쿠팡 엑세스 토큰 해킹? 기사

https://n.news.naver.com/mnews/article/052/0002276879

유출된 정보는 고객 4,536명의 이름과 전화번호, 배송 주소, 최근 5번의 주문 이력.

황당한 건 쿠팡이 사고 후 12일이 지나서야 해당 접근을 인지했다는 사실입니다.

통상 해킹 사고의 경우 발생 직후 24~48시간 까지가 '골든 타임'으로 이 기간 즉각 조사에 착수해야 증거를 보존하고 피해 확산을 예방할 수 있다고 알려져 있습니다.

쿠팡은 고객 민원을 받고서야 사실관계를 파악했고 다음 날인 19일 부랴부랴 인터넷진흥원에 신고했습니다.

쿠팡은 일단 결제 정보에 대한 접근은 없는 것으로 확인했고, 시스템과 내부 네트워크망에 대한 침입 흔적도 없다고 강조했습니다, 쿠팡은 일단 '서명된 엑세스 토큰'을 악용해 누군가 몰래 접근한 것으로 보고 있습니다.

엑세스 토큰은 고객이 쿠팡에 로그인하면 받게 되는 일회성 암호로, 취득 경로를 규명하는 게 시급해 보입니다.

[임주혜 / 유어스 법률사무소 변호사 : 로그인에 필요한 엑세스 토큰이 탈취당했다는 건데 이 탈취 경로가 정확히 확인되지 않는 이상 추가로 유출된 고객들의 개인 정보 우려가 있어서]

개인정보보호위원회는 신고 내용을 토대로 유출 경위와 추가 피해 여부를 들여다보고 있습니다.

흠… 엑세스 토큰을 어떻게 탈취한건지

사는얘기 목록