쿠팡 개인정보 3367만건 유출…배송지 등 1억4800만회 조회로 유출 확대 가능성(종합)

이명환기자

입력2026.02.10 16:46

시계아이콘03분 10초 소요

언어변환 숏뉴스

숏 뉴스 AI 요약 기술은 핵심만 전달합니다. 전체 내용의 이해를 위해 기사 본문을 확인해주세요.

불러오는 중...

뉴스듣기

합조단 조사서 이름·이메일 3367만건 유출 확인
공격자, 배송지 목록 페이지 1억4800만여회 조회
이름·연락처·주소·공동현관 비번 등 포함
주문 상품 내역도 공격자에 노출
과기부 "공격자가 조회했다면 유출 범위에 해당"

쿠팡의 대규모 개인정보 유출 사고에 대한 정부 차원의 첫 조사 결과가 나왔다. 쿠팡 이용자들의 이름과 이메일 등 개인정보 3367만건이 유출된 것으로 확인됐는데, 이 과정에서 공격자가 배송지 정보 페이지를 1억4800만여회 들여다본 것으로 드러나면서 유출 범위가 더욱 커질 수 있다는 우려가 나온다. 배송지 정보에는 연락처, 배송 주소, 특수문자로 가려진 공동현관 비밀번호 등이 포함됐다. 아울러 쿠팡 측의 신고 지연과 자료보전 명령 위반 사실도 확인됐다.

과학기술정보통신부는 10일 오후 서울 종로구 정부서울청사에서 브리핑을 열고 쿠팡 침해사고에 대한 민관합동조사단(합조단)의 이 같은 조사 결과를 발표했다. 합조단은 2024년 11월29일부터 지난해 12월31일까지의 쿠팡 접속기록(로그) 총 25.6TB 분량의 데이터를 분석했다.

쿠팡 개인정보 3367만건 유출…배송지 등 1억4800만회 조회로 유출 확대 가능성(종합)

최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 서울 종로구 정부서울청사에서 쿠팡 침해사고 민관합동조사단 조사결과를 발표하고 있다. 2026.2.10 조용준 기자

이용자 정보 약 3367만건 유출 확인

합조단에 따르면 공격자는 지난해 11월 쿠팡에서 정보를 유출했다는 내용의 메일을 두 차례 쿠팡 측에 보냈다. 이메일에는 ▲'내 정보 수정' 페이지 성명, 이메일 ▲'배송지 목록 페이지'의 성명, 전화번호, 주소, 공동현관 비밀번호 정보 ▲'주문 목록' 페이지의 이용자가 주문한 상품 정보 등 유출해 얻은 정보 일부가 담겼다.

합조단의 조사 결과, '내 정보 수정' 페이지에서 이름과 이메일이 포함된 이용자 정보 약 3367만건이 유출된 것으로 확인됐다. 이는 쿠팡이 지난해 11월 자체 조사해 발표했던 개인정보 유출 건수인 3370만여건과 유사한 수치다. 다만 여기에는 쿠팡이 지난 5일 추가로 밝힌 16만5000여개의 계정 유출 건은 포함되지 않았다.

쿠팡의 배송지 목록 페이지 예시. 과학기술정보통신부 제공

쿠팡의 배송지 목록 수정 페이지 예시. 과학기술정보통신부 제공

문제는 공격자가 쿠팡 회원들의 '배송지 목록' 페이지를 약 1억4800만회 조회했다는 데 있다. 이 페이지에는 배송을 받는 사람의 이름, 전화번호, 배송지 주소, 특수문자로 가려진 공동현관 비밀번호가 포함돼 있다. 공격자는 이름, 전화번호, 배송지 주소와 공동현관 비밀번호가 포함된 '배송지 목록수정' 페이지도 5만474회 조회했다. 수정 페이지는 배송지 목록 페이지와 달리 공동현관 비밀번호가 가림처리 없이 그대로 노출된다. 이용자들이 주문한 상품 내역 역시 노출됐다.

공격자, 배송지 정보 등 1억4800만여회 조회로 유출 범위 확대

특히 회원마다 1개의 계정에 여러 곳의 배송지 정보를 저장하는 경우가 많다는 점을 고려하면 정보 유출 규모가 더욱 커질 것이라는 우려가 나온다. 현재 쿠팡은 계정 1개당 배송지 정보를 최대 20곳까지 저장할 수 있도록 하고 있다. 합조단 역시 계정 소유자 본인 외에도 가족 등 지인의 이름, 전화번호, 배송지 주소 등 정보가 다수 포함돼 있었다고 밝혔다.

공격자가 배송지 목록 등을 1억4000만여회 조회했다고 하더라도, 동일 이용자 정보가 반복 열람됐을 가능성이 있어 1억4000만개의 계정이 유출됐다고 보기 어렵다. 하지만 배송지 정보에는 쿠팡 계정 소유자뿐 아니라 가족·지인 등의 이름·전화번호·주소가 함께 포함될 수 있다는 점에서 피해 범위가 지금보다 더 확대될 가능성은 열려 있다. 최우혁 과기정통부 정보보호네트워크정책실장은 "개인정보보호법 지침에 따라 공격자가 정보를 조회했다는 건 정보가 유출됐을 가능성으로 볼 수 있다"고 설명했다.

