[종합] 쿠팡 침해사고 전말…‘전자 출입증’ 취약점이 3천만 계정 열었다
조회도 유출이었다…쿠팡 사태가 드러낸 플랫폼 보안의 민낯
){kind=link}
){kind=link}
){kind=link}
정부는 이번 사안을 국내 대형 전자상거래 플랫폼에서 발생한 대규모 침해사고로 보고 지난해 11월 30일 민관합동조사단을 꾸려 피해 현황과 사고 원인을 조사했다고 밝혔다. 과기정통부는 정보통신망법에 따라 침해사고의 원인을 분석하고 재발방지 대책을 마련하는 역할을 맡았고, 개인정보 유출의 최종 규모 확정과 개인정보보호법 위반 여부는 개인정보보호위원회가 조사 중이며, 공격자 규명과 형사적 판단은 경찰 수사로 진행된다고 설명했다.
![[종합] 쿠팡 침해사고 전말…‘전자 출입증’ 취약점이 3천만 계정 열었다 - 산업종합저널 정책](http://pimg3.daara.co.kr/kidd/photo/2026/02/10/thumbs/thumb_520390_1770706081_72.jpg)
조사단이 제시한 유출 규모는 페이지별로 산정 방식이 달랐다. ‘내정보 수정’ 페이지에서는 성명과 이메일이 포함된 이용자 정보 33,673,817건이 유출됐다고 밝혔다. 산정에는 쿠팡의 웹 및 애플리케이션 접속기록 분석이 활용됐다.
반면 배송지 목록 페이지의 경우 성명, 전화번호, 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 화면이 148,056,502회 조회된 것으로 집계됐다. 배송지 목록 수정 페이지는 공동현관 비밀번호가 포함된 형태로 50,474회 조회됐고, 최근 주문 상품 목록이 포함된 주문목록 페이지는 102,682회 조회된 것으로 확인됐다.
조사단은 이러한 수치를 접속기록 분석을 통해 도출했다고 설명했다. 속기록에서 조사단은 “조회가 곧 유출을 의미한다”는 입장을 반복해 밝혔으나, 개인정보의 세부 유출 규모는 개인정보보호위원회가 최종 확정할 예정이라고 덧붙였다.
사고 원인으로 정부가 제시한 핵심은 ‘이용자 인증 취약점 악용’과 ‘서명키 관리 부실’이다. 조사단은 공격자가 정상적인 로그인 절차 없이 이용자 계정에 접속해 정보를 무단 유출했으며, 이 과정에서 ‘전자 출입증’으로 표현된 인증 토큰을 위·변조해 인증체계를 통과했다고 밝혔다.
조사단은 관문 서버에서 토큰 위·변조 여부를 검증하는 체계가 미흡했고, 모의해킹을 통해 파악된 취약점 개선도 충분히 이뤄지지 않았다고 지적했다. 또 공격자가 인증 시스템 개발자였음에도 퇴사 이후 서명키를 즉시 갱신하지 않은 채 시스템이 운영됐다는 점도 문제로 제시했다.
공격은 2025년 4월 14일부터 11월 8일까지 이어진 것으로 확인됐으며, 자동화된 웹크롤링 도구가 사용됐다. 이 과정에서 총 2,313개의 IP가 활용됐다고 조사단은 밝혔다. 포렌식 분석 결과 공격자 저장장치에서는 위·변조된 전자 출입증과 쿠팡 이용자 고유식별번호 등이 확인됐다.
또한 재직 중인 개발자 노트북에서는 서명키를 키 관리시스템이 아닌 개인 노트북에 저장한 정황이 확인됐다. 공격 스크립트에는 해외 소재 클라우드 서버로 전송할 수 있는 기능이 포함돼 있었으나, 실제 전송 여부는 관련 기록이 남아 있지 않아 확인할 수 없다고 조사단은 설명했다.
정부 조치의 직접적 쟁점은 ‘신고 지연’과 ‘자료보전 명령 위반’이다. 과기정통부는 쿠팡이 침해사고를 인지한 시점인 2025년 11월 17일 16시부터 24시간이 지난 뒤인 2025년 11월 19일 21시 35분에 한국인터넷진흥원에 신고했다고 밝혔다. 이는 정보통신망법상 24시간 이내 신고 의무를 위반한 것으로, 과태료 부과 대상이라고 설명했다.
