[종합] 쿠팡 침해사고 전말…‘전자 출입증’ 취약점이 3천만 계정 열었다
조회도 유출이었다…쿠팡 사태가 드러낸 플랫폼 보안의 민낯
){kind=link}
){kind=link}
){kind=link}
정부는 이번 사안을 국내 대형 전자상거래 플랫폼에서 발생한 대규모 침해사고로 보고 지난해 11월 30일 민관합동조사단을 꾸려 피해 현황과 사고 원인을 조사했다고 밝혔다. 과기정통부는 정보통신망법에 따라 침해사고의 원인을 분석하고 재발방지 대책을 마련하는 역할을 맡았고, 개인정보 유출의 최종 규모 확정과 개인정보보호법 위반 여부는 개인정보보호위원회가 조사 중이며, 공격자 규명과 형사적 판단은 경찰 수사로 진행된다고 설명했다.
![[종합] 쿠팡 침해사고 전말…‘전자 출입증’ 취약점이 3천만 계정 열었다 - 산업종합저널 정책](http://pimg3.daara.co.kr/kidd/photo/2026/02/10/thumbs/thumb_520390_1770706081_72.jpg)
조사단이 제시한 유출 규모는 페이지별로 산정 방식이 달랐다. ‘내정보 수정’ 페이지에서는 성명과 이메일이 포함된 이용자 정보 33,673,817건이 유출됐다고 밝혔다. 산정에는 쿠팡의 웹 및 애플리케이션 접속기록 분석이 활용됐다.
반면 배송지 목록 페이지의 경우 성명, 전화번호, 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 화면이 148,056,502회 조회된 것으로 집계됐다. 배송지 목록 수정 페이지는 공동현관 비밀번호가 포함된 형태로 50,474회 조회됐고, 최근 주문 상품 목록이 포함된 주문목록 페이지는 102,682회 조회된 것으로 확인됐다.
조사단은 이러한 수치를 접속기록 분석을 통해 도출했다고 설명했다. 속기록에서 조사단은 “조회가 곧 유출을 의미한다”는 입장을 반복해 밝혔으나, 개인정보의 세부 유출 규모는 개인정보보호위원회가 최종 확정할 예정이라고 덧붙였다.
사고 원인으로 정부가 제시한 핵심은 ‘이용자 인증 취약점 악용’과 ‘서명키 관리 부실’이다. 조사단은 공격자가 정상적인 로그인 절차 없이 이용자 계정에 접속해 정보를 무단 유출했으며, 이 과정에서 ‘전자 출입증’으로 표현된 인증 토큰을 위·변조해 인증체계를 통과했다고 밝혔다.
조사단은 관문 서버에서 토큰 위·변조 여부를 검증하는 체계가 미흡했고, 모의해킹을 통해 파악된 취약점 개선도 충분히 이뤄지지 않았다고 지적했다. 또 공격자가 인증 시스템 개발자였음에도 퇴사 이후 서명키를 즉시 갱신하지 않은 채 시스템이 운영됐다는 점도 문제로 제시했다.
공격은 2025년 4월 14일부터 11월 8일까지 이어진 것으로 확인됐으며, 자동화된 웹크롤링 도구가 사용됐다. 이 과정에서 총 2,313개의 IP가 활용됐다고 조사단은 밝혔다. 포렌식 분석 결과 공격자 저장장치에서는 위·변조된 전자 출입증과 쿠팡 이용자 고유식별번호 등이 확인됐다.
또한 재직 중인 개발자 노트북에서는 서명키를 키 관리시스템이 아닌 개인 노트북에 저장한 정황이 확인됐다. 공격 스크립트에는 해외 소재 클라우드 서버로 전송할 수 있는 기능이 포함돼 있었으나, 실제 전송 여부는 관련 기록이 남아 있지 않아 확인할 수 없다고 조사단은 설명했다.
정부 조치의 직접적 쟁점은 ‘신고 지연’과 ‘자료보전 명령 위반’이다. 과기정통부는 쿠팡이 침해사고를 인지한 시점인 2025년 11월 17일 16시부터 24시간이 지난 뒤인 2025년 11월 19일 21시 35분에 한국인터넷진흥원에 신고했다고 밝혔다. 이는 정보통신망법상 24시간 이내 신고 의무를 위반한 것으로, 과태료 부과 대상이라고 설명했다.
