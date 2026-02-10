민관합동조사 결과 발표…기존 유출 3367만건에 ‘제3자 피해’ 늘 수도

대규모 개인정보를 유출한 쿠팡 전 직원이 이용자들 이름·전화번호·주소 등이 담긴 배송지 목록 페이지를 1억4800만여회 조회한 것으로 확인됐다. ‘내 정보 수정’ 페이지에서 유출된 이름·e메일 정보만 3367만건으로, 향후 개인정보보호위원회가 확정해 발표할 유출 규모는 더 늘어날 것으로 보인다. 정부는 사고 원인으로 “쿠팡의 관리 부실”을 지목했다.



과학기술정보통신부는 10일 쿠팡 침해사고에 대한 민관 합동조사 결과를 발표했다. 이번 사태는 쿠팡에서 인증 시스템 개발 업무를 담당하던 중국 국적 전직 직원 A씨가 이용자 개인정보를 유출하면서 터졌다. 조사단이 2024년 11월29일부터 지난해 12월31일까지의 쿠팡 접속기록(로그) 25.6TB(테라바이트) 분량을 분석한 결과, ‘내 정보 수정’ 페이지에서 이름·e메일 정보 3367만3817건이 유출된 것으로 드러났다. 당초 정부가 추산한 3370만개 유출 계정과 유사한 수치다.



A씨는 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 배송지 목록 페이지를 1억4805만여회(중복 포함) 조회했다. 배송지 목록에는 계정 소유자 본인 외에도 가족, 친구 등 제3자 정보가 다수 포함돼 있어 정보 유출 대상자 범위가 늘어날 가능성이 크다.



최우혁 과기정통부 정보보호네트워크정책실장은 “조회는 유출을 의미한다”면서도 “정확한 개인정보 유출 규모는 개인정보위가 최종 발표할 것”이라고 말했다. 배송지 목록 페이지에는 배송지를 20개까지 등록할 수 있고, 다양한 정보가 포함돼 유출 규모 산출에 어려움이 있는 것으로 전해졌다.



쿠팡 “프로그램 자동조회…3자 열람 없어” 반박



비식별화 처리가 되지 않은 공동현관 비밀번호가 포함된 배송지 목록 수정 페이지는 5만474회, 이용자가 최근 주문한 상품을 보여주는 주문 목록 페이지는 10만2682회 조회됐다.



다만 조사단은 “현재까지 개인정보 유출로 인한 2차 피해는 확인되지 않았다”고 밝혔다.



A씨는 지난해 1월부터 쿠팡 재직 당시 인지하고 있던 취약점을 기반으로 공격 테스트를 진행했다. 지난해 4월14일부터 11월8일까지 자동화된 웹크롤링 공격 도구를 이용해 대규모 정보를 유출했다. 이 과정에서 총 2313개 IP를 이용했다. 이 정보들을 해외 소재 외부 클라우드 서버로 전송했는지 여부는 확인되지 않았다. A씨는 지난해 11월16일과 25일 두 차례 쿠팡 측에 정보 유출을 알리는 e메일을 보내기도 했다. 조사단은 쿠팡의 정보보호 체계 관리 부실을 유출 사태의 원인으로 꼽았다.



최 실장은 “분명히 관리의 문제”라며 “지능화된 공격으로 보기는 어렵다”고 했다.



A씨는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 후 전자 출입증을 위·변조해 쿠팡 인증체계를 통과했다. 그 결과 정상적인 로그인 절차를 거치지 않고 쿠팡 서비스에 무단 접속할 수 있게 됐다.



쿠팡은 위·변조된 전자 출입증을 활용한 접속을 탐지·차단하지 못했다. 정상적인 발급 절차를 거친 전자 출입증인지 여부를 검증하는 체계가 부실했다.



개발자들이 노트북에 서명키를 저장해 키 유출 및 오남용 위험이 있고 키 이력 관리 체계가 부재한 점도 드러났다. 침해사고 신고 지연, 자료보전 명령 위반 등 법 위반사항도 확인됐다. 조사단은 웹 로그와 애플리케이션 로그 삭제 건을 수사 의뢰한 상태다.



쿠팡이 자체 조사 결과 A씨가 저장한 개인정보 규모가 3000여건이라고 밝힌 데 대해선 “피조사기관의 주장일 뿐”이라고 일축했다.



과기정통부는 조사 결과를 토대로 쿠팡에 재발 방지 대책에 따른 이행계획을 이달 중으로 제출하도록 하고 7월까지 이행 결과를 점검할 계획이다.



쿠팡 모회사인 쿠팡Inc는 이날 오후 입장문을 내고 “민관합동조사단 보고서는 해당 전 직원이 공동현관 출입 코드에 대해 5만건 조회를 수행했다고 기재하면서도 실제로는 단 2609개 계정에 대한 접근에 한정된 것이라는 검증 결과는 누락했다”며 조사단 발표를 공개적으로 반박했다.



A씨가 배송지 목록을 1억4800만여회 조회한 것과 관련해서도 쿠팡은 “스스로 작성한 소프트웨어 프로그램으로 자동조회를 수행한 것”이라며 “해당 데이터가 추가로 제3자에 의해 열람되거나 활용된 정황은 없다”고 밝혔다. 쿠팡Inc가 직접 나서 한국 정부 발표에 반박하는 자료를 낸 것은 미 하원 법사위 출석과 미국 내 집단소송 가능성을 염두에 둔 것으로 보인다.