또 과기정통부는 2025년 11월 19일 22시 34분 쿠팡에 자료보전 명령을 내렸으나, 이후에도 웹 접속기록 약 5개월치(2024년 7~11월)와 애플리케이션 접속기록 일부(2025년 5월 23일~6월 2일)가 삭제돼 조사에 제한이 발생했다고 밝혔다. 이에 따라 자료보전 명령 위반과 관련해 수사기관에 수사를 의뢰했다고 덧붙였다.
향후 전개는 과기정통부의 이행점검과 개인정보보호위원회의 유출 규모 확정이라는 두 갈래로 이어질 전망이다. 과기정통부는 쿠팡에 재발방지 대책에 따른 이행계획을 2월 중 제출하도록 하고, 3~5월 이행 여부를 점검한 뒤 6~7월 최종 점검을 진행하겠다고 밝혔다. 점검 결과 보완이 필요할 경우 정보통신망법에 따라 시정조치를 명령할 수 있다고 설명했다.
동시에 개인정보보호위원회는 개인정보 유출 규모와 개인정보보호법 위반 여부를 별도로 확정할 예정이다. 배송지 목록처럼 페이지 조회 횟수로 제시된 정보에 대해 개인정보 항목 수가 어떻게 산정될지, 계정 소유자 외 제3자 정보가 포함된 경우 법적 책임이 어떻게 정리될지가 후속 쟁점으로 남아 있다.
기사 정정 / 반론
저작권자(c)산업종합저널. 무단전재-재배포금지
관련뉴스
많이 본 뉴스
[심층기획] 인간의 형상에 지능을 심다… 휴머노이드, 산업의 ‘라스트 마일’을 뚫다
인간의 실루엣을 닮은 강철의 존재들이 실험실의 문을 열고 거친 산업 현장의 최전선으로 쏟아져 나오고 있다. 공상과학의 전유물이었던 휴머노이드 로봇은 인공지능(AI)이라는 두뇌와 정교한 센서라는 감각 기관을 장착하며 이제 산업 혁신의 실질적인 동력으로 거듭나는 중이다. 2026년 현재,
[이슈 기획] AI가 흔드는 반도체 제조, 누가 살아남을까
AI 시대, 미세공정만으론 버티기 어려운 구도 AI 수요 확대는 반도체 제조의 설계와 생산 방식을 동시에 바꾸고 있다. 2010년대 후반까지만 해도 전공정과 후공정이 비교적 분리된 분업 구조를 유지했지만, 이제는 칩 성능을 끌어올리기 위해 공정 전 단계가 긴밀하게 연결되는 방향으로 이동하고
[이슈기획] "기계가 스스로 고장 막는다"… 2025년 덮친 AI 스마트 공장 혁명
2025년 대한민국을 비롯한 글로벌 제조 생태계가 인공지능(AI)과 머신러닝 엔진을 장착하고 완전히 새로운 진화의 단계로 접어들었다. 사람의 개입 없이 기계가 실시간으로 소통하며 불량률을 통제하고 멈춤 없는 생산 라인을 가동하는 궁극의 스마트 공장 시대가 닻을 올렸다. 사물인터넷 융
[기획] 한미 FTA 무관세 체제 종료…15% 상호관세, 산업계 ‘직격탄’
한미 자유무역협정(FTA)이 사실상 무력화됐다. 이달부터 미국이 한국산 수입품에 일괄 15% 상호관세를 도입하면서, 2012년 발효 이후 지속돼온 ‘무관세 프리미엄’ 체제는 막을 내렸다. 자동차, 철강, 기계 등 주력 수출 업종은 즉각적인 영향을 받고 있으며, 산업계는 현지화 확대와 외교적 대응을
[기획] ‘신중 속 선택적 확장’…2026년 기업 투자·경영 전략의 두 얼굴
2026년을 맞이한 한국 기업들은 여전히 긴 터널을 지나고 있다. 고환율, 고금리, 글로벌 통상 리스크 등 대외 불확실성이 지속되는 가운데, 기업들은 ‘확장’보다는 ‘유지’, ‘보수’보다는 ‘선택적 전진’을 택했다. 그러나 모든 기업이 움츠러든 것은 아니다. 산업별·기업규모별로 온도차가