전문 용어 줄줄이...쿠팡 정보 책임자에게 일침 가한 '구글 출신' 이해민 [현장영상+] / YTN

YTN news

초유의 개인정보 유출 사태로 이미 2차 피해가 발생했다는 지적이 제기됐습니다.    오늘 과학기술정보방송통신위원회 현안질의에서 이해민 조국혁신당 의원은 "AI(인공지능) 음성 사기 전화를 받은 고객이 있다"고 의혹을 제기하며 "이미 2차 피해는 시작됐다"고 말했습니다.    이어 쿠팡의 공식 해명과 대국민 메시지가 현실을 축소하고 있다고 쿠팡 관련자들을 향해 강하게 비판했습니다.        제작 | 이미영 디지털뉴스팀 에디터          ※ '당신의 제보가 뉴스가 됩니다'  [카카오톡] YTN 검색해 채널 추가  [전화] 02-398-8585  [메일] social@ytn.co.kr        ▶ 기사 원문 : https://www.ytn.co.kr/_ln/0134_202512021650310115 ▶ 제보 안내 : http://goo.gl/gEvsAL, 모바일앱, social@ytn.co.kr, #2424  ▣ YTN 데일리모션 채널 구독 : http://goo.gl/oXJWJs  [ 한국 뉴스 채널 와이티엔 / Korea News Channel YTN ]

Transcript

00:00네, 조국혁신당 이혜민입니다. 박대준 대표님 슬라이드 보시죠.

00:05이거 김장경 의원님께서 방금 언급하신 스크린샷입니다.

00:10쿠팡 피해자 커뮤니티에 올라오고 있어요. 이 사례들 지금 보셨습니까?

00:16네, 답을 못했지만 내용을 알고 있습니다.

00:18저는 여기는 억세스 저런 시도만으로 모든 걸 평가하진 않습니다만

00:22이게 쿠팡 고객 대부분이 같은 현상을 겪고 있으면 그거는 문제예요.

00:27완전히 다른 얘기입니다. 다음 슬라이드요.

00:30게다가 이런 종류의 피싱, 국제전화가 온다는 것은 이미 2차 피해 발생했습니다.

00:36그렇게 판단하셔야 돼요.

00:38안 그래도 SKT, KT, LG유플러스 여러 가지 사이트에서 개인정보 지금 다 털린 상황에서

00:44이거는 어떤 상품 구매했는지, 이력, 배송을 위한 비밀번호 이런 것까지

00:50사실 굉장히 새로운, 아주 흥미로운 그런 데이터가 이제 다 돌아다니게 됐습니다.

00:56이번에 유출된 정보는 사이즈도 사이즈이지만

01:00다른 이커머스 사이트에서 비싸게 팔릴 수도 있는 그런 고급 사용자 행동 정보예요.

01:06미스터매티스, 그 쿠팡은 클라우드 서비스 사용하나요?

01:12클라우드 서비스라고 하셨나요?

01:21어느 클라우드 서비스 사용하나요?

01:26AWS 쓰면은 이번에 문제가 된 데이라는 어느 어느 클라우드에 있었습니까? 리전으로

01:35한국 리전에 있었습니다.

01:41한국 리전만 사용하십니까?

01:44개보위 위원장님, 원래 하시려던 조사 방식, 서버 포렌식하고 하는 것

01:50지금 상황에서도 유효하다고 보시고 계세요?

01:55지금 포렌식 센터는 올 하반기 12월에 도와주셔서 오픈을

01:58저의 질문은 지금 전 세계로, 지금 한국 리전만 말씀하셨지만

02:03클라우드 시대는 지금 개보위에서 원래

02:07이 클라우드 시대에 개보위에서 원래 하던 조사 방식이 맞느냐 그 질문인데

02:11기업이 클라우드에 개인정보를 넣기 시작했어요.

02:15그냥 이거는 사실 받아들여야 되는 추세이기도 하고

02:18AWS를 비롯해서 네이버 클라우드도 그렇고 모든 클라우드 서비스에는 보안 서비스가 있습니다.

02:24보안 제품이 있죠.

