쿠팡 개인정보 유출 ‘3천367만여 건’… 정부 “단순 조회도 명백한 유출” 정부 “인증·키 관리 붕괴가 사고 원인… 늑장 신고·로그 삭제로 수사 의뢰” 정부가 국내 최대 이커머스 플랫폼 쿠팡의 대규모 개인정보 유출 사고 조사 결과를 발표하며, 이번 사건의 본질이 외부 해킹이 아닌 내부 관리 부실에 있음을 공식 확인했다.과학기술정보통신부와 한국인터넷진흥원(KISA)으로 구성된 민관합동조사단은 10일 브리핑을 통해 지능적 공격이 아닌 허술한 인증·키 관리 체계가 사고의 직접 원인이라고 밝혔다. 최우혁 과기정통부 정보보호네트워크정책실장은 “이번 사건은 지능화된 해킹 공격으로 보기 어렵다”며 “인증 체계와 서명키 관리 시스템이 제대로 작동하지 않은 명백한 관리의 문제”라고 꼬집었다.조사 결과, 유출 규모는 ▲내 정보 수정 페이지(성명·이메일) 3천367만여 건 ▲배송지 목록 페이지(성명·전화번호·주소 등) 1억 4천만여 회 조회 ▲주문 목록 페이지 10만여 회 조회 등으로 집계됐다. 특히 배송지 목록은 1회 조회 시 가족·지인의 주소까지 최대 20여 건의 정보가 동시에 노출될 수 있어 실제 피해 규모는 더 클 것으로 보인다.“조회도 유출”… 정부, 개인정보 개념 재확인정부는 ‘조회’와 ‘유출’을 구분해 표기한 것이 사태 축소로 비칠 수 있다는 지적에 대해 “조회되는 순간 개인정보는 통제권을 벗어나며, 이는 명백한 유출”이라고 선을 그었다.최 실장은 “조회 즉시 제3자가 알 수 있는 상태가 된다”고 설명했고, 이동근 민관합동조사단 부단장(KISA 본부장)도 “웹 크롤링으로 페이지를 긁어간 이상 조회 자체가 유출”이라고 밝혔다. 이어 조회 수 1억 4천만 회는 ‘페이지 접근 횟수’이며, 세부적인 개인정보 건수는 페이지마다 상이하기 때문에, 개인정보보호위원회가 최종 산정할 예정이라고 설명했다.“전(前) 직원, 2천313개 IP 동원해 자동화 공격”… 해외 전송 기능도 발견공격 수법에 대한 구체적인 정황도 공개됐다. 조사단은 쿠팡 전(前) 직원이 퇴사 후에도 유효한 ‘전자 출입증(접근 토큰)’을 위·변조해 정상적인 로그인 절차를 우회했다고 밝혔다.이 부단장은 “공격자가 작성한 스크립트를 포렌식한 결과, 정보를 수집해 외부 클라우드 서버로 전송하는 기능이 포함된 것을 확인했다”고 말했다. 다만 그는 “로그 기록이 일부 삭제돼 실제 전송이 이뤄졌는지에 대한 직접적인 기록은 남아있지 않다”고 부연했다. 공격자는 추적을 피하기 위해 총 2천313개의 IP를 사용한 것으로 드러났다.쿠팡, 보안 관리 총체적 부실… “개발자 노트북에 마스터키 방치”쿠팡의 허술한 보안 관리 체계도 도마 위에 올랐다. 조사단은 쿠팡이 중요 보안 키(Key)인 서명키를 개발자 개인 노트북에 저장하는 등 관리가 미흡했다고 밝혔다.임정규 민관합동조사단장은 “현장 조사 결과 현재 재직 중인 개발자의 노트북에서도 서명키가 하드코딩된 상태로 저장된 사실을 확인했다”며 “이는 키 관리 시스템에만 보관해야 한다는 내부 규정을 위반한 것”이라고 설명했다.늑장 신고·로그 삭제 논란… “쿠팡 주장은 주장일 뿐”당초 쿠팡이 신고한 4,500여 건은 정부가 확인한 실제 피해 규모(3,367만여 건)의 0.01% 수준에 불과했다. 여기에 더해 자료 보전 명령 이후 접속 로그를 삭제한 정황까지 확인되면서 조사 방해 논란도 불거졌다.최 실장은 “피조사기관의 주장은 참고 사항일 뿐, 조사단은 서버 전수조사를 통해 객관적 수치를 확인했다”며 쿠팡의 해명을 일축했다.과기정통부는 24시간 내 신고 의무 위반에 대해 과태료를 부과하고, 로그 삭제 혐의에 대해서는 경찰 수사를 의뢰할 방침이다. 최 실장은 “국내 최대 전자상거래 플랫폼에서 발생한 중대 침해 사고”라며 “국내외 기업 구분 없이 동일한 기준으로 조사했다”고 강조했다.