이에따라 실제 개인정보 유출 건수는 개인정보보호위원회가 조사를 마치고 확정해 발표할 예정이다. 합조단이 이날 발표한 유출 규모는 웹 접속기록 등을 기반으로 산정한 수치다. 개인정보위 관계자는 "조사는 아직 진행 중이기에 완료 시점을 확정하기 어렵다"면서 "조사 처분이 확정되는 시점에 결과를 발표할 것"이라고 말했다.

쿠팡페이에 저장된 이용자들의 카드번호와 계좌번호 등 금융결제 관련 정보들도 합조단 조사에서는 유출되지 않은 것으로 확인됐다. 유출된 정보들로 인한 2차 피해 역시 확인되지 않았다. 합조단이 공격자 PC의 저장장치를 포렌식 분석한 결과, 공격자가 유출한 정보를 수집해 외부 서버로 전송이 가능하도록 한 공격 스크립트를 작성한 것이 확인됐다. 하지만 실제 전송이 이루어졌는지는 기록이 남아있지 않아 확인할 수 없었다.

공격자, 전자 출입증 위·변조…IP 주소 2313개 동원

쿠팡 공격자의 정보 유출 경로. 과학기술정보통신부 제공

아울러 합조단은 조사 과정에서 쿠팡의 웹과 애플리케이션(앱) 접속기록(로그) 등 관련 자료에 대한 종합적인 분석을 실시했다. 쿠팡으로부터 제출받은 공격자 PC 저장장치(HDD 2대·SSD 2대)와 현재 재직 중인 쿠팡의 개발자 노트북에 대한 포렌식 분석도 함께 진행했다. 아울러 쿠팡 전사 차원의 정보보호 관리체계 역시 점검했다.

공격자는 알려진 대로 쿠팡 재직 당시 시스템 장애 등 백업을 위한 이용자 인증 시스템 설계·개발 업무를 수행한 소프트웨어(SW) 개발자로 확인됐다. 합조단은 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 비정상 접속해 정보를 무단 유출했다고 설명했다.

쿠팡의 관리 서버에 접근하기 위해서는 로그인 절차를 거쳐 일종의 '전자 출입증'을 발급받는다. 쿠팡의 관문 서버는 발급받은 전자 출입증의 유효성을 검증한 뒤 이상이 없을 시에만 서비스 접속을 허용한다. 하지만 공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취, 전자 출입증을 위·변조해 쿠팡의 인증체계를 통과했다. 이후 본격적인 공격을 위한 사전 테스트를 진행한 뒤 자동화된 웹크롤링 공격 도구를 이용해 대규모 정보를 유출했다. 이 과정에서 공격자가 동원한 인터넷 프로토콜(IP) 주소는 총 2313개에 달한다.

"쿠팡에 전자 출입증 위·변조 확인 절차 없어"

합조단 조사 결과 쿠팡에는 전자 출입증이 위·변조됐는지 확인하는 절차가 없었다. 아울러 업무 담당자가 퇴사할 경우 해당 서명키를 더 이상 이용하지 못하도록 갱신 절차가 진행돼야 했지만 관련 체계와 절차도 미비했다. 여기에 서명키를 체계적으로 관리할 수 있도록 발급 내역을 기록·관리하도록 했지만 키 이력 관리 체계가 없어 목적 외 사용을 파악하는 것이 불가능하다는 점도 확인했다.

쿠팡에서 3000만 건이 넘는 대규모 개인정보 유출 사고가 발생했다. 이는 경제활동인구 2969만 명을 넘어서는 규모로 역대 최악의 유출사고이다. 사진은 1일 쿠팡 본사. 2025.12.01 윤동주 기자

쿠팡의 법령 위반 사례도 확인됐다. 정보통신망법에 따르면 침해사고 인지 후 24시간 이내에 과기정통부나 한국인터넷진흥원(KISA)에 신고해야 하지만 쿠팡은 정보보호최고책임자(CISO)에게 사건을 최초 보고한 뒤 이틀이 지나서야 KISA에 신고했다.

정부의 자료보전 명령도 이행하지 않았다. 과기정통부는 침해사고 원인 분석을 위해 지난해 11월 자료보전을 명령했지만 쿠팡은 자동 로그 저장 정책을 조정하지 않아 약 5개월 분량의 웹 접속기록이 삭제됐다. 앱 접속기록(로그)도 지난해 5월23일부터 6월2일까지의 데이터가 삭제됐다.

정부는 침해사고 지연에 대해서는 과태료를 부과할 예정이다. 자료보전 명령을 지키지 않은 데 대해서는 수사기관에 수사를 의뢰했다.

아울러 조사단은 쿠팡이 정보보호 및 개인정보보호 관리체계 인증(ISMS)을 취득하고도 접근 권한별 직무 분리와 암호정책 수립을 미흡하게 한 점을 확인하고 보완을 요구했다. 이후에도 쿠팡이 보완을 하지 않는다면 시정명령을 내리게 되고, 이를 이행하지 않을 경우 인증을 취소할 방침이다.