쿠팡 서버 취약점 노려 로그인 없이도 고객정보 빼냈다

배경훈 과기부총리 겸 과학기술정보통신부 장관 (공동취재) 2025.11.24/뉴스1 ⓒ News1

정부가 쿠팡의 대규모 개인정보 유출 사태와 관련해 공격자가 쿠팡 서버의 취약점을 악용해 정상적 로그인 없이 고객 정보를 빼내갔다고 밝혔다.

정부는 배경훈 부총리 겸 과학기술정보통신부(이하 ‘과기정통부’) 장관 주재로 관계기관이 참석하는 긴급 대책회의를 30일 정부서울청사에서 개최했다. 이 회의에는 박대준 쿠팡 대표이사도 참석했다.

배 부총리는 “지난 19일 쿠팡으로부터 침해사고 신고, 20일 개인정보유출 신고를 받은 이후 현장 조사를 진행 중에 있으며, 조사 과정에서 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 3000만 개 이상 고객 계정의 고객명, 이메일, 배송지 전화번호 및 주소를 유출한 것으로 확인했다”고 밝혔다.

그러면서 “면밀한 사고 조사 및 피해 확산 방지를 위해 금일(30일)부터 민관합동조사단을 가동하고 있으며, 특히 개인정보위는 쿠팡이 개인정보 보호와 관련한 안전조치 의무(접근통제, 접근권한 관리, 암호화 등)를 위반했는지 여부도 집중 조사 중에 있다”고 설명했다.

또 “이번 사고를 악용해 피싱, 스미싱 공격을 통해 개인정보 및 금전 탈취 등 2차 피해가 발생하지 않도록 대국민 보안공지를 진행했고, 금일부터 3개월간을 ‘인터넷상(다크웹 포함) 개인정보 유노출 및 불법유통 모니터링 강화 기간’으로 운영한다”고 덧붙였다.

배 부총리는 “국민 여러분께서는 쿠팡을 사칭하는 전화나 문자 등에 각별히 주의하여 2차 피해가 일어나지 않도록 당부드린다”며 “정부는 이번 사고로 인한 국민 여러분의 불편과 심려를 해소할 수 있도록 최선의 노력을 다할 것”이라고 강조했다.송치훈 기자 sch53@donga.com