文章总结： 韩国电商平台酷澎(Coupang)因前外籍工程师窃取加密签名密钥导致3370万用户数据泄露，占韩国人口64%，被罚款27.7亿元。事件暴露密钥管理失效、跨境数据存储风险及24小时报告违规等问题。建议企业强化密钥轮换机制、完善离职流程、建立跨境数据治理体系。 综合评分： 85 文章分类： 数据安全,政策法规,安全运营,应用安全,云安全

---

【安全圈】泄露韩国64%的公民购物数据，被罚款27.7亿元

安全圈

2026年6月14日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

酷澎(Coupang)

一、60 秒看完全部要点

• 🎯 3,370 万人 数据泄露 —— 约占韩国总人口 64%（韩国 5,100 万人）
• 💰 韩国 PIPC 开出 6,247 亿韩元 罚单，约合 27.7 亿元人民币
• 👤 始作俑者：一名已离职 1 年多的前工程师，本人是外国人
• 🔑 攻击路径：在职时偷走加密签名密钥，离职后凭密钥持续访问长达 5 个月
• 🗄 数据存储在韩国境外（海外云平台数据中心）—— 物理隔离没救它
• ⏰ 韩国法律要求数据泄露 24 小时内通报 —— 酷澎 48 小时才报，被加重处罚
• 🇰🇷 这是韩国史上最大的数据泄露罚款，是去年 SK 电信罚单（1,348 亿）的 4 倍多

---

二、事件还原：一个前员工，5 个月，搬空半个韩国

2.1 受害方：酷澎是谁

Coupang（酷澎） 是韩国第一大电商平台，类似”韩国的京东”。Rocket Jikgu（로켓직구）跨境购和 Rocket Delivery 当日达让它成为韩国人日常生活的”水电煤”。

用户在 Coupang 上买什么、寄到哪、付了多少、什么时候买的——这就是韩国人的”消费 DNA”。

而这一整套消费 DNA，现在全部落到了攻击者手里。

2.2 时间线

| 时间 | 事件 | | — | — | | 2025 年 6 月之前 | 这名外籍工程师在酷澎任职期间，窃取了一份加密签名密钥（用于访问客户数据库） | | 2025-06 ~ 2025-11 | 工程师已离职 1 年多，但用偷来的密钥持续 5 个月从韩国境外的服务器下载数据 | | 2025-11-18 | 酷澎发现可疑活动 | | 2025-11-20 左右 | 酷澎48 小时后才通报监管机构（韩国法定为 24 小时） | | 2025-11 ~ 2026-06 | 调查完成，酷澎起初报告”4,500 人受影响”，深入调查后修正为 3,370 万人 | | 2026-06 | PIPC 公布调查结论，开出 6,247 亿韩元罚单 |

2.3 罚单的”双层结构”

PIPC 的罚单不是一笔糊涂账，拆得清清楚楚：

| 罚单项目 | 金额（韩元） | 理由 | | — | — | — | | 数据保护不善 | 4,236 亿 | ① 加密签名密钥管理不善 ② 离职员工访问控制松懈 | | 违法收集用户活动 | 2,011 亿 | 在用户访问外部网站时偷偷收集 1,117 万用户的浏览数据（疑似广告追踪） | | 合计 | 6,247 亿 （约 27.7 亿元人民币） | |

这意味着 27.7 亿罚单里有近三分之一不是因为”前员工偷数据”，而是因为”酷澎自己就在违法收集用户上网行为”。一案两罚。

---

三、整起事件最值得安全圈深挖的 5 个技术细节

3.1 为什么”离职一年多”还能访问？

这是整起事件最反常识的部分。

正常情况下，前员工离职时应该：

• ✅ 收回所有内部账号
• ✅ 吊销所有 API key
• ✅ 删除所有访问权限
• ✅ 物理收回门禁卡、笔记本
• ✅ 轮换（rotate）所有它曾经接触过的密钥

但酷澎漏掉了最关键的一项 —— 加密签名密钥。

这名工程师在职时就把一份能访问数据库的签名密钥”复制”了出去（具体怎么复制是技术调查的重点：代码仓库？密钥管理服务？环境变量？dump 内存？），离职后用这份独立于账号的密钥直接访问。你吊销他的账号也没用，因为账号从来不是他访问的”钥匙”。

