[26.02.10] 쿠팡 개인정보 유출 3,367만명…정부 보안 부실·신고 지연 제재

쿠팡 개인정보 유출 3,367만명 확인…배송지 조회 1억4,800만건

📍정부 합동조사 결과 발표…인증 취약점 악용, 24시간 신고 의무 위반 과태료

쿠팡 전 직원이 연루된 개인정보 유출 사고에서 실제 유출된 이용자 정보가 3,367만건에 달하고 배송지 주소 등 개인정보 조회는 1억4,800만건에 이르는 것으로 확인됐다. 정부는 인증 취약점을 악용한 대규모 침해 사고로 판단하고 쿠팡의 보안 관리 부실과 신고 지연에 대해 행정 조치를 예고했다.

---

🔹 민관 합동조사…대규모 개인정보 유출 확인
과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해 사고에 대한 민관 합동 조사 결과를 잠정 발표했다.

조사단은 지난해 11월 29일부터 쿠팡의 웹 접속기록(로그) 25.6TB, 총 6,642억 건의 데이터를 분석했다. 그 결과 ‘내 정보 수정 페이지’에서 이용자 이름과 이메일 약 3,367만건이 유출된 사실을 확인했다.

조사에는 범행에 사용된 것으로 추정되는 공격자의 PC 저장장치 4대와 현재 재직 중인 쿠팡 개발자 노트북에 대한 포렌식 분석도 포함됐다.

🔹 배송지·전화번호·공동현관 비밀번호까지 조회
‘배송지 목록 페이지’에서는 이름, 전화번호, 배송지 주소, 공동현관 비밀번호(특수문자 비식별화)가 포함된 개인정보가 1억4,800만여 차례 조회된 것으로 파악됐다.

해당 정보에는 계정 소유자뿐 아니라 가족·지인 등 제3자의 이름과 연락처, 주소도 포함돼 실제 피해 대상 범위가 확대될 가능성이 제기된다.

2차 범죄 우려가 컸던 공동현관 비밀번호는 ‘배송지 목록 수정 페이지’를 통해 약 5만 건 조회됐으며, 최근 주문 상품 목록도 약 10만 차례 조회된 것으로 조사됐다.

또 조사 결과에는 쿠팡이 별도로 밝힌 16만5천여 계정 유출 건은 포함되지 않은 것으로 알려졌다. 정확한 최종 유출 규모는 향후 개인정보보호위원회가 확정 발표할 예정이다.

🔹 범행 경위…인증 취약점 발견 후 자동화 공격
조사단에 따르면 중국 국적 전 직원은 재직 당시 이용자 인증 시스템 설계를 담당했던 개발자로, 지난해 1월 서버 인증 취약점을 발견하고 공격 가능성을 시험했다.

이후 지난해 4월 14일부터 자동화 웹 크롤링 공격 도구를 이용해 개인정보를 본격적으로 수집했으며 11월 8일까지 유출 행위를 지속했다. 수집된 정보가 외부 클라우드로 전송됐는지는 확인되지 않았다.

해당 직원은 쿠팡 측에 이메일을 보내 “1억2천만 개 이상의 배송 주소, 5억6천만 개 이상의 주문 데이터, 3,300만 개 이상의 이메일 데이터를 확인했다”고 주장하기도 했다.

🔹 쿠팡 보안 관리 부실 지적
조사단은 이용자 인증 취약점을 악용해 정상 로그인 없이 계정 접근이 가능했음에도 쿠팡이 장기간 이를 인지하지 못했다고 지적했다.

또 과거 모의 해킹에서 정상 절차 없이 발급된 전자 출입증(토큰)이 공격에 악용될 수 있다는 사실이 확인됐지만 쿠팡이 이를 개선하지 않았다고 밝혔다.

정부는 인증키 발급·사용 이력 관리 강화, 비정상 접속 탐지 모니터링 강화, 자체 보안규정 준수 정기 점검을 요구했다.

🔹 신고 지연·자료 삭제…행정처분 및 수사 의뢰
쿠팡은 지난해 11월 17일 오후 4시 사고를 최고정보보호책임자(CISO)에게 보고했지만, 당국에는 19일 오후 9시 35분 신고해 24시간 내 신고 규정을 위반했다. 정부는 과태료 처분을 예고했다.

또 과기정통부의 자료 보전 명령을 따르지 않아 2024년 7월 이후 약 5개월 분량의 웹 접속기록과 지난해 5월 23일~6월 2일 애플리케이션 접속 기록이 삭제된 사실에 대해 수사를 의뢰했다.

정부는 재발 방지 대책 이행계획을 이달 중 제출받고 올해 7월까지 이행 여부를 점검할 예정이다.

1줄 요약 : 쿠팡 전 직원의 인증 취약점 악용으로 3,367만명 개인정보가 유출되고 배송지 정보 조회는 1억4,800만건에 달한 것으로 확인됐다.