* 쿠팡 개인정보 침해사고에 관한 정부 조사 결과, 이름·전화번호·배송지 등의 고객 정보가 대거 노출된 것이 드러났다. 연합뉴스
* 공격자는 쿠팡에서 정보를 유출하였다는 이메일을 2025년 11월16일과 11월25일 두차례 쿠팡에 보냈으며, 유출한 정보의 일부 내용을 이메일 본문에 기재했다. 과학기술정보통신부
인증 취약점 악용…서명키 관리 미흡
사고 덮기에 급급했던 정황도 고스란히
농민신문 윤은영 기자 2026. 2. 10
정부가 지난해 말 발생한 쿠팡 개인정보 침해사고를 조사한 결과, 고객의 이름·전화번호·주소 등이 담긴 ‘배송지 목록’이 1억회 이상 조회된 것으로 확인됐다.
공격자는 공동현관 비밀번호 등이 있는 ‘배송지 수정’ 페이지를 5만회, 최근 어떤 제품을 주문했는지에 대한 정보가 담긴 ‘주문 목록’ 페이지를 10만회 이상 들춰봤던 것도 함께 드러났다.
과학기술정보통신부는 10일 정부서울청사에서 쿠팡 정보통신망 침해사고 민관합동조사단 조사 잠정 결과를 발표했다. 구체적인 세부 유출 규모는 추후 개인정보보호위원회를 통해 확정된다.
이번 정부 발표는 지난해 11월 쿠팡의 개인정보 유출 사고 이후 민관합동조사단이 쿠팡의 이용자 인증 체계와 접속 기록 등을 분석한 결과다. 조사단은 ▲이용자 인증 체계 ▲공격 범위 및 유출 규모 파악을 위한 접속 기록 ▲전사 차원의 정보보호 관리 체계 등을 전반적으로 점검했다.
◇ 성명·전화번호·주소…1억회 넘게 털려
조사 결과 성명·이메일 등이 있는 내 정보 수정 페이지에서는 3367만3817건의 유출이 확인됐다. 이는 쿠팡이 사고 초기 주장했던 4500여건과 상당한 차이를 보이는 수치다.
공격자가 개인정보에 접촉한 횟수는 이를 훨씬 웃돌았다. 배송지 목록 페이지는 공격자에 의해 1억4805만6502회 조회됐으며, 이 과정에서 성명·전화번호·주소 등이 노출된 것으로 파악됐다.
배송지 목록 수정 페이지는 5만474회 조회됐고, 이를 통해 성명·전화번호·주소와 함께 공동현관 비밀번호까지 열람 가능했던 것으로 조사됐다. 최근 주문한 상품 목록이 담긴 주문목록 페이지도 10만2682회 조회됐다.
◇ “취약한 인증 체계...전자 출입증 검증 미흡, 화 키웠다"
조사단에 의하면 공격자는 시스템의 취약점을 이용해 정보를 유출했다는 이메일을 지난해 11월 16일, 25일에 각각 두차례 쿠팡에 보냈다. 해당 이메일에는 ‘1억2000만개 이상의 배송 주소 데이터’ 등이 위험에 처해 있다는 내용이 담겨있었다.
이같은 시스템상 취약점은 이용자 인증 체계에 있었다는 게 조사단의 지적이다. 이를 이용해 공격자는 정상 로그인 절차를 거치지 않고 이용자 계정에 접속해 대규모 정보를 무단 유출했다.
또 위·변조한 ‘전자 출입증’에 대한 검증 체계가 미흡해 공격을 사전에 막지 못한 것으로 나타났다. 모의해킹을 통해 이미 파악된 보안 취약점에 대한 개선이 충분히 이뤄지지 않은 점도 문제로 지적됐다.
이어 과기정통부는 공격자가 이용자 인증 시스템 개발자 출신이었음에도, 퇴사 이후 서명키를 즉시 갱신하지 않아 문제를 키웠다고 지적했다.
◇ 신고 지연·접속기록 삭제 정황 확인…과기정통부, 수사기관에 의뢰할 것
조사단은 쿠팡이 사고를 인지했음에도 불구하고 사건 덮기에 급급했던 정황도 확인했다.
조사단에 따르면 쿠팡은 침해사고를 2025년 11월17일 오후 4시에 인지했으나, 24시간이 지난 11월19일 오후 9시35분에야 한국인터넷진흥원(KISA)에 신고했다. 같은 날 오후 10시34분 자료 보전 명령 이후에도 웹과 애플리케이션(앱) 접속 기록을 삭제해 조사를 제한한 내용도 발견됐다.
과기정통부는 정상 발급 절차를 거치지 않은 ‘전자 출입증’을 탐지·차단할 수 있는 체계를 도입하고, 모의해킹에서 확인된 취약점은 신속히 조치해야 한다고 강조했다. 이에 따라 과기정통부는 이달 내 쿠팡으로부터 대책 이행계획을 받고 6~7월에 이행 여부를 점검한다는 계획이다.
과기정통부는 “정보통신망법상 침해사고 신고 지연과 자료보전 명령 위반 사항도 확인됐다”며 관련 법에 따라 조치할 방침이라고 덧붙였다.