| r16 vs r17 | ||
|---|---|---|
| ... | ... | |
| 42 | 42 | 두번째 의문점은 '''5개월간 정말 몰랐나?'''이다. 쿠팡이 무단 침해 정황을 알아차린 건 [[2025년]] 11월 18일이다. [[2025년]] 6월 최초 무단 접근 시도가 이뤄진 후 5개월 동안 유출 사실을 모르고 있었다. 쿠팡이 침해 정황을 인지한 것도 한 쿠팡 사용자가 '협박성 이메일을 받았다'고 민원을 넣었기 때문. 한 보안 기업 관계자는 "퇴사자가 해외에서 수시로 국내 핵심 서버에 접속해 3,400만 건에 달하는 정보를 빼가는 동안 경보 시스템이 작동하지 않았다는 게 말이 안 된다"고 했다. IT 플랫폼 관계자는 "워케이션(휴가지 원격 근무) 때도 부서장 결재를 거쳐 외부 접속 권한을 받을 정도로 기업들은 보안이 철저하다"며 "비인가 접근이 어떻게 다섯 달 동안 가능했는지 의문"이라고 했다. 이에 보안업계 일부에서는 용의자가 '로 앤드 슬로우(low and slow)' 방식을 활용한 것 아니냐는 해석도 나온다. 보안 관제 시스템 임계치를 넘지 않게 조금씩 데이터를 긁어갔다는 의미다. |
| 43 | 43 | |
| 44 | 44 | 세번째 의문점은 '''유출 동기'''이다. 가해자가 무단으로 탈취한 개인정보를 어떻게 활용하려 했는지도 뚜렷하지 않다. 경찰에 따르면 용의자는 쿠팡에 '회원들의 개인정보를 보유하고 있다. 보안을 강화하지 않으면 유출 사실을 언론에 알리겠다'는 내용의 협박성 이메일을 보냈다. 다만 금전을 요구하지는 않았다고 한다. 현재 민관 합동 조사단과 경찰은 쿠팡에서 유출된 정보가 다크웹(특정 프로그램을 사용해야만 접속할 수 있는 인터넷)에서 유통되거나 팔리는지 여부도 확인하고 있다.[[https://m.news.nate.com/view/20251202n01409|#]] |
| 45 | == 대처법 == | |
| 46 | 쿠팡 개인정보 유출 이후 소비자는 다음과 같은 행동을 하여 2차 피해를 방지하도록 한다. | |
| 47 | ||
| 48 | 우선 쿠팡에 등록했던 카드는 재발급해야 한다. 기존 결제수단 변경을 권고한다. 또 신뢰할 수 없는 웹사이트 링크에 접속하지 않아야 하며, 모르는 번호로 전화가 올 경우 수신에 주의하여야 한다. 그리고 출처가 불분명한 문자는 바로 삭제하여야 한다. | |
| 45 | 49 | == 논란 == |
| 46 | 50 | === 보안 부실 논란 === |
| 47 | 51 | 쿠팡에서 인증 관련 담당자로 일하던 중국인 개발자가 고객 3370만명의 개인정보를 유출한 사태와 관련해 쿠팡 측의 안일한 대응에 대한 비판이 커지고 있다. [[대한민국 정부|정부]]는 외부 해킹이 아닌 쿠팡 측의 방치에 따라 이번 사건이 벌어졌다고 보고 관련 책임을 엄중히 묻겠다는 입장이다. 원활한 피해자 보상을 위해 징벌적 손해배상제 개선 카드도 꺼내 들었다. 경찰도 범행에 사용된 인터넷주소(IP)를 확보하는 등 수사에 속도를 내고 있다. |
| ... | ... |