쿠팡 3367만명 정보유출 "공격 아닌 관리소홀…2차피해 無"(종합)

배송지 목록 1.5억 회 조회…"지능화 공격 아냐"
신고사실 지연에 과태료 3000만원 부과…과징금은 별도

  • 이민주 기자

10일 서울 시내 쿠팡 물류센터 앞을 시민이 지나가고 있다. 과학기술정보통신부는 이날 쿠팡 침해사고에 대한 민관합동조사단 조사 결과를 발표했다. 쿠팡 전 직원에 의한 정보통신망 침해사고로 인해 '내정보 수정' 페이지 내 가입자 이름과 이메일 정보 등 3367만 건이 유출된 것으로 밝혔다. 2026.2.10 ⓒ 뉴스1 황기선 기자

(서울=뉴스1) 이민주 기자 = 전직 쿠팡 직원이 회원 정보를 빼돌린 '쿠팡 해킹' 사태로 인해 3367만 명의 개인정보가 유출된 것으로 드러났다.

공격자(해커)는 쿠팡 회원 3367만 명의 이름과 이메일 정보를 빼돌렸고, 회원이 등록한 부모님 댁 주소, 친구 주소 등 제3자의 배송지 정보도 1억 4800만 회 조회했다. 공동현관 비밀번호가 남아있는 '배송지 목록 수정 페이지'는 5만여 회 조회했다. 다행히 결제 정보 유출은 없었다.

정부조사단은 이번 사태가 지능화된 공격이 아닌 관리 소홀에서 비롯된 것이라며 강하게 질타했다.

과학기술정보통신부는 10일 쿠팡 침해사고에 대한 민관합동조사단 조사 결과를 발표했다. 과기정통부는 지난해 11월 30일 민관합동조사단을 구성해 법과 원칙에 따라 피해현황, 사고원인 등을 조사했다.

과학기술정보통신부는 10일 쿠팡 침해사고에 대한 민관합동조사단 조사 결과를 발표했다. 쿠팡 전 직원에 의한 정보통신망 침해사고로 인해 내정보 수정 페이지 내 이름과 이메일 정보가 3367만 건 유출된 것으로 확인됐다. 전화번호와 주소 등이 포함된 '배송지 목록'은 1억 4000만 회 조회됐고 공동현관 비밀번호가 남아있는 '배송지 목록 수정 페이지'는 5만여 회 조회된 것으로 파악됐다. ⓒ 뉴스1 김초희 디자이너
"부모님 주소도 털렸다…결제 정보 유출 無"

조사단이 쿠팡의 웹 접속기록(로그)을 분석한 결과 내정보 수정 페이지에서 성명, 이메일이 포함된 이용자 정보 3367만 3817건이 유출됐다.

공격자는 또 배송지 목록 페이지를 1억 4805만 6502회 조회해 정보를 유출했다. 이 페이지에는 성명, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함됐다.

배송지 목록 페이지에는 계정 소유자 본인 외에도 가족, 친구 등 제3자의 성명, 전화번호, 배송지 주소 등 정보가 다수 포함됐다.

이동근 민관합동조사단 부단장은 "(주소록에 들어가면) 본인이 등록한 주소들이 쭉 등록돼 있는데 저도 저 말고 부모님이라든지 친구들 다 등록돼 있다"며 "공격자는 이 페이지에 1억 4800만 회 들어가 '조회'를 했다. 그런데 그 안에는 굉장히 많은 정보가 있다"고 설명했다.

다행히 아직까지 이번 개인정보 유출로 인한 2차 피해는 없다.

최우혁 과기정통부 정보보호네트워크정책실장은 10일 쿠팡 침해사고에 대한 민관합동조사단 결과 발표에서 "2차 피해에 대한 부분은 현재까지 확인된 바 없다"고 말했다.

가장 민감한 정보 중 하나인 '결제 정보' 유출 의혹에 대해서도 "현재까지 조사한 사항으로는 없다"고 했다.

최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 '쿠팡 침해사고 민관합동 조사단 조사결과를 발표하고 있다. 2026.2.10 ⓒ 뉴스1 황기선 기자
"지능화된 공격 아냐…관리 소홀이 문제"

정부조사단은 이번 사고의 원인이 쿠팡 서버의 이용자 인증 취약점이라고 짚었다.