这正是云原生时代最难根治的安全问题：

• 传统世界：身份 = 人，人走了身份就失效
• 云世界：身份 = 密钥/Token/SPN，密钥不被轮换，身份就不死

3.2 加密签名密钥的”长寿命”陷阱

为什么签名密钥有这么大的威力？

数据库访问通常有两道锁：

1. 身份认证（你是谁？账号密码 / SSO / OAuth）
2. 访问授权（你有权干什么？RBAC / ACL）

但有些数据库服务支持”服务账户”或”API 签名”，用一个长期有效的签名密钥做”凭证”。这个凭证的可怕之处：

| 特征 | 传统账号 | 签名密钥 | | — | — | — | | 跟人绑定 | ✅ 是 | ❌ 否 | | 离职自动失效 | ✅ 通常是 | ❌ 不会 | | 需要 MFA | ✅ 一般要 | ❌ 经常免 | | 有登录日志 | ✅ 详细 | ⚠️ 通常很弱 | | 可吊销 | ✅ 一键 | ❌ 必须轮换（rotate） | | 可”复制” | ❌ 难（密码不能”复制给同事”） | ✅ 就是一段字符串/文件，复制无门槛 |

一旦签名密钥被偷，唯一止损手段是”轮换”——生成新密钥、废弃旧密钥。但酷澎长达 1 年多都没轮换过。

3.3 “海外云平台数据中心”也是弱点

新闻里有一句非常关键的话：

“这些客户数据存储在韩国之外的服务器中（应该是某家大型云计算平台在韩国之外的数据中心）”

这暗示：

1. 酷澎使用的是公有云
2. 数据没放在韩国本土
3. 跨境取证 / 监管 / 司法协助会非常困难

这带来三个层面的安全治理挑战：

| 层面 | 难题 | | — | — | | 取证 | 数据在境外，韩国 PIPC 要调取云端日志需要走国际司法协助流程，耗时长 | | 威慑 | 攻击者知道数据在境外、本人是外国人，司法追诉成本高 | | 合规 | 韩国《个人信息保护法》对”出境数据”有更严格要求，跨境传输本身可能就是二次违规 |

物理隔离、数据主权、地域化部署 —— 这些”安全治理”概念不是空话。数据放在哪，决定了你能用什么工具保护它。

3.4 延迟报告 = 罪加一等

韩国《个人信息保护法》规定：发现数据泄露必须在 24 小时内通报 PIPC。

酷澎做了什么？

• 11 月 18 日发现可疑活动
• 11 月 20 日左右才通报
• 延迟了 24 小时左右

PIPC 的态度非常明确：这不是”小违规”，这是”加重处罚事由”。

这条法规的设计哲学值得借鉴：报告义务的硬约束，是为了倒逼企业”早发现、早处置”，同时让监管层能快速介入止损。延迟报告意味着更多用户持续受害、企业可能趁机销毁证据、监管层错过黄金处置窗口。

国内对应的法规是《网络安全法》第 42 条、《数据安全法》第 29 条、《个人信息保护法》第 57 条 —— 同样要求”立即采取补救措施 + 通知个人和监管部门”。对国内企业来说，这不是”建议”，是底线合规。

3.5 “4,500 → 3,370 万”的乌龙

酷澎最初的内部调查结论是”4,500 人受影响”。深入调查后变成 3,370 万。

差了 7,488 倍。

这种”漏报”在数据泄露案里极其常见。原因通常是：

• 调查只看自家系统的访问日志
• 没看密钥的使用范围（一把密钥能访问多少数据）
• 没看数据外泄的痕迹（流量异常、DNS 异常、云存储桶被异常读写）
• 当事部门主观上希望”大事化小”

这给所有安全团队一个深刻教训：“第一次披露的数字”几乎一定是错的。永远要为”严重低估”做预案，因为：

1. 媒体和监管会持续追问
2. 用户迟早会发现”我也受害了”
3. 一旦最终数字大得多，信任损失会指数级放大

---

四、对企业的 7 条铁律

4.1 密钥管理：离职清单必须有”rotate”项

| 传统离职清单 | 升级版清单（云时代） | | — | — | | 收回电脑 | 收回电脑 | | 撤销 VPN | 撤销 VPN | | 撤销 SSO | 撤销 SSO | | ~~删除 OA 账号~~ | 删除 OA 账号 | | ~~物理门禁卡~~ | 物理门禁卡 | | | 🔑 轮换（rotate）所有其接触过的 API key | | | 🔑 轮换所有其写过的对称加密密钥 | | | 🔑 轮换所有其接触过的非对称签名私钥 | | | 🔑 撤销所有其创建的 OAuth 客户端凭证 | | | 🔑 重审其经手的所有 IAM 角色权限 | | | 🔑 重审其代码提交中的密钥硬编码 |

