민관합동조사단 "쿠팡, 개인정보 3367만건 유출 확인"

쿠팡 본사 [사진=연합뉴스]

쿠팡 전직 개발자에 의한 정보통신망 침해사고로 이용자 개인정보 3367만여 건이 외부로 유출된 것으로 확인됐다. 배송지 정보가 포함된 페이지는 1억 4800만여 회 조회됐으며, 주문 정보가 담긴 페이지도 10만 회 이상 접근된 것으로 나타났다.

10일 과학기술정보통신부와 민관합동조사단은 쿠팡 전 직원에 의한 정보통신망 침해사고 조사 결과를 발표했다. 조사단은 이번 사고를 장기간에 걸쳐 대규모 개인정보 페이지 접근이 이뤄진 침해사고로 판단했다.

조사단 분석에 따르면 공격자는 약 7개월간 2313개 IP를 이용해 자동화된 방식으로 시스템에 접근했다. 분석 대상이 된 접속 기록만 25.6테라바이트, 총 6642억 건에 달했으며, 이 가운데 내정보 수정, 배송지 목록, 주문 목록 등 개인정보가 포함된 주요 페이지 접근이 집중적으로 이뤄졌다.

공격자는 쿠팡의 이용자 인증 체계 취약점을 이용해 정상적인 로그인 절차 없이 계정에 접근했고, 장기간에 걸쳐 개인정보를 조회·수집한 것으로 조사됐다.

조사단은 내정보 수정 페이지를 통해 이름과 이메일이 포함된 개인정보 3367만여 건이 실제 유출됐다고 밝혔다. 특히 배송지 목록 페이지는 1억 4800만여 회 조회됐는데, 해당 페이지에는 계정 소유자뿐 아니라 가족이나 지인 등 제3자의 이름, 전화번호, 주소가 함께 저장돼 있어 실제 노출된 개인정보 주체 수는 계정 수를 넘어설 가능성이 있는 것으로 분석됐다.

배송지 목록 수정 페이지는 5만여 회 조회됐으며, 이 과정에서 공동현관 비밀번호를 포함한 상세 배송 정보가 함께 접근된 것으로 확인됐다. 최근 주문한 상품 목록이 포함된 주문 목록 페이지 역시 10만여 회 조회돼 개인의 소비 이력 정보도 외부에서 열람됐을 가능성이 제기됐다.

공격은 2025년 4월부터 11월까지 이어졌으며, 조사단은 그 이전인 1월에도 공격 테스트 정황이 존재한다고 밝혔다. 공격자는 자동화된 웹 크롤링 도구를 사용해 반복적으로 접근했고, 내부 인증 구조를 우회해 비정상 접속을 지속한 것으로 분석됐다.

사고 원인으로는 이용자 인증 체계와 키 관리 시스템의 구조적 취약성이 지목됐다. 쿠팡은 로그인 이후 발급되는 전자 출입증 형태의 인증 수단을 운영하고 있었으나, 해당 출입증이 정상 발급 절차를 거친 것인지 검증하는 체계가 충분히 마련돼 있지 않았다. 공격자는 재직 당시 관리하던 서명키를 활용해 전자 출입증을 위조했고, 이를 통해 정상 이용자로 인식된 채 서비스에 접근할 수 있었다.

키 관리 부실도 확인됐다. 개발자가 퇴사한 이후에도 서명키는 즉시 폐기되거나 갱신되지 않았으며, 일부 서명키는 키 관리 시스템이 아닌 개발자 노트북에 저장돼 있었다. 조사단은 키 발급·사용 이력 관리 체계가 미흡해 목적 외 사용을 사전에 점검하기 어려운 구조였다고 설명했다.

사고 이후 대응 과정에서도 법 위반 사항이 드러났다. 쿠팡은 침해사고 인지 이후 24시간 이내 신고 의무를 지키지 않았고, 자료보전 명령 이후에도 일부 접속 기록이 삭제돼 조사에 제한이 발생했다. 이에 따라 과태료 부과와 수사 의뢰가 진행됐다.

과기정통부는 이번 조사단의 조사결과를 토대로, 쿠팡에 재발방지 대책에 따른 이행계획을 제출(2월)토록 하고, 쿠팡의 이행(3~5월) 여부를 점검(6~7월)할 계획이다. 이행점검 결과, 보완이 필요한 사항에 대해서는 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획이다.