쿠팡 개인정보 유출 ‘3천367만여 건’… 정부 “단순 조회도 명백한 유출”

정부 “인증·키 관리 붕괴가 사고 원인… 늑장 신고·로그 삭제로 수사 의뢰”

기사입력 2026-02-10 17:48:00

[산업일보]
정부가 국내 최대 이커머스 플랫폼 쿠팡의 대규모 개인정보 유출 사고 조사 결과를 발표하며, 이번 사건의 본질이 외부 해킹이 아닌 내부 관리 부실에 있음을 공식 확인했다.

최우혁 과기정통부 정보보호네트워크정책실장이 10일 서울정부청사에서 쿠팡 침해사고 민관합동조사단 조사결과를 발표하고 있다.

과학기술정보통신부와 한국인터넷진흥원(KISA)으로 구성된 민관합동조사단은 10일 브리핑을 통해 지능적 공격이 아닌 허술한 인증·키 관리 체계가 사고의 직접 원인이라고 밝혔다. 최우혁 과기정통부 정보보호네트워크정책실장은 “이번 사건은 지능화된 해킹 공격으로 보기 어렵다”며 “인증 체계와 서명키 관리 시스템이 제대로 작동하지 않은 명백한 관리의 문제”라고 꼬집었다.

조사 결과, 유출 규모는 ▲내 정보 수정 페이지(성명·이메일) 3천367만여 건 ▲배송지 목록 페이지(성명·전화번호·주소 등) 1억 4천만여 회 조회 ▲주문 목록 페이지 10만여 회 조회 등으로 집계됐다. 특히 배송지 목록은 1회 조회 시 가족·지인의 주소까지 최대 20여 건의 정보가 동시에 노출될 수 있어 실제 피해 규모는 더 클 것으로 보인다.

“조회도 유출”… 정부, 개인정보 개념 재확인

정부는 ‘조회’와 ‘유출’을 구분해 표기한 것이 사태 축소로 비칠 수 있다는 지적에 대해 “조회되는 순간 개인정보는 통제권을 벗어나며, 이는 명백한 유출”이라고 선을 그었다.

최 실장은 “조회 즉시 제3자가 알 수 있는 상태가 된다”고 설명했고, 이동근 민관합동조사단 부단장(KISA 본부장)도 “웹 크롤링으로 페이지를 긁어간 이상 조회 자체가 유출”이라고 밝혔다. 이어 조회 수 1억 4천만 회는 ‘페이지 접근 횟수’이며, 세부적인 개인정보 건수는 페이지마다 상이하기 때문에, 개인정보보호위원회가 최종 산정할 예정이라고 설명했다.

“전(前) 직원, 2천313개 IP 동원해 자동화 공격”… 해외 전송 기능도 발견

공격 수법에 대한 구체적인 정황도 공개됐다. 조사단은 쿠팡 전(前) 직원이 퇴사 후에도 유효한 ‘전자 출입증(접근 토큰)’을 위·변조해 정상적인 로그인 절차를 우회했다고 밝혔다.

이 부단장은 “공격자가 작성한 스크립트를 포렌식한 결과, 정보를 수집해 외부 클라우드 서버로 전송하는 기능이 포함된 것을 확인했다”고 말했다. 다만 그는 “로그 기록이 일부 삭제돼 실제 전송이 이뤄졌는지에 대한 직접적인 기록은 남아있지 않다”고 부연했다. 공격자는 추적을 피하기 위해 총 2천313개의 IP를 사용한 것으로 드러났다.

쿠팡, 보안 관리 총체적 부실… “개발자 노트북에 마스터키 방치”

쿠팡의 허술한 보안 관리 체계도 도마 위에 올랐다. 조사단은 쿠팡이 중요 보안 키(Key)인 서명키를 개발자 개인 노트북에 저장하는 등 관리가 미흡했다고 밝혔다.

임정규 민관합동조사단장은 “현장 조사 결과 현재 재직 중인 개발자의 노트북에서도 서명키가 하드코딩된 상태로 저장된 사실을 확인했다”며 “이는 키 관리 시스템에만 보관해야 한다는 내부 규정을 위반한 것”이라고 설명했다.

늑장 신고·로그 삭제 논란… “쿠팡 주장은 주장일 뿐”

당초 쿠팡이 신고한 4,500여 건은 정부가 확인한 실제 피해 규모(3,367만여 건)의 0.01% 수준에 불과했다. 여기에 더해 자료 보전 명령 이후 접속 로그를 삭제한 정황까지 확인되면서 조사 방해 논란도 불거졌다.

최 실장은 “피조사기관의 주장은 참고 사항일 뿐, 조사단은 서버 전수조사를 통해 객관적 수치를 확인했다”며 쿠팡의 해명을 일축했다.

과기정통부는 24시간 내 신고 의무 위반에 대해 과태료를 부과하고, 로그 삭제 혐의에 대해서는 경찰 수사를 의뢰할 방침이다. 최 실장은 “국내 최대 전자상거래 플랫폼에서 발생한 중대 침해 사고”라며 “국내외 기업 구분 없이 동일한 기준으로 조사했다”고 강조했다.

뒤로 기사목록

산업일보 영상뉴스 모아보기

산업일보 페이스북 바로가기

임지원 기자 jnews@kidd.co.kr

이 기자의 다른기사 보기 >