회원가입 로그인

과기정통부 "3000만 계정 유출·배송지 수억 건 조회… 중대한 침해 사고"

최연재 기자입력 2026-02-10 15:36

  • 과기정통부·민관합동조사단 10일 쿠팡 사이버 침해사고 조사 결과 발표

  • 쿠팡 최초 신고 4500건과 달리 내정보 수정 페이지서 3367만건 유출 확인

최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 서울 종로구 정부서울청사에서 쿠팡 침해사고 민관합동조사단 조사결과를 브리핑하고 있다 사진연합뉴스
최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 서울 종로구 정부서울청사에서 쿠팡 침해사고 민관합동조사단 조사결과를 브리핑하고 있다. [사진=연합뉴스]



쿠팡 전 직원에 의한 정보통신망 침해 사고와 관련해 쿠팡이 최초 신고한 피해 규모(4500여 건)와 달리, 정부 조사 결과 실제로는 3000만 건이 넘는 이용자 계정의 개인정보가 외부에서 조회돼 유출된 사실이 확인됐다. 특히 배송지와 주문 정보가 담긴 페이지가 수억 건에 달하는 횟수로 외부에서 조회된 점을 들어, 정부는 이번 사고를 국내 최대 전자상거래 플랫폼에서 발생한 중대한 침해 사고로 규정했다.

과학기술정보통신부와 민관합동조사단은 10일 내정보 수정 페이지에서 성명과 이메일 주소가 포함된 개인정보 3367만3817건이 유출됐다고 발표했다.

조사단은 지난해 11월 쿠팡의 사이버 침해사고 신고 이후 웹·애플리케이션 접속 기록과 포렌식 분석을 통해 피해 규모와 사고 원인을 조사했다. 조사 과정 중 쿠팡의 이용자 인증 체계와 키 관리 시스템 전반에서 구조적 취약점이 확인됐다고 밝혔다.

조사 결과, 내정보 수정 페이지에서는 성명과 이메일 주소가 포함된 개인정보 3367만3817건이 외부에서 유출됐다. 해당 페이지는 계정 소유자가 직접 정보를 수정·확인하는 영역으로, 조사단은 외부 공격자가 정상적인 인증 절차 없이 접근해 대규모로 정보를 열람한 사실을 확인했다고 설명했다.

배송지 목록 페이지 역시 대규모 접근이 이뤄진 것으로 드러났다. 조사단에 따르면 배송지 목록 페이지는 총 1억4805만6502회 조회됐으며, 해당 페이지에는 계정 소유자 외에도 가족이나 지인 등 제3자의 성명, 전화번호, 주소, 공동현관 비밀번호(비식별 처리)가 포함돼 있다.

이로 인해 실제 노출된 개인정보 주체 수는 계정 수를 넘어설 가능성이 있다는 분석이다. 주문 목록 페이지도 10만2682회 조회된 것으로 확인됐다.

조사단은 브리핑 과정에서 ‘조회’와 ‘유출’을 구분해 발표했지만, 법적·기술적 판단에서는 이를 달리 보지 않는다는 점을 강조했다.

이동근 민관합동조사단 부단장은 “조회라고 해서 책임이 가벼워지는 것은 아니다”며 “외부 공격자가 개인정보를 열람할 수 있는 상태가 된 순간, 해당 정보는 이미 시스템의 통제 범위를 벗어난 것으로 보고 있으며 이는 유출로 해석한다”고 밝혔다. 이어 “배송지 목록 페이지는 한 화면에 다수의 개인정보가 함께 노출되는 구조여서 개인별 정확한 유출 건수 산정에 시간이 필요해 조회 횟수로 제시한 것”이라고 설명했다.

사용자 결제 정보도 유출은 없던 것으로 확인됐다. 최우혁 과기정통부 정보보호네트워크정책실장은 “현재까지 조사 결과 결제 정보가 유출된 정황은 확인되지 않았다”며 “결제 시스템은 별도의 망과 보안 체계로 분리돼 있어 이번 침해 범위에는 포함되지 않는다”고 강조했다. 

사고 원인은 전직 개발자가 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취해 악용한 데서 비롯됐다. 공격자는 이 서명키로 전자 출입증을 위·변조해 정상적인 로그인 절차 없이 쿠팡 인증 체계를 통과했고, 자동화된 웹 크롤링 도구와 2313개 IP를 이용해 장기간 대규모 정보 접근을 반복한 것으로 조사됐다.

조사단은 쿠팡이 퇴사자 발생 이후에도 서명키를 즉시 갱신하거나 폐기하지 않았고, 일부 서명키가 키 관리 시스템이 아닌 개발자 노트북에 저장돼 있었다는 점을 확인했다. 비정상적인 대량 접속이 장기간 이어졌음에도 이를 탐지·차단하지 못한 점도 관리 부실로 지적됐다. 이동근 부단장은 “지능화된 공격이라기보다 기본적인 보안 관리가 작동하지 않은 사례”라고 평가했다.

사고 이후 대응 과정에서도 법 위반 사항이 드러났다. 쿠팡은 침해 사고를 인지하고도 24시간 이내 신고 의무를 지키지 않아 정보통신망법에 따른 과태료 부과 대상이 됐다. 또 과기정통부의 자료보전 명령 이후에도 자동 로그 저장 정책을 조정하지 않아 약 5개월 분량의 웹 접속 기록과 일부 애플리케이션 로그가 삭제된 사실이 확인됐다. 정부는 이 사안과 관련해 수사기관에 수사를 의뢰했다.

최 실장은 “자료보전 명령 이후에도 자동 로그 저장 정책이 유지돼 접속 기록이 삭제됐다”며 “삭제 사실은 확인됐으나 실제 외부 전송 여부를 입증할 기록은 남아 있지 않다”고 설명했다.

조사단은 이번 사고의 피해 범위가 국내에 국한되지 않을 가능성도 언급했다. 임정규 과기정통부 정보보호네트워크정책관은 “쿠팡이 가입자 수를 공개하지 않고 있으나, 이번 침해 사고의 유출 대상자는 한국뿐 아니라 해외 이용자까지 포함될 수 있다”
최연재
최연재 기자
기자의 다른기사

©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지

컴패션_PC
댓글0
0 / 300
추천 기사

댓글을 삭제 하시겠습니까?

닫기

로그인 후 댓글작성이 가능합니다.
로그인 하시겠습니까?

닫기

이미 참여하셨습니다.

닫기