2 hours ago
2
인공지능(AI)이 생성한 이미지지난해 쿠팡에서 발생한 역대 최대 규모의 개인정보 유출 사고의 핵심 원인은 내부 통제 실패로 꼽힌다. 허술한 관리 체계는 퇴직자에게 수개월간 서버를 내줬다. 혁신적 사업 모델로 국내 온라인 유통 플랫폼 1위로 올라선 쿠팡이지만 해킹에는 취약했다. 강한 제재뿐 아니라 기업 투자 유인 정책을 동시에 마련해야 한다는 조언이 나오는 이유다.
◇ 개인정보 유출 '역대 최대'
쿠팡의 피해 규모는 계속 커지고 있다. 현재까지 집계된 피해자만 3367만명으로 추산되는데, 정부는 복수의 개인정보가 담긴 배송목록 1억4806건도 탈취돼 최종 피해자 규모가 더 늘어날 것으로 예상했다.
쿠팡 정보보호 최고책임자(CISO)가 침해 사고를 인지한 건 지난해 11월17일 오후 4시다. 이때부터 24시간 이내 한국인터넷진흥원(KISA)에 신고해야 하지만 실제 신고는 이틀 뒤인 19일 오후 9시35분에야 이뤄졌다.
이튿날 쿠팡은 피해 규모를 약 4500명의 개인정보라고 발표했다. 하지만 과학기술정보통신부 주도로 구성된 민관합동조사단이 가동되기 하루 전인 11월 29일 피해자 규모는 3370만명으로 정정됐다.
이후 쿠팡은 한 차례 더 피해 결과를 정정 발표했다. 지난해 12월 25일 유출자가 3000건의 정보만 저장했다며 2차 피해가 없다는 자체 조사 결과를 내놨다.
하지만 조사단은 이번 결과 발표에서 확정 피해자를 3367만명으로 보고 쿠팡 비가입자를 포함한 추가 피해자가 있을 것으로 예상했다. 내 정보 수정페이지 3367만건뿐만 아니라 배송지 목록 1억4806만건에 대한 정보가 유출되어서다. 배송지 목록은 최대 20개의 정보를 담고 있다.
최우혁 과기정통부 정보보호네트워크정책실장은 “배송지 목록 페이지에는 계정 소유자 본인 외에도 가족·친구 등 제3자의 성명, 전화번호, 배송지 주소 등 정보가 다수 포함돼 있었다”고 말했다.
쿠팡 정보유출 규모 분석결과. 자료=과기정통부◇ 범인 '전직 쿠팡 직원'…“계획적 소행”
이번 사고는 전직 직원 소행이라는 점에서 기업의 관리 미흡이라는 지적을 피할 수 없다.
해커는 쿠팡 재직 시절 발급받은 '서명키'를 활용, 정상적인 로그인 없이 위·변조 전자출입증(토큰)을 발급받아 시스템에 접속해 개인정보를 탈취했다.
토큰은 로그인 이후 서버가 발급하는 인증 수단으로, 이용자의 접속 요청이 정상적인지 확인하는 역할을 한다. 이 토큰에는 위·변조 여부 검증을 위한 디지털 서명이 포함되며, 해당 서명을 생성하는 암호화 키가 서명키다.
해커는 이 서명키를 탈취해 쿠팡 인증 체계를 무력화한 것이다. 서명키를 개인 PC 저장을 금지한 규정이 실제 작동하지 않았고, 퇴직자가 사용하던 서명키의 접속 권한을 제한하지 않은 것이 핵심 문제다.
이러한 문제는 상당 기간 이어져 왔던 것으로 조사됐다. 조사단은 업무수행 방식을 확인하고자 현직 담당자의 PC를 포렌식한 결과, 해커와 동일하게 서명키를 저장한 흔적을 확인할 수 있었다. 서명키는 규정에 따라 '키 관리 시스템'에서만 보관해야 하는데 직원들이 이를 준수하지 않아 왔다는 설명이다.
해커는 이러한 허점을 사전에 인지했고 재직 시절이던 지난해 1월 5일부터 20일까지 공격 테스트를 진행했다. 이번 침해사고가 계획된 범행 행위라는 것이다.
2차 안전장치가 없었던 점도 문제로 꼽혔다. 정상 발급 절차를 거치지 않은 전자출입증을 탐지·차단하는 체계가 없었고, 해커가 동일한 서버 사용자 식별번호를 5개월간 사용하며 정보를 내려받았는데도 탐지·차단하지 못했다.
권헌영 고려대 교수는 “쿠팡 침해 사고는 혁신적 서비스와 성장에 집중하는 과정에서 보안 관리가 상대적으로 소홀해졌던 구조적 문제가 드러난 사례”라며 “보안 사고 원인은 외부 공격, 내부 관리, 단순 실수 등 복합적인 만큼 체계를 갖추는데 상당한 시간과 투자가 필요하다”고 말했다.
◇개인정보위·경찰, 추가 조사
쿠팡 침해 사고는 과기정통부뿐 아니라 개인정보보호위원회, 경찰청 등이 수사한다.
쿠팡은 과기정통부가 정보통신망법에 근거해 요청한 재발방지 대책을 따라야 한다. 이달 중 이행 계획을 제출하고 5월까지 보완을 완료해야 한다. 이후 7월까지 과기정통부로부터 점검을 받게 된다.
과기정통부는 “이번 조사에서 정보보호 및 개인정보보호 관리체계 인증(ISMS) 인증 기준에 미달하는 부분도 확인됐다”면서 “시정명령을 이행하지 않을 시 인증을 취소한다”고 밝혔다.
구체적 개인정보 피해 규모는 뒤따를 개인정보보호위원회가 확정 발표할 예정이다. 피해 규모, 과실 정도 등을 종합적으로 고려해 과징금도 부과한다. 현재 법 기준으로는 최대 매출의 3%까지 적용이 가능하다. 지난해 KT 침해 사고를 미뤄보면 2개월 안팎으로 조사 결과가 나올 것으로 보인다.
경찰청은 해커 체포 수사뿐 아니라 쿠팡 침해사고 증거 인멸 의혹와 임원들의 국회 청문회 위증 혐의 등을 조사하고 있다.
쿠팡은 이날 성명을 내고 “공격자의 페이지 조회수가 정보 유출 규모를 의미하는 건 아니다”면서 “실제 데이터가 해외 클라우드로 전송이 이루어졌다는 증거는 없는 것으로 파악하고 있다”고 밝혔다.
쿠팡 침해사고 일지박진형 기자 jin@etnews.com
![[기획] 양자컴퓨터가 '코인' 암호도 뚫는다던데... 진짜?](https://it.donga.com/media/__sized__/images/2026/2/10/6c210f134d544ceb-thumbnail-960x540-70.jpg)
![[자동차와 法] ADAS가 사고 내고 책임은 사람이 진다...과실비율의 사각지대](https://it.donga.com/media/__sized__/images/2026/2/10/416b3147710f4be7-thumbnail-960x540-70.jpg)
![[컨콜종합] 1600억원 벌어들인 '아이온2'…엔씨소프트 자존심 살렸다](https://image.inews24.com/v1/70c6f9900ae721.jpg)
![이통3사 영업익 4조 회복…해킹 직격탄 SKT 주춤, KT·LGU+ 역대급[종합]](https://image.inews24.com/v1/a4f4265e5435cd.jpg)
English (US) · 