정부 쿠팡 정보유출 3367만명 …쿠팡은 반박 [카테고리 설정이 아직되어 있지 않습니다.] 쿠팡 전 직원이 유출한 개인정보 규모가 정부가 당초 추정하던 대로 3300만건을 넘어서고 범인이 들여다본 배송지 주소 등의 정보는 무려 1억 5000만건에 달하는 것으로 파악됐다. 전 직원이 수개월간 접근해 지인 개인정보까지 털릴 정도로 쿠팡의 인증시스템은 취약했다. 하지만 정부의 발표에도 불구하고 쿠팡은 정면으로 반박하며 정부를 상대로 한 싸움을 계속 벌이고 있다.
정부 공식 발표, 쿠팡 정보유출 3367만명, 유출건수는 1억 4800만건
과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해 사고에 관한 민관 합동 조사 결과를 잠정 발표했다.
과기정통부는 지난해 11월 29일부터 남아 있는 쿠팡의 웹 접속기록(로그) 25.6테라바이트(TB) 분량(데이터 6642억 건)을 분석한 결과 쿠팡 ‘내 정보 수정 페이지’에서 이용자 이름, 이메일 3367만여 건이 유출된 것을 확인했다.
조사단은 사건 초기 쿠팡 개인정보 유출 규모가 3370만 건이라고 추정했지만 추가 조사 결과 3367만여 건으로 파악했다. 여기에 쿠팡이 최근 추가로 밝힌 16만 5000여 계정 유출 건은 포함되지 않았다.
조사단은 웹 접속기록 등을 기반으로 유출 규모를 산정했고 정확한 개인정보 유출 규모에 대해서는 향후 개인정보보호위원회에서 확정해 발표할 예정”이라고 했다.
조사 대상에는 범행에 쓰인 것으로 추정되는 공격자의 PC 저장장치 4대가 포함됐고 현재 재직 중인 쿠팡 개발자 노트북도 포렌식 조사했다.
‘배송지 목록 페이지’에서는 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보를 범인이 1억 4800만여 차례 조회해 정보가 유출된 것을 파악했다.
이 정보에는 쿠팡 계정 소유자 본인 외에도 물품을 대신 구매해 배송한 가족, 친구 등의 이름, 전화번호, 배송지 주소 등 제삼자 정보도 다수 포함돼 있어 정보 유출 대상자 범위가 확대될 가능성이 있다.
2차 범죄에 악용될 우려가 컸던 공동현관 비밀번호는 ‘배송지 목록 수정 페이지’를 통해 이름, 전화번호, 주소와 함께 5만여 건 조회됐다.
최근 주문한 상품 목록은 ‘주문 목록 페이지’에서 10만여 차례 조회됐다.
결제 정보는 유출 대상에 포함되지 않았고 주소, 공동현관 비밀번호 등 민감한 개인정보가 실제 2차 피해로 이어졌는지 확인된 바는 없다.
쿠팡 개인정보 유출 사고 조사 결과 주요내용, 자료 : 과학기술정보통신부
결제정보 유출·2차 피해 없어…ISMS 인증 일단 유지
조사단이 파악한 정보 유출 규모는 중국인 전 직원이 지난해 11월 25일 쿠팡 측에 보낸 이메일에서 주장한 유출 규모보다는 작다.
그는 이메일에서 1억 2000만 개 이상의 배송 주소 데이터, 5억 6000만 개 이상의 주문 데이터, 3300만 개 이상의 이메일 주소 데이터를 확인했다”고 밝힌 바 있다.
조사단은 그가 쿠팡 재직 당시 시스템 장애 시 백업을 위한 이용자 인증 시스템 설계를 맡은 개발자였다며 지난해 1월부터 쿠팡 서버의 인증 취약점을 발견하고 공격 여지를 시험한 뒤 지난해 4월 14일부터 본격적인 무단 유출에 나섰다고 전했다.
범인은 지난해 11월 8일까지 자동화된 웹 크롤링 공격 도구를 이용해 이용자들의 개인정보를 수집했다. 정보 유출에 다수의 IP가 사용된 것도 확인됐다.
유출한 정보를 외부 클라우드로 전송했는지 여부는 확인되지 않았다.
다만, 조사단은 범인을 중국인이라고 특정해 표현하지는 않았다. 조사단 관계자는 중국인인지 여부는 경찰 수사 영역”이라며 공격자가 1명인지 다수인지 여부도 경찰 수사 결과를 지켜봐야 한다고 말했다.
