쿠팡 해킹의 실체…내부자에 무너진 인증 시스템

서명키 탈취로 '전자 출입증' 위조…로그인 절차 우회

키 이력관리·비정상 접속 탐지 부실…대규모 크롤링 길 열려

쿠팡 개인정보 유출 더 많았다…16만5천여건 추가

(서울=연합뉴스) 임화영 기자 = 쿠팡에서 유출된 고객 계정 수가 자체적으로 공개한 3천개보다 훨씬 많은 것으로 드러났다.
쿠팡은 지난해 11월 확인된 개인정보 유출 사건과 관련해 16만5천여건 계정이 추가로 유출된 사실을 확인했다고 지난 5일 밝혔다.
사진은 6일 서울 시내의 한 쿠팡 물류센터. 2026.2.6 hwayoung7@yna.co.kr

(서울=연합뉴스) 오지은 기자 = 쿠팡 소프트웨어(SW) 개발자는 어떻게 3천300만건에 달하는 개인정보를 탈취할 수 있었을까.

재직 중 알게 된 정보를 악용해 대규모 개인정보를 유출하는 일탈 행위가 가능한 데는 쿠팡의 부실한 관리체계가 원인으로 자리 잡고 있었다.

과학기술정보통신부는 10일 서울정부청사에서 이러한 내용의 쿠팡 정보통신망 침해사고 민관합동조사단 조사 결과를 발표했다.

◇ 쿠팡 개발자, 어떻게 개인정보 털었나…서명키 빼돌려 출입증 위조

정부 발표에 따르면 공격자는 쿠팡 재직 당시 이용자 인증 시스템을 설계하고 개발 업무를 수행하던 소프트웨어 개발자(백엔드 엔지니어)였다.

공격자는 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 비정상적으로 접속해 정보를 무단으로 유출했다.

정상적으로 접속하는 경우 이용자는 로그인 절차를 거쳐 일종의 전자 출입증을 발급받는다.

이후 쿠팡 관문 서버는 발급받은 전자 출입증이 유효한지 여부를 검증하고 이상이 없을 시 서비스 접속을 허용한다.

공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취하고 이를 활용해 전자 출입증을 위조하거나 변조해 쿠팡 인증체계를 통과했다.

공격자는 재직 당시 이용자 인증 시스템의 취약점과 키 관리체계의 취약점을 인지하고 있었다.

공격자는 이러한 취약점을 악용해 재직 당시 탈취한 서명키와 내부 정보를 활용해 전자 출입증을 위조했다.

공격자는 정상적인 로그인 절차 없이 쿠팡 인증 체계를 통과했고 퇴사 후부터 사전 공격 테스트를 진행했다.

사전 테스트를 진행한 공격자는 이용자 계정에 접근할 수 있다는 사실을 확인한 뒤 자동화된 웹크롤링(데이터 수집) 공격 도구를 이용해 대규모 정보를 유출했다.

공격자는 사전 테스트에서 위조한 전자 출입증을 이용해 타인의 계정으로 무단 접속한 후 유출한 정보를 해외 소재의 클라우드 서버로 전송할 수 있는 기능을 확인했다.

다만 실제 전송이 이뤄졌는지는 확인되지 않았다.

이 과정에서 공격자는 2천313개 인터넷 프로토콜(IP)을 사용한 것으로 확인됐다.

익명을 요구한 보안 전문가는 이처럼 다수의 IP가 사용된 데 대해 "웹크롤링 도구에 가상사설망(VPN) 연결 도구가 있다면 VPN으로 다량의 IP를 사용했거나 자동화된 웹크롤링 도구에 (VPN) 기능이 있었을 수 있다"라고 추정했다.

◇ 쿠팡 보안체계 무엇이 문제였나…서명키·정보보호 관리에 '구멍'

전 임직원이 이처럼 대규모 개인정보 유출을 실행할 수 있었던 이유는 쿠팡의 이용자 인증체계에 허점이 있었기 때문이었다.

공격자는 위조한 전자 출입증을 이용해 쿠팡 서비스에 무단으로 접속했는데, 쿠팡의 이용자 인증체계는 해당 출입증이 정상 발급 절차를 거친 출입증인지 검증하는 단계가 부족했다.

쿠팡, 16만5천여건 개인정보 추가 유출

(서울=연합뉴스) 임화영 기자 = 쿠팡에서 유출된 고객 계정 수가 자체적으로 공개한 3천개보다 훨씬 많은 것으로 드러났다.
쿠팡은 지난해 11월 확인된 개인정보 유출 사건과 관련해 16만5천여건 계정이 추가로 유출된 사실을 확인했다고 지난 5일 밝혔다.
사진은 6일 서울 시내의 한 쿠팡 물류센터. 2026.2.6 hwayoung7@yna.co.kr

쿠팡은 모의 해킹으로 전자 출입증 기반 인증 체계의 취약점을 발굴했지만, 해당 문제에 대한 해결책을 모색하는 등 전반적인 문제점 검토를 수행하지 않았다.

전 직원이 빼돌린 서명키를 관리하는 체계 역시 미흡했다.

쿠팡은 자체 규정에 따라 서명키를 키 관리시스템에서만 보관하고 개발자 PC에 저장하지 않아야 한다고 명시했다.

하지만 조사 결과에 따르면 쿠팡 개발자가 노트북에 서명키를 저장하고 있어 키 유출이나 오남용 위험이 있었다.

또 쿠팡은 서명키를 체계적으로 관리할 수 있도록 발급 내역을 기록하도록 규정했지만, 조사 결과에 따르면 키 이력 관리 체계가 부재해 목적 외 사용을 파악할 수 없었다.

이 밖에 쿠팡의 공격 차단이 늦어진 점도 문제점으로 지적됐다.

이번 사고는 동일한 서버 사용자 식별번호를 반복적으로 사용했고, 위조된 전자 출입증으로 비정상 접속행위가 발생했지만 쿠팡은 해당 공격 행위를 통한 정보 유출을 차단하지 못했다.

조사단은 "쿠팡은 정상 발급 절차를 밟지 않은 전자 출입증에 대한 차단 체계를 도입하고 키 관리 통제 체계를 강화해야 한다"라며 "비정상 접속행위 탐지 모니터링을 강화하고 사고 원인 분석과 로그 저장관리 정책을 수립해야 한다"라고 촉구했다.

built@yna.co.kr