조사단이 정보유출 경로를 분석한 결과, 공격자는 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 비정상 접속해 정보를 무단 유출했다.

퇴사자인 공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 후 이를 활용해 '전자 출입증'을 위·변조해 쿠팡 인증체계를 통과했다.

통상 관문서버는 인증절차를 통해 '전자 출입증'이 정상적으로 발급된 이용자에 한해서 접속을 허용해야 하며, 출입증이 위·변조되었는지에 대해서도 확인해야 한다. 조사 결과, 쿠팡에는 관련 확인 절차가 부재했다.

또 직원이 퇴사할 경우 해당 서명키를 더 이상 사용하지 못하도록 갱신 절차가 진행돼야 하나, 관련 체계 및 절차가 미비했다.

최우혁 과학기술정보통신부 정보보호네트워크정책실장은 "이번 건은 분명히 관리(소홀)의 문제"라며 "지능화된 공격으로 보기는 어려울 것 같다"며 "(쿠팡의) 인증체계 관련 문제점도 강하게 질타하고 지적했다"고 했다.

정부, 쿠팡에 2월까지 개선안 주문

공격자의 신원이나 공격위치에 대한 부분에서는 향후 경찰 수사를 통해 밝혀질 내용이라며 말을 아꼈다. 구체적인 개인정보보호 유출 피해 규모나 위법성 판단 역시 개인정보보호위원회에서 판단할 것이라고 했다.

조사단은 조사 결과를 바탕으로 쿠팡에 이용자 인증체계 문제점 등에 대한 재발 방지 대책 마련을 주문했다. 2월 개선안을 마련해 3~5월까지 이행여부를 7월까지 점검할 계획이다.

조사단이 쿠팡에 개선하라고 통지한 내용은 △키 관리(발급/사용 이력관리)·통제 체계 강화 및 운영관리 기준 명확화 △상시 점검 △비정상 접속행위 탐지 모니터링 강화 비정상 접속행위 탐지 모니터링 강화 △사고원인 분석 및 피해 규모 식별 등 목적에 맞는 로그 저장관리 정책 수립 및 정비 △자체 보안규정 준수 여부에 대한 정기 점검 실시 등이다.

침해사고 신고 지연으로 인한 법 위반 사항에 대해서는 정보통신망법에 따른 과태료를 부과할 예정이다. 법 제76조에 따라 3000만 원 이하 과태료 부과 대상이다. 쿠팡이 일부 웹 접속기록을 삭제한 것에 대해서는 정보통신망법에 따라 수사기관에 수사를 의뢰한다. 과징금은 개인정보보호위원회가 판단한다.

최 실장은 "피해 비중이나 규모는 개보위 발표를 기다려야 할 것"이라며 "개보위나 경찰이나 (개인정보 보호 유출) 숫자는 저희와 동일하게 보고 있다"고 말했다.

minju@news1.kr

Copyright ⓒ 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용금지.

많이 본 뉴스

  1. '전' '무' 사진 올린 주사이모, 전현무 저격?…"죽다 살아나니 생각 달라져"
    많이 본 뉴스
  2. 조지 클루니, 박보검 옆에서 외모 좌절감…"얼굴 보고 있으니 죽고 싶을 지경"
    많이 본 뉴스
  3. "국산 NPU 쓰자"…퓨리오사AI 투자한 DSC인베 15%↑ [핫종목]
    많이 본 뉴스
  4. "비트코인 2000개 입금…50개 매도 후 통장에 46억" 인증 화제
    많이 본 뉴스
  5. 63세 김병세 "15살 연하에 90일 만에 청혼…결혼한 지 벌써 7년 됐다"
    많이 본 뉴스
  6. '빗썸 비트코인' 꿀꺽한 80명, 토해낼까…금감원장 "재앙" 경고
    많이 본 뉴스
  7. 실수로 꽂힌 비트코인 80명이 '꿀꺽'…30억원 이미 은행으로 이체
    많이 본 뉴스
  8. "아버지 안락사 하러 출국" 신고…스위스행 60대 이륙 직전, 경찰이 막았다
    많이 본 뉴스
  9. 변사체 사진 SNS 올리고 "선지 안 먹어" 조롱한 경찰관 직위해제
    많이 본 뉴스
  10. [속보] 짐 크레이머 “비트 6만달러 깨지면 미정부가 대량 매입할 수도”
    많이 본 뉴스