민관합동조사단 조사결과 발표 정보 유출 규모 3367만건 확인 배송지목록 조회 1.4억건 달해 전자출입증 서명키 운영도 미비 정부 “분명히 회사의 관리 문제” 쿠팡 사이버 침해사고로 이용자 정보 3367만3817건이 유출된 것으로 공식 확인됐다. 앞서 쿠팡이 자체 조사 결과라며 내놓은 3000건과는 그 규모가 하늘과 땅 차이다. 시가총액 50조원에 육박하는 미 증시 상장사이자 각국의 특급 정보기술(IT) 인재가 즐비한 첨단 테크기업임에도 정보보호는 주먹구구 식이었다는 사실도 드러났다. 과학기술정보통신부가 10일 발표한 민관합동조사단 조사 결과에 따르면 공격자는 성명·이메일 정보가 유출된 ‘내정보 수정’ 페이지뿐 아니라 성명·전화번호·주소와 비식별화된 공동현관 비밀번호가 포함된 ‘배송지 목록’ 페이지를 1억4805만6502회 조회했다. 여기엔 가족·친구 등 제3자의 성명·전화번호·주소 등 정보도 다수 포함됐다. 또한 공동현관 비밀번호가 그대로 노출된 ‘배송지 목록 수정’ 페이지를 5만474회, 최근 주문한 상품이 나오는 ‘주문 목록’ 페이지도 10만2682회 조회했다. 배송지와 주문 목록은 남의 손에 들어가면 무슨 일이 벌어질지 모르는 민감 개인정보다. 공격자는 쿠팡 재직 당시 시스템 백업을 위한 이용자 인증시스템 설계·개발업무를 수행한 중국인 소프트웨어(SW) 개발자다. 일할 때 인지한 취약점을 퇴사 후 악용했다. 쿠팡엔 관문서버 접속 시 요구되는 전자출입증(인증토큰)에 대해 위·변조 여부 확인절차가 없었던 것으로 나타났다. 전자출입증 발급에 쓰이는 서명키에 대한 관리체계와 세부적 운영절차도 미비했다. 쿠팡 자체 규정과 달리, 현직자인 다른 개발자의 노트북에도 서명키가 저장(하드코딩)돼 있는 사실도 조사과정에서 밝혀졌다. 쿠팡은 공격자가 동일한 서버사용자 식별번호를 반복적으로 썼고 위·변조된 전자출입증으로 비정상 접속했음에도 정보유출을 탐지·차단하지 못했다. 또한 로그를 일관된 기준 없이 저장·관리했고, 과기정통부가 정보통신망법에 따라 내린 자료보전 명령도 위반했다. 사내 자동 로그 저장 정책을 조정하지 않아 웹 로그 약 5개월(2024년 7~11월) 분량이 삭제됐고, 지난해 5월 23일부터 6월 2일 사이 앱 로그도 지워졌다. 이 사안과 용의자 관련 내용은 경찰이 수사 중이다. 최우혁 과기정통부 정보보호네트워크정책실장은 이날 브리핑에서 “분명히 관리의 문제다. 지능화된 공격으로 보긴 어렵다”고 설명하는 한편, 결제정보 유출은 “(조사 결과) 없는 것으로 알고 있다”고 말했다. 정부는 쿠팡이 침해사고 인지 후 24시간 이내 신고 의무를 어긴 것에 대해 정보통신망법에 따라 3000만원 이하 과태료를 부과한다. 구체적인 개인정보 유출 규모와 그에 따른 과징금 처분은 추후 개인정보보호위원회가 발표할 예정이다. 염흥열 순천향대 정보보호학과 명예교수는 “퇴직자에 대한 보안관리가 미흡했던 것은 물론, 운영 중인 시스템의 서명키를 여전히 개발자가 가졌다는 점에서 개발보안에도 소홀한 것으로 보인다”며 “쿠팡이 글로벌 기업이라면 정보보호태세도 당연히 글로벌 수준으로 갖춰야할 것”이라고 지적했다. 팽동현 기자 dhp@dt.co.kr

[기획] 쿠팡, 테크는 ‘최첨단’ 보안은 ‘재래식’

팽동현 기자

입력 2026-02-10 14:05

수정 2026-02-10 19:18

1면 지면 TOP

추천해요 0
좋아요 1
감동이에요 0
화나요 0
슬퍼요 0

읽기모드
음성지원
다크모드
폰트크기
- 가
- 가
- 가
- 가
- 가
- 가
북마크
공유하기
프린트
기사반응

민관합동조사단 조사결과 발표

정보 유출 규모 3367만건 확인

배송지목록 조회 1.4억건 달해

전자출입증 서명키 운영도 미비

정부 “분명히 회사의 관리 문제”

쿠팡 사이버 침해사고로 이용자 정보 3367만3817건이 유출된 것으로 공식 확인됐다.

