성명·이메일 3천367만여건 유출…배송지 목록 1.4억여회 조회
위·변조 '전자 출입증' 검증 미흡…쿠팡 서명키 즉각 갱신 안해
(서울=연합인포맥스) 윤영숙 기자 = 쿠팡에서 전직 직원에 의해 3천만여건의 개인정보가 유출된 사실이 공식 확인됐다. 성명, 전화번호, 주소 등이 포함된 배송지 목록 페이지를 1억4천여회 조회한 사실도 드러났다.
과학기술정보통신부는 10일 민관합동조사단 조사 결과를 발표하고, 이번 사고가 이용자 인증체계의 구조적 취약점과 내부 보안 관리 미흡이 복합적으로 작용한 "중대한 침해사고"라고 밝혔다.
◇ 개인정보 3천367만여건 유출…배송지 목록 1억4천여만회 조회
조사 결과, 내 정보 수정 페이지에서 성명과 이메일 3천367만여 건이 유출됐고, 배송지 목록 페이지는 1억4천800만여 회 조회된 것으로 나타났다. 배송지 수정 페이지 5만여 회, 주문목록 페이지 10만여 회 조회도 확인됐다.
배송지 목록에는 계정 소유자뿐 아니라 가족·지인 등 제삼자의 성명, 전화번호, 주소, 공동현관 비밀번호까지 포함돼 있어 피해 범위는 더욱 확대될 가능성이 컸다. 정확한 개인정보 유출 규모는 개인정보보호위원회에서 확정할 예정이다.
이번 조사 결과는 지난해 11월 16일 쿠팡이 이용자로부터 개인정보 유출 관련 의심 이메일을 받았다는 내용이 접수된 이후 거의 3개월 만이다.
쿠팡은 침해사고를 인지한 후 11월 19일에 4천536개 계정의 고객명, 이메일, 주소 등 정보가 유출됐다고 신고했다.
그러나 한국인터넷진흥원(KISA)이 현장 조사를 통해 추가 피해 여부를 파악한 결과 유출 규모는 최초 신고된 4천500여개가 아닌 3천만개 이상임이 확인됐다.
쿠팡은 지난해 12월 25일 단독으로 보도자료를 내고 유출자는 탈취한 보안키를 사용해 고객 계정 3천300만개의 고객 정보에 접근했으나 이중 약 3천개의 고객정보만 저장했다고 주장했다.
또한 고객 정보를 접근 및 탈취하는 데 사용된 모든 장치와 하드디스크 드라이브를 회수·확보했으며 외부 전송은 없었다고 밝혔다. 이후 정부는 쿠팡의 발표는 일방적 주장에 불과하다며 조사 결과를 기다려야 한다고 주장해왔다. 이날 결과는 쿠팡에 대한 민관합동조사단의 최종 결과다.
[출처: 연합뉴스 자료사진]
◇ 공격자, 인증 취약점 악용…쿠팡 검증 절차 미흡
조사 결과, 공격자는 쿠팡 이용자 인증 시스템의 취약점을 악용해 정상적인 로그인 절차 없이 다수의 이용자 계정에 접근한 것으로 드러났다.
공격자는 쿠팡 재직 당시 이용자 인증 시스템을 설계·개발했던 백엔드 개발자로, 퇴사 이후에도 당시 사용하던 인증 관련 서명키를 활용해 '전자 출입증'을 위·변조한 것으로 확인됐다.
쿠팡 서비스는 이용자가 로그인하면 '전자 출입증'을 발급하고, 관문 서버에서 해당 출입증의 유효성을 검증한 뒤 서비스 접근을 허용하는 구조다. 그러나 조사단은 위·변조된 전자 출입증을 식별·차단하는 검증 절차 자체가 존재하지 않았다고 밝혔다. 이로 인해 공격자는 정상 이용자처럼 인증을 통과해 장기간 대규모 정보 유출을 이어갈 수 있었다.
공격자는 2025년 4월부터 11월까지 자동화된 웹 크롤링 도구를 이용해 대규모 정보 수집을 진행했으며, 이 과정에서 총 2천313개의 인터넷 프로토콜(IP)를 활용했다.
조사 과정에서 내부 보안 관리 문제도 다수 드러났다.
조사단은 일부 개발자가 규정과 달리 서명키를 개발자 노트북에 저장해 사용했고, 키 발급·사용 이력 관리 체계도 부재했다고 밝혔다. 또한 공격자는 퇴사 이후에도 인증 시스템 구조와 내부 정보를 활용할 수 있었지만, 이에 대한 대응 체계는 마련돼 있지 않았다.
과기정통부는 이번 사고를 "국내 전자상거래 역사상 최대 규모의 침해사고"로 규정하고, 추가적인 법 위반 여부에 대해 관계기관과 공조해 조사 중이라고 밝혔다. 현재 경찰청은 증거물 분석과 수사를 진행하고 있다.
ysyoon@yna.co.kr
윤영숙
ysyoon@yna.co.kr
금융용어사전
금융용어사전