离职不是”删除”，是”轮换”。 因为”删除账号”对付的是”身份”，但密钥/Token 是独立于身份的”凭证”。

4.2 密钥管理平台：硬件级保护

• ✅ 使用 HSM（硬件安全模块） 或 云 KMS（Key Management Service），让私钥永远不离开安全边界
• ✅ 任何使用密钥的请求都必须经过审批 + 审计
• ✅ 设置自动轮换策略（90 天 / 30 天强制轮换）
• ✅ 绑定使用场景：一把密钥只能访问一类资源（最小权限）
• ❌ 绝对不要把私钥以明文形式存到代码仓库、CI 配置、容器镜像、共享文档

4.3 离职流程：24 小时内完成”全量断权”

| 时间 | 必做 | | — | — | | T-7 天 | 通知 IT / 安全 / 各业务方 | | T-1 天 | 准备交接清单 + 审计其最近 90 天操作 | | **T+0（离职当日） | 撤销所有账号、VPN、门禁 | | T+0 之后 24 小时内 | 轮换所有其接触过的密钥和凭证 | | T+0 之后 7 天内 | 审计其离职后是否有”幽灵访问” | | T+30 天 | 复盘：是否有任何”漏网之鱼” |

4.4 监控告警：识别”幽灵访问”

哪怕密钥没被轮换、账号没被撤销，异常访问行为也应该被监控系统捕获：

• 🔍 一个长期不活跃的密钥突然 24×7 高频访问
• 🔍 来自异常地理位置 / IP 段的访问（特别是数据本应仅限韩国本土）
• 🔍 访问时间模式异常（凌晨 3 点大量下载）
• 🔍 访问的数据量异常（单日下载超过 30 天平均的 10 倍）
• 🔍 数据库出口流量突增（特别是跨境方向）

“前员工用旧密钥偷数据”这类攻击，从异常行为层面看几乎一定是”显眼的”——只是没人看告警。

4.5 数据存储：物理位置就是治理边界

| 场景 | 治理难度 | 监管可及性 | | — | — | — | | 数据存韩国本土、韩国云 | ✅ 低 | ✅ 强 | | 数据存韩国本土、海外云 | ⚠️ 中 | ⚠️ 中 | | 数据存海外、海外云 | ❌ 高 | ❌ 弱 |

跨境数据 = 跨境治理 + 跨境司法 + 跨境取证。每多跨一个国界，安全和合规成本翻倍。

4.6 24 小时报告：内嵌到 IR Playbook

把”24 小时报告”从”应急响应手册里的一行字”变成自动化工单：

• 🚨 触发条件：任何疑似 PII 泄露的告警（数据库外泄、S3 桶暴露、第三方通知等）
• ⏱ SLA：T+0 启动工单，T+1 小时内安全团队判定，T+4 小时内法务/合规介入，T+24 小时内向监管报告
• 📋 模板：预设好”个人通知模板”、”监管报告模板”、”媒体声明模板”
• 👥 角色：RACI 矩阵（谁负责、谁批准、谁咨询、谁知会）

4.7 “主动告知” > “被动披露”

酷澎”4,500 → 3,370 万”的乌龙，让所有酷澎用户对它的信任降到冰点。

教训：第一时间、主动告知最坏情况，比”先查清再说”在长期看损失更小。

• ✅ 主动告知 = “我们发现可能影响 5,000 万人，正在调查中，请先改密码”
• ❌ 被动披露 = “起初我们以为只有 4,500 人，调查后才发现实际是 3,370 万”