앞서 쿠팡이 자체 조사 결과라며 내놓은 3000건과는 그 규모가 하늘과 땅 차이다. 시가총액 50조원에 육박하는 미 증시 상장사이자 각국의 특급 정보기술(IT) 인재가 즐비한 첨단 테크기업임에도 정보보호는 주먹구구 식이었다는 사실도 드러났다.

과학기술정보통신부가 10일 발표한 민관합동조사단 조사 결과에 따르면 공격자는 성명·이메일 정보가 유출된 ‘내정보 수정’ 페이지뿐 아니라 성명·전화번호·주소와 비식별화된 공동현관 비밀번호가 포함된 ‘배송지 목록’ 페이지를 1억4805만6502회 조회했다. 여기엔 가족·친구 등 제3자의 성명·전화번호·주소 등 정보도 다수 포함됐다.

또한 공동현관 비밀번호가 그대로 노출된 ‘배송지 목록 수정’ 페이지를 5만474회, 최근 주문한 상품이 나오는 ‘주문 목록’ 페이지도 10만2682회 조회했다. 배송지와 주문 목록은 남의 손에 들어가면 무슨 일이 벌어질지 모르는 민감 개인정보다.

공격자는 쿠팡 재직 당시 시스템 백업을 위한 이용자 인증시스템 설계·개발업무를 수행한 중국인 소프트웨어(SW) 개발자다. 일할 때 인지한 취약점을 퇴사 후 악용했다. 쿠팡엔 관문서버 접속 시 요구되는 전자출입증(인증토큰)에 대해 위·변조 여부 확인절차가 없었던 것으로 나타났다. 전자출입증 발급에 쓰이는 서명키에 대한 관리체계와 세부적 운영절차도 미비했다. 쿠팡 자체 규정과 달리, 현직자인 다른 개발자의 노트북에도 서명키가 저장(하드코딩)돼 있는 사실도 조사과정에서 밝혀졌다.

쿠팡은 공격자가 동일한 서버사용자 식별번호를 반복적으로 썼고 위·변조된 전자출입증으로 비정상 접속했음에도 정보유출을 탐지·차단하지 못했다. 또한 로그를 일관된 기준 없이 저장·관리했고, 과기정통부가 정보통신망법에 따라 내린 자료보전 명령도 위반했다. 사내 자동 로그 저장 정책을 조정하지 않아 웹 로그 약 5개월(2024년 7~11월) 분량이 삭제됐고, 지난해 5월 23일부터 6월 2일 사이 앱 로그도 지워졌다. 이 사안과 용의자 관련 내용은 경찰이 수사 중이다.

최우혁 과기정통부 정보보호네트워크정책실장은 이날 브리핑에서 “분명히 관리의 문제다. 지능화된 공격으로 보긴 어렵다”고 설명하는 한편, 결제정보 유출은 “(조사 결과) 없는 것으로 알고 있다”고 말했다.

정부는 쿠팡이 침해사고 인지 후 24시간 이내 신고 의무를 어긴 것에 대해 정보통신망법에 따라 3000만원 이하 과태료를 부과한다. 구체적인 개인정보 유출 규모와 그에 따른 과징금 처분은 추후 개인정보보호위원회가 발표할 예정이다.

염흥열 순천향대 정보보호학과 명예교수는 “퇴직자에 대한 보안관리가 미흡했던 것은 물론, 운영 중인 시스템의 서명키를 여전히 개발자가 가졌다는 점에서 개발보안에도 소홀한 것으로 보인다”며 “쿠팡이 글로벌 기업이라면 정보보호태세도 당연히 글로벌 수준으로 갖춰야할 것”이라고 지적했다.

팽동현 기자 dhp@dt.co.kr