또 과기정통부는 2025년 11월 19일 22시 34분 쿠팡에 자료보전 명령을 내렸으나, 이후에도 웹 접속기록 약 5개월치(2024년 7~11월)와 애플리케이션 접속기록 일부(2025년 5월 23일~6월 2일)가 삭제돼 조사에 제한이 발생했다고 밝혔다. 이에 따라 자료보전 명령 위반과 관련해 수사기관에 수사를 의뢰했다고 덧붙였다.
향후 전개는 과기정통부의 이행점검과 개인정보보호위원회의 유출 규모 확정이라는 두 갈래로 이어질 전망이다. 과기정통부는 쿠팡에 재발방지 대책에 따른 이행계획을 2월 중 제출하도록 하고, 3~5월 이행 여부를 점검한 뒤 6~7월 최종 점검을 진행하겠다고 밝혔다. 점검 결과 보완이 필요할 경우 정보통신망법에 따라 시정조치를 명령할 수 있다고 설명했다.
동시에 개인정보보호위원회는 개인정보 유출 규모와 개인정보보호법 위반 여부를 별도로 확정할 예정이다. 배송지 목록처럼 페이지 조회 횟수로 제시된 정보에 대해 개인정보 항목 수가 어떻게 산정될지, 계정 소유자 외 제3자 정보가 포함된 경우 법적 책임이 어떻게 정리될지가 후속 쟁점으로 남아 있다.
관련뉴스
많이 본 뉴스
급증하는 고령층 취업… 일할 의지는 넘치지만 일자리는 부족
대한민국이 초고령사회로 빠르게 진입하면서 60대 이상 고령층의 노동시장 참여가 급증하고 있다. 2025년에는 65세 이상 인구 비중이 20.6%에 달해 초고령사회에 진입할 전망이며, 이에 따라 60대 이상의 일자리 문제가 사회적 이슈로 부상하고 있다. 2024년 9월 기준, 60세 이상 취업자
AI 기술, 실버산업과 돌봄 서비스의 새 지평을 열다
초고령사회를 앞둔 대한민국과 전 세계는 실버산업과 돌봄 서비스에서 AI 기술이 가져올 변화를 주목하고 있다. 인공지능(AI)은 노인 돌봄과 복지 서비스에 새로운 패러다임을 제시하며, 실버산업의 혁신적 발전을 이끌고 있다. AI 돌봄 로봇은 고령화 시대의 새로운 돌봄 파트너로 주목받고
[심층분석] AI 챗봇 시대, '정보 검증'의 필요성
인공지능(AI) 챗봇이 지식 탐색의 새로운 패러다임으로 자리매김하며 실시간 정보 습득의 지평을 넓히고 있다. 그러나 이 혁신적 기술이 제공하는 응답에 대한 맹목적 신뢰는 경계해야 할 시점이 도래했다. 최근 국제적으로 주목받은 오류 사례와 권위 있는 연구 결과는 디지털 정보 시대의 '사
[기획] 세계가 겪는 직업 혁명: 사라지는 일자리와 떠오르는 신직업, 그리고 우리가 나아가야 할 길
전 세계는 4차 산업혁명, AI 확산, 기후변화, 인구구조 변화라는 거대한 물결 속에서 노동시장의 대변혁을 맞고 있다. 세계경제포럼(WEF)의 'Future of Jobs Report 2025'는 2030년까지 1억7천만 개의 새로운 일자리가 창출되는 동시에 9천200만 개가 사라져, 전체 일자리의 22%가 구조적으로 재편
중소 제조기업 디지털화, 5곳 중 4곳은 '스마트공장' 미도입
중소 제조업의 디지털 전환이 여전히 초기 단계에 머물러 있는 것으로 나타났다. 전체 중소·중견 제조기업 가운데 스마트공장을 도입한 곳은 5분의 1 수준에 그쳤고, 인공지능(AI) 기반 제조기술을 적용한 기업은 0.1%에 불과했다. 중소벤처기업부와 스마트제조혁신추진단이 발표한 ‘제1차 스마트