본문 바로가기
인생사 필요한 정보를 공유 합니다
  • 성원에 감사드리고, 병오년 새해 복 많이 받으세요!!!
IT 관련

밖에서 뚫린 업비트, 안에서 뚫린 쿠팡 | 정보보호 500만원 시대의 충격

반응형

밖에서 뚫린 업비트, 안에서 뚫린 쿠팡 ❘ 정보보호 500만원 시대의 충격
업비트 445억·쿠팡 3370만 유출 사태 ❘ 기업 보안의 진짜 최악은 무엇인가

🚨 2025년 11월, 한 달 사이 한국 최대 거래소와 이커머스가 동시에 뚫렸다
업비트 445억원 해킹, 쿠팡 3,370만 개인정보 유출. 더 충격적인 건 국내 기업 97%가 정보보호 전담팀조차 없고, 76%는 연간 예산이 500만원도 안 된다는 사실입니다. 기업 보안의 진짜 최악은 무엇일까요?

🔹 한 달 사이 벌어진 두 가지 충격

2025년 11월, 대한민국은 두 번의 거대한 보안 충격을 경험했습니다. 11월 27일 새벽, 국내 최대 가상자산 거래소 업비트에서 445억원 규모의 암호화폐가 해킹으로 유출됐습니다. 그로부터 며칠 전인 11월 6일, 국내 1위 이커머스 플랫폼 쿠팡에서는 3,370만 개의 고객 계정 정보가 무단으로 노출됐습니다.

두 사건은 각각 '외부 해킹'과 '내부 유출'이라는 서로 다른 경로로 발생했지만, 공통점이 있습니다. 바로 한국 기업의 정보보호 체계가 얼마나 취약한지를 적나라하게 드러냈다는 점입니다. 더 놀라운 건, 이들이 각 분야에서 가장 큰 기업이라는 사실입니다.

💡 핵심 포인트
업비트는 2019년에도 580억원 규모의 해킹을 당했고, 쿠팡은 2024년에도 15만건 개인정보 유출로 16억원 과징금을 받았습니다. 반복되는 사고는 우연이 아닙니다.

🔹 밖에서 뚫린 업비트: 외부 공격의 정교함

2025년 11월 27일 오전 4시 42분, 업비트의 솔라나 네트워크 기반 핫월렛에서 비정상적인 출금이 감지됐습니다. 공격자는 SOL, USDC, BONK, 주피터, 레이디움 등 24개 종류, 165개 지갑에서 총 445억원 상당의 암호화폐를 탈취했습니다.

공격의 특징:

후속 조사에서 업비트는 지갑 소프트웨어의 심각한 결함을 발견했습니다. 공격자가 블록체인의 공개 데이터를 분석해 암호화 서명 생성 방식의 취약점을 파악하고, 과거 거래 기록을 통해 수학적으로 개인키를 추론할 수 있었던 것으로 밝혀졌습니다.

⏱️ 늑장 대응 논란
사고 발생(4시 42분)부터 공식 공지(12시 33분)까지 약 8시간이 소요됐습니다. 이 시간 동안 추가 피해를 막을 수 있었느냐는 비판이 제기됐습니다.

경찰은 북한 해킹 조직 라자루스를 배후로 추정하고 있습니다. 2019년 업비트 해킹도 라자루스 소행으로 밝혀진 바 있으며, 2024년 2월에는 UAE 거래소 바이비트에서 약 2조원을 탈취하는 등 지속적으로 암호화폐 거래소를 표적으로 삼아왔습니다.

🔹 안에서 뚫린 쿠팡: 내부 취약점의 위험

쿠팡 사태는 더 충격적입니다. 외부 해커가 아닌, 퇴사한 내부 직원에 의해 정보가 유출됐기 때문입니다.

사건 타임라인:

  • 2025년 6월 24일: 해외 서버를 통한 비정상 접근 시작 (추정)
  • 11월 6일 18시 38분: 비인가 무단 접근 발생
  • 11월 18일 22시 52분: 침해 사실 인지 (고객 민원으로)
  • 11월 29일: 3,370만 계정 유출 공식 발표

문제는 5개월간 지속된 무단 접근을 쿠팡이 전혀 감지하지 못했다는 점입니다.

⚠️ 유출 원인 분석
퇴사한 중국인 직원(인증 업무 담당자)이 보유했던 장기 유효 인증키를 쿠팡이 폐기하지 않았습니다. 이 직원은 퇴사 후에도 액세스 토큰 서명키를 악용해 정상 로그인 없이 고객 정보에 접근할 수 있었습니다. 공격자는 프록시 서버로 IP를 변조하고 로 앤드 슬로(Low and Slow) 방식으로 천천히 데이터를 긁어 147일간 탐지를 회피했습니다.

