쿠팡 고객 ‘공동현관 비번’도 털렸다…배송정보 1억4800만회 조회

  • 동아일보

  • 입력 2026년 2월 10일 14시 00분

글자크기 설정

민관합동조사단 결과 발표
정보유출 계정 총 3367만개 확인
배송지 목록에 이름·전화번호·주소 포함
공동현관 비번 노출된 목록도 5만회 조회

최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 ‘쿠팡 침해사고 민관합동 조사단 조사결과’를 발표하고 있다. 2026.2.10. 뉴스1
최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 ‘쿠팡 침해사고 민관합동 조사단 조사결과’를 발표하고 있다. 2026.2.10. 뉴스1
최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 ‘쿠팡 침해사고 민관합동 조사단 조사결과’를 발표하고 있다. 2026.2.10/뉴스1
최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 ‘쿠팡 침해사고 민관합동 조사단 조사결과’를 발표하고 있다. 2026.2.10/뉴스1


쿠팡의 개인정보 침해사고 조사 결과 고객의 이름, 전화번호, 주소 등이 포함된 배송지 목록이 1억회 이상 조회된 것으로 확인됐다. 더불어 공동현관 비밀번호가 그대로 노출된 배송목록 수정 페이지도 5만 회 이상 노출된 것으로 나타났다.

과학기술정보통신부는 10일 서울정부청사에서 쿠팡 침해사고에 대한 민관합동조사단의 조사 결과를 발표했다. 다만 이번 결과는 침해사고의 원인과 재발방지 대책에 대한 것으로 개인정보 유출에 대한 처벌은 개인정보보호위원회가, 증거물 분석 등 수사는 경찰청에서 진행하고 있다고 밝혔다.

민관합동조사단은 공격 범위 및 유출 규모 파악을 위해 25.6 테라바이트(TB) 분량의 웹과 애플리케이션 접속기록(로그)을 분석했다. 쿠팡으로부터 제출받은 공격자 PC 저장장치 등에 대한 포렌식 분석도 함께 진행했다. 그 결과 3000만 개 이상의 고객 계정이 유출된 것으로 확인됐다. 앞서 쿠팡이 자체 조사 결과 유출됐다고 밝힌 4500여 개를 훌쩍 넘어서는 규모다.

조사단에 따르면 공격자는 쿠팡에서 정보를 유출했다는 이메일을 지난해 11월 16일, 25일에 각각 두 차례 쿠팡측에 보냈다. 해당 이메일에는 ‘1억2000만 개 이상의 배송 주소 데이터, 5억6000만 개 이상의 주문 데이터, 3300만 개 이상의 이메일 주소 데이터’를 유출했다는 내용이 담겨있었다.

조사단의 조사 결과 공격자는 쿠팡의 내정보 수정 페이지에서 이름과 이메일을, 배송지 목록 페이지에서 이름, 전화번호, 주소, 공동현관 비밀번호 정보 등을 유출한 것으로 확인됐다.
조사단이 확인한 유출 계정은 총 3367만3817개였다.

유출 계정은 3300만 여개지만 공격자가 사용자 계정의 배송지 목록 페이지를 조회한 횟수는 1억4805만6502회인 것으로 나타났다. 배송지 목록 페이지에는 계정 소유자 본인 외에도 가족, 친구 등 제3자의 이름과 전화번호, 배송지 주소 등의 정보도 포함돼 있다. 즉 계정 소유주의 지인 정보까지 유출됐을 가능성이 있다는 의미다.

심지어 공동현관 비밀번호가 암호화돼 있지 않고 그대로 노출된 배송지 목록 수정 페이지도 5만474회가 조회됐다. 최근 주문한 상품 목록이 포함된 주문 목록 페이지는 10만2682회가 조회됐다.

서울시내 한 쿠팡 물류센터에 배송트럭이 주차돼있다. 2025.12.28 ⓒ 뉴스1
서울시내 한 쿠팡 물류센터에 배송트럭이 주차돼있다. 2025.12.28 ⓒ 뉴스1
조사단은 정보유출 경로를 분석한 결과 공격자가 로그인 절차를 밟지 않고, 무단 접속해 개인정보를 유출한 것이라고 확인했다. 아이디와 비밀번호 절차를 거쳐 정상 접근하는 경우 일종의 ‘전자 출입증’을 받는데, 공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취해 전자 출입증을 위변조한 뒤 쿠팡의 인증체계를 통과한 것으로 확인됐다.

이에 따라 정부는 쿠팡이 전자 출입증에 대한 탐지 및 차단 체계를 도입하고, 현재 확인된 보안 취약점에 대한 문제개선 방안을 마련하도록 했다. 이달 내 쿠팡으로부터 대책 이행계획을 받고 6~7월에 이행 여부를 점검한다는 계획이다.

최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 ‘쿠팡 침해사고 민관합동 조사단 조사결과’를 발표하고 있다. 2026.2.10/뉴스1
최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 ‘쿠팡 침해사고 민관합동 조사단 조사결과’를 발표하고 있다. 2026.2.10/뉴스1
정부는 쿠팡이 정보통신망법으로 규정하고 있는 침해사고 인지 후 24시간 내 신고 의무를 위반했다는 점에서 3000만 원 이하의 과태료를 부과할 계획이라고 밝혔다. 쿠팡은 정보보호최고책임자(CISO)가 침해사고를 인지한 지난해 11월 17일 오후 4시로부터 만 이틀 이상이 지난 11월 19일 오후 9시35분에 한국인터넷진흥원(KISA)에 신고했다.

쿠팡이 정부의 정보 보전 명령의 위반한 건에 대해서는 수사기관에 의뢰한 상태다. 과기정통부는 정보통신망법에 따라 쿠팡에 침해사고 원인 분석을 위해 11월 19일 오후 10시 34분에 자료 보전을 명령했으나, 접속기록의 자동 로그 저장 정책을 그대로 유지해 약 5개월 간의 웹 로그 기록이 삭제됐다.

조사단은 웹 접속기록을 기반으로 유출 규모를 산정한 것으로, 향후 개인정보 유출 규모에 대해서는 개인정보보호위원회에서 확정해 발표할 예정이라고 밝혔다. 유출에 따른 과징금 역시 개보위에서 부과할 예정이다.

#쿠팡#개인정보침해#고객정보유출#배송지목록#공동현관비밀번호#민관합동조사단#정보통신망법#전자출입증#보안취약점#과태료부과
최지원 기자 jwchoi@donga.com
© dongA.com All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지

트렌드뉴스

트렌드뉴스

  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0

댓글 0

지금 뜨는 뉴스