![쿠팡에서 발생한 대규모 해킹 사고로 3000만개가 넘는 이용자 계정 정보가 유출된 사실이 정부 조사 결과 확인됐다. [사진=연합뉴스]](https://images-cdn.newspic.kr/detail_image/181/2026/2/10/0b619108-bac5-4726-bc15-1403ae709ea8.jpg?area=BODY&requestKey=w3Hru72p)
[이뉴스투데이 김진영 기자] 쿠팡에서 발생한 대규모 해킹 사고로 3000만개가 넘는 이용자 계정 정보가 유출된 사실이 정부 조사 결과 확인됐다. 퇴사한 내부 개발자가 재직 당시 관리하던 인증 시스템의 서명키를 탈취해 악용한 것으로 드러나면서, 국내 플랫폼 보안 체계 전반에 대한 구조적 취약성이 다시 도마 위에 올랐다.
과학기술정보통신부는 10일 쿠팡 침해사고 민관합동조사단 조사 결과를 발표하고, 이번 사고를 국내 최대 전자상거래 플랫폼에서 발생한 중대한 침해사고로 규정했다. 조사단에 따르면 공격자는 정상적인 로그인 절차 없이 쿠팡 이용자 계정에 접근해 대규모 정보를 빼돌렸다.
조사 결과 공격자는 쿠팡 재직 당시 이용자 인증 시스템 설계·개발 업무를 담당했던 백엔드 개발자로, 퇴사 전 확보한 서명키를 활용해 ‘전자 출입증’을 위·변조했다. 쿠팡의 관문 서버는 해당 출입증이 정상적으로 발급된 것인지 검증하는 절차가 없어 공격자가 인증 체계를 그대로 통과할 수 있었던 것으로 확인됐다.
유출된 정보 규모도 초기 신고와는 큰 차이를 보였다. 쿠팡은 처음 약 4500개 계정 정보가 유출됐다고 신고했지만, 정부가 웹·애플리케이션 접속 기록을 분석한 결과 성명과 이메일이 포함된 이용자 정보 약 3367만건이 외부로 빠져나간 것으로 파악됐다.
배송지 목록 페이지에서는 성명·전화번호·주소·비식별 처리된 공동현관 비밀번호가 포함된 정보가 1억4800만회 이상 조회됐고, 주문 목록 페이지를 통해 최근 구매 내역도 유출된 것으로 나타났다. 배송지 정보에는 계정 소유자뿐 아니라 가족이나 지인 등 제삼자의 개인정보도 다수 포함돼 피해 범위가 더 확대됐다.
공격자는 자동화된 웹 크롤링 도구를 사용해 지난해 4월부터 11월까지 장기간 정보를 수집했으며, 이 과정에서 2300개가 넘는 IP를 사용한 것으로 조사됐다. 최종 개인정보 유출 규모는 개인정보보호위원회 조사 결과를 통해 확정될 예정이다.
조사단은 이번 사고의 근본 원인으로 이용자 인증체계 미흡, 서명키 관리 부재, 내부자 위협 대응 실패를 지목했다. 쿠팡은 자체 규정상 서명키를 중앙 키 관리 시스템에서만 보관하게 돼 있지만, 실제로는 현직 개발자 노트북에서도 키가 저장된 사실이 확인됐다. 퇴사자 발생 시 키를 폐기하거나 갱신하는 절차 역시 제대로 작동하지 않았다.
침해사고 대응 과정에서도 법 위반이 드러났다. 쿠팡은 사고 인지 후 24시간 이내 신고 의무를 지키지 않아 과태료 부과 대상이 됐고, 정부의 자료보전 명령 이후에도 웹과 애플리케이션 접속 기록 일부가 삭제돼 수사기관에 별도 의뢰됐다.
과기정통부는 쿠팡에 대해 위변조된 전자 출입증 탐지 체계 도입, 키 발급·사용 이력 관리 강화, 비정상 접속 모니터링 고도화, 로그 관리 기준 정비 등을 포함한 재발방지 이행계획 제출을 요구했다. 정부는 오는 3~5월 이행 여부를 점검한 뒤 미흡할 경우 정보통신망법에 따라 시정명령을 내릴 방침이다.
한편, 개인정보보호위원회는 개인정보보호법 위반 여부를 조사 중이며 경찰청도 관련 증거물 분석과 형사 수사를 진행하고 있다.
Copyright ⓒ 이뉴스투데이 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