유출된 정보:

  • 이름, 전화번호, 이메일 주소
  • 배송 주소록 (최근 5건)
  • 주문 정보

다행히 결제 정보, 신용카드 번호, 로그인 비밀번호는 유출되지 않았습니다. 하지만 3,370만 계정은 대한민국 인구의 65%에 해당하는 규모로, SK텔레콤 해킹(2,300만명)을 뛰어넘는 역대 최대 규모입니다.

🔹 더 충격적인 현실: 정보보호 500만원 시대

업비트와 쿠팡은 그나마 정보보호에 투자하는 기업입니다. 2024년 정보보호 공시 자료에 따르면 쿠팡은 연간 890억원을 정보보호에 투자하고 167.7명의 전담인력을 보유하고 있습니다. 그런데도 이런 일이 벌어졌습니다.

진짜 문제는 대다수 중소기업의 현실입니다.

충격적인 통계:

  • 정보보호 예산 500만원 미만 기업: 75.8%
  • 1,000만원 미만까지 포함: 91.5%
  • 정보보호 전담직원 없음: 73% (매출 50억 이하 기업의 67%)
  • 정보보호 정책 미보유: 51.1% (10~49명 기업)
📊 대기업 vs 중소기업 격차
종사자 250명 이상 기업: 정보보호 정책 보유율 98.7%, 전담조직 보유율 87.0%
10~49명 기업: 정보보호 정책 보유율 48.9%, 전담조직 보유율 26.2%

한국인터넷진흥원(KISA)에 신고된 중소기업 사이버 침해사고는 2018년 458건에서 2024년 1,575건으로 3배 이상 증가했습니다. 2024년 전체 신고의 83.5%가 중소기업에 집중됐습니다.

더 아이러니한 건, 정부 지원 예산이 2021년 109.5억원에서 2026년 13억원으로 오히려 대폭 삭감됐다는 점입니다.

🔹 진짜 최악은 무엇인가

업비트 해킹과 쿠팡 유출, 어느 쪽이 더 심각할까요? 정답은 '둘 다'입니다. 하지만 진짜 최악은 따로 있습니다.

1. 반복되는 사고, 변하지 않는 인식

업비트는 2019년에 이어 두 번째 대규모 해킹을 당했습니다. 쿠팡은 2024년 과징금을 받고도 1년 만에 또 사고를 냈습니다. 정보보호 침해 사고를 경험한 기업의 67.7%가 별다른 대응을 하지 않는다는 조사 결과가 이를 뒷받침합니다.

2. 비용으로만 보는 보안

쿠팡의 연간 매출은 38조원입니다. 정보보호 투자 890억원은 전체 IT 투자의 4.6%에 불과합니다. 글로벌 평균(미국 23%, 영국 20%)의 1/4 수준입니다. 많은 기업이 보안을 '불필요한 지출'로 여기고, 사고가 나면 그때 과징금을 내는 게 더 싸다고 계산합니다.

⚠️ 경영진의 안일함
쿠팡은 퇴사자의 액세스 권한을 즉시 제거해야 한다는 기본 원칙조차 지키지 않았습니다. ISMS-P 인증을 받은 기업임에도 말입니다. 인증 제도가 '보안 극장(Security Theater)'에 불과하다는 비판이 나오는 이유입니다.

3. 중소기업은 더 심각

대기업도 이 정도인데, 연 500만원도 안 쓰는 중소기업은 어떨까요? 중소기업은 대기업 공격의 우회 경로로 악용되거나, 협력사 해킹을 통한 공급망 공격의 표적이 됩니다. 하지만 투자 여력이 없어 속수무책입니다.

🔹 지금 당장 해야 할 일

기업 차원에서:

  • 퇴사자 권한 관리: 퇴사 즉시 모든 접근 권한을 폐기하는 자동화 시스템 구축
  • 이상 징후 탐지: 비정상적 접근 패턴을 실시간으로 감지하는 보안 관제 체계 마련
  • 정기 보안 점검: 외부 전문기관의 정기적인 취약점 진단 및 컨설팅
  • 직원 교육: 내부자 위협에 대한 인식 제고 및 보안 수칙 교육 강화

정부 차원에서:

  • 실효성 있는 과징금: 매출 대비 과징금 비율 상향 (현행 3% → 5% 이상)
  • 중소기업 지원 확대: 지원 예산 증액 및 ISMS 간편 인증제 도입
  • 세제 혜택: 정보보호 투자에 대한 세액공제 및 조달 우대
  • 징벌적 손해배상: 2차 피해 발생 시 기업의 전액 배상 의무화
💡 개인이 할 수 있는 일
1) 개인정보 유출 확인: 쿠팡 앱에서 '설정 → 개인정보 보호' 메뉴 확인
2) 의심스러운 연락 주의: 쿠팡을 사칭한 피싱·스미싱 철저히 차단
3) 비밀번호 변경: 쿠팡과 동일한 비밀번호를 사용하는 다른 사이트 비밀번호 즉시 변경
4) 2단계 인증: 가능한 모든 서비스에서 2단계 인증 활성화

"해당 배너는 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."

❓ 자주 묻는 질문

Q: 업비트 해킹으로 내 자산이 손실될까요?

업비트는 회원 피해 자산 386억원을 회사 보유 자산으로 전액 보전했습니다. 개인 투자자는 직접적인 금전 손실은 없지만, 입출금 서비스 중단으로 인한 거래 기회 손실은 있을 수 있습니다.

Q: 쿠팡 정보 유출로 2차 피해가 발생할 수 있나요?

2025년 12월 5일 기준 경찰은 2차 피해 의심 사례를 확인하지 못했다고 발표했습니다. 하지만 유출된 정보(이름, 전화번호, 주소)는 피싱, 스미싱, 보이스피싱에 악용될 수 있으므로 각별한 주의가 필요합니다.

Q: 중소기업도 정보보호 투자를 반드시 해야 하나요?

필수입니다. 중소기업은 대기업 공격의 우회 경로로 악용되거나 공급망 공격의 표적이 됩니다. 최소한 ①퇴사자 권한 관리 ②비밀번호 정책 ③정기 백업 ④직원 교육은 반드시 시행해야 합니다. KISA의 무료 컨설팅과 보안솔루션 지원 사업을 활용하세요.

Q: ISMS-P 인증을 받았는데도 사고가 날 수 있나요?

쿠팡 사례가 이를 증명합니다. ISMS-P는 관리체계 인증이지 절대적 보안을 보장하지 않습니다. 인증 획득 후에도 지속적인 관리와 모니터링, 정책 준수가 필수입니다. 형식적 인증이 아닌 실질적 보안 문화 정착이 중요합니다.

Q: 정보보호에 얼마나 투자해야 적정한가요?

글로벌 기준은 전체 IT 투자의 20~23% 수준입니다. 국내 공시 기업 평균은 6.3%에 불과합니다. 업종과 규모에 따라 다르지만, 최소한 IT 투자의 10% 이상, 연 1,000만원 이상은 투자해야 기본적인 보안 체계를 갖출 수 있습니다.

📋 핵심 요약

  • 업비트 445억원 해킹(외부 공격)과 쿠팡 3,370만 개인정보 유출(내부 취약점)이 한 달 사이 발생
  • 국내 기업 75.8%가 정보보호 예산 500만원 미만, 73%는 전담인력 없음
  • 진짜 최악은 반복되는 사고와 변하지 않는 경영진의 안일한 인식
  • 퇴사자 권한 관리, 이상 징후 탐지, 실효성 있는 과징금 등 즉각적 조치 필요
  • 개인은 피싱 주의, 비밀번호 변경, 2단계 인증 활성화로 2차 피해 방어
💬 독자 참여
당신의 회사는 정보보호에 얼마나 투자하고 있나요? 정보보호 전담팀이 없는 것이 왜 가장 큰 위험이라고 생각하십니까? 댓글로 의견을 나눠주세요.

최종 업데이트: 2025년 12월
참고자료: 과학기술정보통신부, 한국인터넷진흥원, 정보보호공시포털, 경찰청 국가수사본부

728x90
반응형

'IT 관련' 카테고리의 다른 글

갤럭시↔아이폰 환승 이젠 '프리패스'? 데이터 이동 장벽 무너진다  (0) 2025.12.11
"내 통화 내용이 유출됐다니..." KT·LGU+ 통신 대란, 당신의 폰은 안전한가?  (1) 2025.12.11
2030년 6G 상용화, 하늘 나는 택시와 무인 자동차 시대 온다  (1) 2025.12.09
수영장·병원 탈의실 몰카 공포 끝? IP카메라 '비번 설정' 의무화된다  (2) 2025.12.08
ARM 스쿨로 반도체 설계 인재 1,400명 양성! 시스템반도체 강국 도약의 신호탄  (0) 2025.12.07

관련글

티스토리툴바