02:25그 상황에서 쿠팡 혹은 기업들은

02:29그 기업들의 어느 부분이 개인정보 보호에 위배되는 일을 한 것인지

02:37제대로 발라낼 수 있도록 가이드도 있어야 되고

02:40문제 발생 시 그거를 꼬집어낼 수 있어야 되거든요.

02:43클라우드 서비스의 보안 문제인지

02:45쿠팡 같은 기업의 문제인지

02:48그래서 ISMSP 지금 전면 개선한다고 말씀을 하셨기 때문에

02:51이거 담아서 개보위에서 초안 의원실로 좀 보고를 바랍니다.

02:55다시 미스터 매티스

02:57그리고 API 키 아까 전에 전 세계 표준으로 사용하는 방법들 이야기를 하셨는데요.

03:03주요 정보 접근 같은 경우 주기적으로 피키 갱신하고 계신가요?

03:07네, 지금 말씀드리고 있는 해당 키 같은 경우에는

03:24여전히 갱신 기간이 도래하지 않은 키였습니다.

03:28문제가 어디에 있었는지 하나씩 말씀하셨고요.

03:31그렇다면 그 다음 질문이요.

03:32쿠팡에서는 로그인 시에 멀티팩터 어센티케이션 진행합니까?

03:37네, 그렇다면 이론적으로는 사실은 이 직원이 비정상적으로 접근하는 것을

03:45회사 입장에서 이론적으로는 완전 차단할 수 있는 방법이 있었다는 건데

03:49저는 이 부분이 전혀 이해가 되지 않는 상황이에요.

03:52지금 누군가는 뭔가 감추고 있습니다.

03:55여기 계신 분들이 다들 답답해하는 부분이 그거예요.

03:58그 이유가.

03:59이번 건은 인증 토큰 관련 유효기간 부분도 문제이겠지만

04:03열쇠를 들고 있는 사람이 그게 하루가 됐든

04:06한 달이 됐든 엄청 긴 기간이 됐든

04:09그냥 그 사이에 열렸을 때

04:11억세스 가능할 때 가져가면 되는 거예요.

04:13그러니까 이거는 사람 관리가 문제였던 거예요.

04:17쿠팡은 한국의 ISMSP 인증을 받았습니다.

04:20미스터 매티스, 이거 알고 계시나요?

04:29지금 현재 ISMSP를 쿠팡은 획득하고 있고

04:33지금 재평가 중입니다.

04:35거기에는 억세스 컨트롤을 제하는 내용이 있습니다.

04:38고의성에 대한 부분은 차치하고라도

04:41외부에서 민간 데이라베이스에 대한

04:44부정적인 접근이 허용이 됐어요.

04:47아무리 인증 개발, 아까 전에 말씀하셨는데

04:49개발팀이라 할지라도

04:50ISMSP 기준으로는

04:52퍼미션이 정보 보호팀 아니면 킬을 받을 수가 없어요.

04:55개보에서 잘 아실 텐데

04:56인증 관리 인력이 아니었다고

04:58아까 대표가 말씀하셨어요.

05:00그렇다면 쿠팡에서는

05:01이 억세스 컨트롤,

05:03그러니까 ISMSP 기준

05:05억세스 컨트롤이 미흡했다라는 것은

05:07동의를 하십니까, 대표님?

05:11네, 이 부분은 더 확인해보고

05:13제가 정확히까지는

05:14지금까지 얘기한 게 미흡했다는 얘기예요.

05:18데이터 암호호도요.

05:20세상에 암호할 방법 수없이 많은데

05:22이렇게 다 풀려서 돌아다닌다는 것은

05:25이건 쿠팡 경영진의 의지 문제라고 봅니다.

05:27보안에 대한.

05:28대표님, 제가 지난번 국정감사에서

05:31미국 의회까지 가서

05:33대한민국 국회 압박하는 로비할 자원하고

05:36시간 있으면 그 시간에 제품하고

05:38사용자한테 집중하라고

05:40전달해달라고

05:41펌킹 의장한테 가서

05:44전달해달라고 했는데 하셨어요?

05:47안 하신 것 같네요.

05:48그리고 수험을 받았어요.

05:54안 하신 IoT

카테고리

트랜스크립트

첫 번째로 댓글을 남겨보세요

추천