광고닫기

비번·폰번호 탈탈…쿠팡 범인, 배송지 목록 1.5억건 뒤졌다

중앙일보

2026.02.10 07:09 2026.02.10 07:53

  • 글자크기
  • 인쇄
  • 공유
글자 크기 조절
기사 공유
쿠팡 개인정보 침해 사고로 이용자 이름·이메일 정보 3367만여 건이 유출됐다는 정부 조사 결과가 나왔다. 유출된 쿠팡 웹페이지에는 이용자 주소, 공동 현관 비밀번호는 물론 최근 주문 상품 목록과 지인들의 개인 정보까지 담겨 있었다.

과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해사고에 대한 민관합동조사단 조사 결과를 발표했다. 지난해 11월 30일 조사단이 구성된 지 72일 만이다. 조사단이 쿠팡 웹과 앱 접속기록(로그) 데이터 등을 분석한 결과 ‘내정보 수정’, ‘배송지 목록’, ‘주문 목록’ 등의 쿠팡 웹페이지에서 이용자 개인 정보 유출이 확인됐다. 내정보 수정 페이지에선 성명과 이메일이 포함된 이용자 정보 3367만여건이 유출됐다. 공격자는 배송지 목록 페이지는 1억4806만회, 주문 목록 페이지는 10만회 이상 조회한 것으로 나타났다. 해당 페이지엔 계정 소유자 본인 외 지인의 개인 정보와 최근 주문 상품 목록 등도 포함돼 있다.

김주원 기자
쿠팡은 지난해 말 자체 조사 결과에서 “공격자는 탈취한 보안 키를 사용해 고객 계정 3300만개의 기본적인 고객 정보에 접근했으나 이중 약 3000개 계정의 고객 정보만 저장했다”고 주장했다. 정부 조사 결과와 다른 이유는 유출에 대한 해석 차이에서다. 정부는 공격자가 고객 계정 3300만개 정보에 접근한 것 자체가 기업의 통제권에서 정보가 벗어난 것이기에 유출로 판단했다. 최우혁 과기정통부 정보보호네트워크실장은 “3000건은 피조사 기관인 쿠팡이 한 주장일 뿐”이라며 “정부가 조사하고 검증해 확인한 유출 규모는 오늘 공개한 수치”라고 말했다. 이에 대해 쿠팡 측은 “페이지 조회 수가 정보 유출 규모를 의미하는 것은 아니다”라고 반박했다.

조사단이 확인한 유출 정보 범위도 쿠팡 측 주장과는 차이가 있었다. 지인에 대한 정보도 유출된 것으로 나왔기 때문이다. 임정규 민관합동조사단장은 “배송지 목록 페이지의 경우 이용자에 따라 주소 정보가 하나만 있기도, 20개가 있기도 하다”며 “정확한 유출 규모는 추후 개인정보보호위원회가 확정해 발표할 예정”이라고 말했다. 공동 현관 비밀번호 정보 등이 포함된 페이지 조회 수가 1억4806만회에 달하는만큼 실제 유출 범위와 규모는 추후 개인정보위 조사결과에 따라 더욱 커질 수 있다.

다만 쿠팡 측 설명대로 결제 정보 유출은 확인되지 않았다. 조사단은 2차 피해에 대해 “다크웹 등에서 아직 확인하지 못했다”고 밝혔다.

이번 침해 사고 공격자는 이용자 인증 시스템 개발 업무를 담당한 쿠팡의 전직 직원(백엔드 엔지니어 스태프)이었다. 공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 후 이를 활용해 ‘전자 출입증’을 위·변조해 쿠팡 인증 체계를 통과했다. 정상적인 로그인 없이 개별 이용자 계정으로 쿠팡 웹페이지에 접속한 뒤 정보를 자동으로 긁어오는 웹 크롤링 수법으로 지난해 4월 14일부터 11월 8일까지 이용자 정보를 수집했다. 조사단은 “쿠팡에 전자 출입증 위·변조 확인 절차가 없었고, 퇴사자 서명키 관리를 제대로 하지 않았다”고 지적했다.

김주원 기자
과기정통부는 이번 조사 결과를 토대로 쿠팡에 재발 방지 대책을 세우고 이행 계획을 제출하도록 했다. 또 쿠팡이 침해 사고를 인지한 후 24시간이 지난 후에 신고한 점을 고려해 과태료를 부과할 예정이다. 이번 조사와 별개로 개인정보위는 쿠팡 침해 사고관련 법 위반 여부를 조사 중이다. 과징금 부과 여부 등은 개인정보위에서 결론을 낼 전망이다.





강광우([email protected])

많이 본 뉴스

      실시간 뉴스