---

五、几个让人睡不着觉的反思

5.1 “加密签名密钥”是云时代最危险的资产

我们一直在说”零信任”、”最小权限”、”MFA”，但几乎所有安全体系都默认”密钥 = 受信任”。一旦密钥失守：

• 🪪 不需要密码
• 🛡 不需要 MFA
• 🚪 不需要 VPN
• 🌐 不在乎地理位置
• 🕐 不在乎工作时间
• 👻 没有”离职失效”这个概念

在云原生架构里，一份长期有效的签名密钥 = 一把可以打开所有门的万能钥匙。比”管理员账号”更危险，因为管理员账号至少有日志、有 MFA、有 IP 限制。

5.2 “物理隔离”是幻觉

“数据存韩国境外”听起来像”多一道物理屏障”，实际上是多一道治理盲区：

• 🇨🇳 韩国 PIPC 想调取日志 → 走国际司法协助（数月起步）
• 🔐 海外云服务商 → 优先响应本国政府请求（不一定配合）
• 🌍 攻击者在哪 → 难以追踪（特别是跨境）

数据放在哪，是安全设计的第一性原则，不是运维细节。

5.3 “罚款 27.7 亿”能吓阻下一个酷澎吗？

| 数据点 | 数值 | | — | — | | 酷澎 2024 年营收 | 约 240 亿美元 | | 27.7 亿人民币 | 约 3.83 亿美元 | | 罚款 / 年营收 | 约 1.6% |

1.6% 的年营收罚款对企业是痛但不是死。这就是为什么韩国 PIPC 的判罚逻辑要从”行政处罚”升级到”刑事追诉”：只有当罚金和牢狱并行，才能真正让企业把安全当回事。

5.4 中国企业能从中学到什么？

| 维度 | 韩国酷澎 | 中国同行 | | — | — | — | | 罚款力度 | 27.7 亿元 | 《个保法》上限 5,000 万 / 上一年度营业额 5% | | 报告义务 | 24 小时 | “立即”（《个保法》第 57 条） | | 跨境存储 | 海外云 | 需通过 PIPL 安全评估 / 标准合同 / 认证 | | 域外适用 | ❌ 主要管境内 | ✅ PIPL 第 3 条有域外适用（境外组织侵害境内自然人权益同样适用） |

国内安全团队不应该觉得”国内罚得轻就没事”。

1. PIPL 的 5% 营收上限，比韩国的 1.6% 高得多 —— 一旦顶格处罚，破产清算级别的痛
2. 域外适用意味着国内企业海外业务、海外服务器出问题，中国监管也能管
3. 集团诉讼 / 公益诉讼正在兴起 —— 个体损失小但集合起来金额吓人

---

六、结语

5 个月。3,370 万人。1 把没轮换的密钥。1 个没撤销的访问。27.7 亿元。

这个故事没有 0day，没有 APT，没有黑产炫技。

它有的只是最基础的安全治理失守：

• 密钥没轮换
• 离职没断权
• 跨境没治理
• 报告没及时
• 调查没做透

最深的洞不是技术漏洞，是流程漏洞。最贵的洞不是 0day，是”一行没写的离职清单”。

🔐 记住：离职员工的访问权，不在他离职那天结束在他接触过的每一个密钥轮换那天，才真正结束

---

🆘 您的企业今天就该做的 3 件事：

1. 📋 审计过去 12 个月所有离职员工 —— 有没有”密钥没轮换”的遗漏
2. 🔑 检查所有签名密钥的最近一次轮换时间 —— 超过 90 天的立刻排期
3. 🛡 购买一份”数据泄露保险” —— 27.7 亿罚单 + 用户集体诉讼 + 信任修复成本，没有几家企业能完全自担

---

#数据泄露 #韩国 #酷澎 #Coupang #前员工 #签名密钥 #密钥管理 #离职安全 #PIPL #数据合规 #跨境数据 #27亿罚单 #个人信息保护

END

阅读推荐

【安全圈】一名乌克兰公民承认参与了Conti勒索软件行动

【安全圈】执法机构捣毁 ‘AudiA6’ 勒索软件加密货币洗钱服务

【安全圈】超过 400 个 Arch Linux 软件包被攻破，用于推送 rootkit 和信息窃取程序

【安全圈】紧急提醒！WinRAR漏洞仍未绝迹：大量用户已中招 立即检查更新

【安全圈】甲骨文确认 PeopleSoft 漏洞被利用 已影响百余家机构

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】泄露韩国64%的公民购物数据，被罚款27.7亿元》