔해 가지고 취약점을 갖다가 어떻게 우리가 공략해서 고객의 개인 정보를 가져갈 건지를 시나리오를 만들어서 그 시나리오대로 고객의 개인 정보를 빼가는 겁니다."]

게다가 쿠팡이 정보 유출을 인지하는 데까지 걸린 시간은 5개월.

보안 감시 체계까지 제대로 작동하지 않은 건데, 밖으로 나간 정보가 어디까지 퍼졌는지는 파악조차 못하고 있습니다.

쿠팡 대표는 대규모 정보 유출 하루 만에 공개 사과했습니다.

[박대준/쿠팡 대표 : "사안이 너무 크고 강제력이나 공권력도 필요하기 때문에 (정부 기관과) 협력해서 수사를 해서 결론 내리는 게 지금은 최선이라고 생각하고 있습니다."]

정부는 쿠팡이 개인정보보호와 관련한 안전 조치 의무를 위반했는지 여부도 집중 조사하고 있습니다.

KBS 뉴스 이지은입니다.

영상편집:한찬의/그래픽:김성일

출처: https://news.kbs.co.kr/news/pc/view/view.do?ncd=8420881&ref=A