조사단은 이용자 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 접속, 대규모 정보 유출을 했는데도 쿠팡 측이 이를 인지하지 못했다고 지적했다.
또, 정상 발급 절차를 거치지 않은 ‘전자 출입증(토큰)’이 사이버 공격에 악용될 가능성이 있다는 점이 쿠팡이 사전에 실시한 모의 해킹에서 드러난 바 있지만 쿠팡이 이를 개선하지 않았다고 했다.
최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 서울 종로구 정부서울청사에서 쿠팡 침해사고 민관합동조사단 조사결과를 브리핑하고 있다. 2026.2.10. 연합뉴스
조사단은 쿠팡에 인증키 발급·사용 이력 관리와 비정상 접속행위 탐지 모니터링을 강화할 것과 자체 보안규정 준수 여부에 대한 정기 점검을 실시할 것을 요구했다.
아울러, 쿠팡이 사이버 침해 사고를 인지하고 최고정보보호책임자((CISO)에게 보고한 시점인 지난해 11월 17일 오후 4시보다 만 이틀이 지난 19일 오후 9시 35분에 당국에 신고하며 24시간 내 신고 규정을 위반한 데 대해 과태료 처분할 계획이다.
또, 과기정통부가 지난해 11월 19일 정보 유출 사고 원인 분석을 위해 쿠팡에 자료 보전을 명령했지만 따르지 않아 2024년 7월부터 약 5개월 분량의 웹 접속기록이 삭제되고 지난해 5월 23일∼6월 2일 애플리케이션 접속 기록이 사라진 데 대해서는 수사를 의뢰했다.
조사단은 쿠팡이 정보보호 및 개인정보보호 관리체계 인증(ISMS)을 취득하고도 접근 권한별 직무 분리와 암호정책 수립을 미흡하게 한 점을 확인하고 보완을 요청했다. 쿠팡이 보완 미비에 다른 시정명령을 이행하지 않을 경우 인증을 취소할 방침이다.
과기정통부는 조사 결과를 토대로 쿠팡에 재발 방지 대책에 따른 이행계획을 이달 중으로 제출하도록 하고 올해 7월까지 이행 결과를 점검할 계획이다.
10일 과학기술정보통신부가 발표한 쿠팡 개인정보 유출 및 침해 사고에 관한 민관 합동 조사 결과에 따르면 개인정보 규모는 정부가 당초 추정하던 대로 3천300만건을 넘어서고 범인이 들여다본 배송지 주소 등의 정보는 1억5천만건에 달하는 것으로 파악됐다. 사진은 이날 서울의 한 쿠팡 캠프 모습. 2026.2.10. 연합뉴스
취약하기 짝이 없었던 쿠팡의 인증시스템
재직 중 알게 된 정보를 악용해 대규모 개인정보를 유출하는 일탈 행위가 가능한 데는 쿠팡의 부실한 관리체계가 원인으로 자리 잡고 있었다.
정부 발표에 따르면 공격자는 쿠팡 재직 당시 이용자 인증 시스템을 설계하고 개발 업무를 수행하던 소프트웨어 개발자(백엔드 엔지니어)였다.
공격자는 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 비정상적으로 접속해 정보를 무단으로 유출했다. 정상적으로 접속하는 경우 이용자는 로그인 절차를 거쳐 일종의 전자 출입증을 발급받는다. 이후 쿠팡 관문 서버는 발급받은 전자 출입증이 유효한지 여부를 검증하고 이상이 없을 시 서비스 접속을 허용한다.
공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취하고 이를 활용해 전자 출입증을 위조하거나 변조해 쿠팡 인증체계를 통과했다.
공격자는 재직 당시 이용자 인증 시스템의 취약점과 키 관리체계의 취약점을 인지하고 있었다. 공격자는 이러한 취약점을 악용해 재직 당시 탈취한 서명키와 내부 정보를 활용해 전자 출입증을 위조했다. 공격자는 정상적인 로그인 절차 없이 쿠팡 인증 체계를 통과했고 퇴사 후부터 사전 공격 테스트를 진행했다.
사전 테스트를 진행한 공격자는 이용자 계정에 접근할 수 있다는 사실을 확인한 뒤 자동화된 웹크롤링(데이터 수집) 공격 도구를 이용해 대규모 정보를 유출했다.
