쿠팡 3367만건 고객정보 유출 공식 확인

Source: Byline Network

개요

쿠팡 전 직원이 무단으로 고객 개인정보 33,673,817건을 유출하고, 배송지 정보 약 1억 4,800만 회를 조회한 사실이 정부 조사를 통해 확인되었습니다. 과학기술정보통신부는 2월 10일 정부서울청사 브리핑에서 민관합동조사단(이하 조사단)의 조사 결과를 발표했습니다.

유출 규모 및 조사 방법

조사단은 2025년 11월 29일부터 진행된 로그 분석과 포렌식 결과를 바탕으로, 쿠팡에서 확보 가능한 웹 접속 기록(로그) 25.6 TB를 분석해 유출 규모를 산정했습니다. 공격에 사용된 것으로 추정되는 공격자 PC·저장장치 4대와 현재 재직 중인 쿠팡 개발자 노트북에 대한 포렌식 조사도 병행했습니다.

‘내 정보 수정’ 페이지에서 개인정보 유출

• 유출 건수: 고객 성명·이메일이 포함된 개인정보 33,673,817건
• 조사단은 페이지별 접근·조회 기록을 근거로 사고 범위를 확인했으며, 정확한 규모는 향후 개인정보보호위원회가 확정해 발표할 예정입니다.

‘배송지 목록’ 페이지에서 대량 조회

• 조회 횟수: 약 1억 4,800만 회
• 조회된 정보에는 이름·전화번호·배송지 주소와 함께 비식별화된 공동현관 비밀번호가 포함되었습니다.
• 이 수치는 피해 고객 수가 아니라, 공격자가 해당 화면에 접근(열람)한 총 횟수입니다.
• 배송지 정보는 계정 소유자 외에도 가족·지인이 대신 받을 수 있도록 등록한 주소가 포함될 수 있어, 제3자의 성명·전화번호·주소가 다수 포함됐을 가능성이 있습니다.

기타 페이지에서의 개인정보 접근 기록

• 배송지 목록 수정 페이지: 5만 474회 조회 (성명·전화번호·주소·공동현관 비밀번호)
• 주문 목록 페이지: 10만 2,682회 조회 (최근 주문한 상품 목록)

조사단은 이번 조사 결과에 쿠팡이 최근 추가로 밝힌 165,000여 개 계정 관련 유출 건은 포함되지 않았다고 설명했습니다. 최종 유출 규모는 추후 개인정보보호위원회 발표를 통해 확정될 예정입니다.

인증 우회·토큰 위변조가 사고 원인

조사단은 정상 절차에서는 사용자가 로그인 후 전자 출입증(토큰)을 발급받아 관문 서버가 토큰 유효성을 검증한다고 설명했습니다. 그러나 이번 사고에서는 쿠팡 전 직원이 정상 로그인 없이 위변조된 토큰을 악용해 관문 서버를 통과하고, 개인정보가 있는 페이지에 비정상적으로 접근했습니다.

• 사전 모의해킹에서 지적됐지만 개선되지 않은 토큰 검증 절차가 원인으로 파악되었습니다.
• 비정상 접속과 대량 조회가 이어졌음에도 탐지·모니터링 체계가 이를 사전에 포착하지 못했습니다.

최우혁 과기정통부 정보보호네트워크정책실장은 “지능화된 공격이라기보다는 내부 관리의 문제”라고 평가했습니다.

키 보관 관행 문제

내부 규정에 따르면 서명키는 키 관리 시스템에만 보관해야 하지만, 포렌식 결과 현 재직 개발자 노트북에 서명키가 저장된 정황이 확인되었습니다. 조사단은 인증키 발급·사용 이력 관리와 비정상 접속 행위 탐지·모니터링 강화를 쿠팡에 요구했습니다.

웹 크롤링을 통한 대규모 조회

• 공격 방식: 자동화된 웹 크롤링 도구 사용
• 공격 기간: 2025년 4월 14일 ~ 11월 8일
• 확인된 IP: 2,313개

해외 클라우드 전송 가능 스크립트가 발견됐지만, 실제 전송 여부는 확인되지 않았습니다.

법 위반 및 과태료 부과 가능성

• 쿠팡은 침해 사고를 인지하고 최고정보보호책임자(CISO)에게 2025년 11월 17일 16시 보고했으나, 신고는 11월 19일 21시 35분에 이루어져 24시간 신고 의무를 위반했습니다.
• 과기정통부는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 위반으로 과태료 처분을 추진할 방침입니다.

또한, 자료 보존 명령을 이행하지 않아 2024년 7월부터 약 5개월 분량의 웹 접속 기록이 삭제됐으며, 2025년 5월 23일 ~ 6월 2일 사이에 애플리케이션 접속 기록도 사라진 정황이 확인돼 수사기관에 수사를 의뢰했습니다.

조사단의 권고사항

1. 인증키 발급·사용 이력 관리
2. 비정상 접속 행위 탐지·모니터링 강화
3. 자체 보안 규정 준수 여부 정기 점검
4. 사고 분석과 피해자 특정에 필요한 수준의 로그 저장·관리 정책 수립

쿠팡은 이달 중 재발 방지 대책 이행 계획을 제출하고, 3~6월까지 이행 여부를 점검한 뒤 7월에 최종 결과를 검토할 예정입니다.

글: 바이라인네트워크
곽중희 기자 – god8889@byline.network