공격자는 사전 테스트에서 위조한 전자 출입증을 이용해 타인의 계정으로 무단 접속한 후 유출한 정보를 해외 소재의 클라우드 서버로 전송할 수 있는 기능을 확인했다.
조사단이 쿠팡으로부터 제출받은 공격자의 하드디스크와 솔리드 스테이트 드라이브(SSD)를 포렌식한 결과 공격자가 제작한 스크립트가 발견됐고, 스크립트에 외부 클라우드와 연결하는 기능이 포함돼 있었다.
다만 실제 전송이 이뤄졌는지는 확인되지 않았다. 이 과정에서 공격자는 2313개 인터넷 프로토콜(IP)을 사용한 것으로 확인됐다. 다만 조사단 측은 IP를 통해 접속 위치를 찾는 건 경찰 수사의 영역이라고 선을 그었다.
전 임직원이 이처럼 대규모 개인정보 유출을 실행할 수 있었던 이유는 쿠팡의 이용자 인증체계에 허점이 있었기 때문이었다.
공격자는 위조한 전자 출입증을 이용해 쿠팡 서비스에 무단으로 접속했는데, 쿠팡의 이용자 인증체계는 해당 출입증이 정상 발급 절차를 거친 출입증인지 검증하는 단계가 부족했다.
쿠팡은 모의 해킹으로 전자 출입증 기반 인증 체계의 취약점을 발굴했지만, 해당 문제에 대한 해결책을 모색하는 등 전반적인 문제점 검토를 수행하지 않았다.
전 직원이 빼돌린 서명키를 관리하는 체계 역시 미흡했다. 쿠팡은 자체 규정에 따라 서명키를 키 관리시스템에서만 보관하고 개발자 PC에 저장하지 않아야 한다고 명시했다. 하지만 조사 결과에 따르면 쿠팡 개발자가 노트북에 서명키를 저장하고 있어 키 유출이나 오남용 위험이 있었다.
또 쿠팡은 서명키를 체계적으로 관리할 수 있도록 발급 내역을 기록하도록 규정했지만, 조사 결과에 따르면 키 이력 관리 체계가 부재해 목적 외 사용을 파악할 수 없었다.
이 밖에 쿠팡의 공격 차단이 늦어진 점도 문제점으로 지적됐다.
해롤드 로저스 쿠팡 한국 임시대표가 6일 국회 쿠팡 사태 연석 청문회 에서 허위 증언을 한 혐의(국회증언감정법상 위증) 관련 조사를 받기 위해 서울 마포구 서울경찰청 반부패수사대에 출석하고 있다. 2026.2.6. 연합뉴스
정부 공식발표에 반박하는 쿠팡
한편 쿠팡은 10일 개인정보를 유출한 범인이 들여다본 배송지 주소 등의 정보가 1억 5000만 건에 달한다는 민관 합동 조사 결과에 대해 페이지 조회수가 정보 유출 규모를 의미하는 것은 아니다”라고 밝혔다.
쿠팡 관계자는 이날 연합뉴스와 통화에서 공격자의 페이지 조회는 3370여만 개 계정에 대한 개별 개인정보를 수집하려는 시도의 결과”라면서 이같이 설명했다.
유출된 계정에 있는 이름과 전화번호 등의 정보를 조회한 시도가 1억 4800만여 차례 이뤄진 것이지 정보 유출 규모는 애초에 발표한 대로 3370만 건이라는 의미다.
쿠팡 관계자는 해외 클라우드와 관련, 당사는 실제 데이터 전송이 이뤄졌다는 증거는 없는 것으로 파악하고 있다”며 합조단 또한 데이터 전송 여부를 확인할 수 없다고 밝혔다”고 전했다.
그러면서 현재 정보를 식별할 수 없는 무효계정 등을 파악 중이며, 정확한 유출 규모는 개인정보보호위원회가 최종적으로 확정할 예정인 것으로 알고 있다”고 덧붙였다.
이 관계자는 쿠팡은 지난해 11월 데이터 유출 사건을 인지하고 즉시 관련 당국에 신고했다”며 당사는 정부의 모든 조사에 전적으로 협조해왔으며, 모든 정보는 투명하게 공개해 왔다”고 주장했다.
23일 서울 광화문 광장 미국대사관 앞에서 안전한 쿠팡 만들기 공동행동 등 시민사회단체 회원들이 불법기업 쿠팡 비호, 내정간섭 일삼는 미국 정·재계 규탄 긴급 기자회견 을 하고 있다. 2026.1.23. 연합뉴스
Top
