쿠팡 "개인정보 유출 3000개 계정" 주장…전문가 "안심 이르다"

윤주영 기자 2025. 12. 25. 18:44
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
"다크웹서 비싸게 팔리는데 굳이 1만분의 1 탈취?" 납득 안가"
외부 유출 없다지만 로그 범위 설명 필요…과기부 "일방적 주장"

쿠팡이 25일 대규모의 고객 개인 정보를 유출한 전직 직원을 특정하고, 정보 유출에 사용된 모든 장치를 회수했다. 이 과정에서 외부 유출 정황은 없는 것으로 파악했다고 밝혔다. 이날 쿠팡에 따르면 개인정보 유출자인 전직 직원 1명은 탈취한 내부 보안 키를 이용해 약 3300만 명의 고객 계정에 접근했으며 이 중 이름·이메일·전화번호·주소·일부 주문 정보 등 제한적인 정보만 약 3000개 계정분을 저장했다고 밝혔다. 사진은 이날 서울 중구 쿠팡 물류센터 모습. 2025.12.25/뉴스1 ⓒ News1 김명섭 기자

쿠팡이 25일 대규모의 고객 개인 정보를 유출한 전직 직원을 특정하고, 정보 유출에 사용된 모든 장치를 회수했다. 이 과정에서 외부 유출 정황은 없는 것으로 파악했다고 밝혔다. 이날 쿠팡에 따르면 개인정보 유출자인 전직 직원 1명은 탈취한 내부 보안 키를 이용해 약 3300만 명의 고객 계정에 접근했으며 이 중 이름·이메일·전화번호·주소·일부 주문 정보 등 제한적인 정보만 약 3000개 계정분을 저장했다고 밝혔다. 사진은 이날 서울 중구 쿠팡 물류센터 모습. 2025.12.25/뉴스1 ⓒ News1 김명섭 기자

(서울=뉴스1) 윤주영 기자 = 대규모 개인정보 유출을 허용한 쿠팡이 실제로는 약 3000개의 고객 계정만 내부자(전 직원)에 의해 반출됐다고 25일 주장했다.

이에 대해 보안업계에서는 "주장이 사실이라면 생각보다 피해는 크지 않을 수 있다"면서도 "보안당국에 의해 객관적으로 재검증되기 전까진 안심하기 이르다"고 지적했다.

쿠팡에 따르면 전 직원은 약 3370만 개의 고객 데이터베이스(DB)에 접근했지만, 이 중 1만 분의 1에 해당하는 정보만을 빼돌렸다. 이름·이메일·전화번호·주소·일부 주문 정보 등 제한적인 정보만을 가져갔으며, △결제 정보 △로그인 관련 정보 △개인통관번호에 접근한 흔적은 없었다고 한다.

또 쿠팡이 확보한 전 직원의 진술에 따르면 본인의 노트북·데스크톱 등 기기에만 빼돌린 정보를 저장했고 외부로 전송하지는 않았다고 한다. 다크웹 거래를 통한 무차별 공격까지는 일어나지 않을 수도 있다는 의미다.

다만 보안업계에서는 문제의 직원이 굳이 1만 분의 1에 해당하는 정보만 빼돌린 게 납득이 가지 않는다고 지적한다.

박기웅 세종대 정보보호학과 교수는 "2011년 싸이월드에서 유출된 3500만여 건의 개인정보(ID·이름·전화번호·이메일 주소 및 비밀번호)가 지금도 다크웹에서 약 300만 원에 팔린다"며 "국민 상당수가 쓰는 쿠팡의 고객 정보 역시 값어치가 클 텐데, 굳이 일부만 가져갔다는 게 이해되지 않는다"고 의문을 나타냈다.

또 현재까지 파악된 내용으로만 보면, 확보된 정보를 바로 금융 범죄에 활용하긴 어렵다고 전문가들은 분석한다. 계정 비밀번호가 유출된 게 아니라면, 비밀번호를 다른 서비스에 무차별 대입해 권한을 탈취하는 '크리덴셜 스터핑'도 시도하긴 어렵다.

다만 문자 기반 피싱(스미싱)을 통한 악성 애플리케이션(앱) 설치 유도 등 2차 피해는 일어날 수 있다는 설명이다. 사용자가 악성 앱을 내려받고 민감정보까지 입력할 경우, 휴대전화 단말 권한이 탈취되거나 금융 범죄에 노출될 수 있다. 또 여러 채널서 확보된 개인 정보와 조합해 지능형 지속 공격(APT) 캠페인을 시도할 수 있다는 관측도 나왔다.

박 교수는 "주소가 유출된 것도 우려할 만한 대목이다. 피해자가 쉽사리 바꿀 수 없는 정보기 때문"이라며 "공격자가 다른 채널에서 확보된 개인정보와 주소를 결합한다면, 기관 종사자 등을 더 쉽게 현혹할 수 있는 피싱 공격도 충분히 시도할 수 있다"고 우려했다.

전 직원이 외부로 유출하지 않았다는 주장의 경우 "설명이 불충분하다"는 게 지배적 시각이다. 맨디언트·팔로알토 네트웍스·언스트앤영 등 유수의 글로벌 보안업체에 조사를 의뢰했다지만, 구체적으로 어떤 범위의 로그를 조사했는지 공개해야 판단이 가능하단 것이다.

황석진 동국대 국제정보보호대학원 교수는 "문제의 직원이 가상사설망(VPN), 프록시 서버 등을 활용해 외부와 은밀하게 소통했을 수 있다. 이 경우 본인 IP로 통신한 것은 숨길 수 있다"며 "익명 네트워크 툴인 '토르' 등을 활용해 다크웹에 접속했는지도 따져봐야 한다"고 꼬집었다.

염흥열 순천향대 정보보호학과 교수는 "조사를 수행한 외부 보안업체들의 업력이 상당한 만큼 회사가 근거 없는 주장을 하지는 않았을 것 같다. 고객사를 두둔하기 위해 거짓 증언을 하는 건 보안기업으로서의 신뢰도에 손상이 갈 수 있기 때문"이라면서도 "하지만 과학기술정보통신부 등이 참여한 민관조사단의 객관적인 검증은 필요하다"고 말했다.

한편 쿠팡은 전 직원이 정보 유출에 사용했다는 데스크톱 PC 1대와 맥북 에어 노트북 1대, 그리고 하드디스크 드라이브 4개 등 모든 장치를 회수한 상황이다. 유출자는 증거를 파기하고자 맥북 에어를 파손 후 인근 하천에 투기했지만, 쿠팡이 잠수부를 고용해 이를 회수했다고 한다. 회사가 고용한 보안기업 3사에 따르면 유출자의 진술과 기기의 포렌식 결과는 일치한다고 한다.

민관조사단을 꾸리고 이 사안을 조사 중이던 과학기술정보통신부는 즉각 반발했다.

과기정통부는 이날 "회사가 일방적으로 사안을 알린 것에 강력히 항의했다"며 "정보 유출 종류 및 규모, 유출 경위 등을 면밀히 조사 중이다. 쿠팡이 주장하는 사항은 확인되지 않았다"고 선을 그었다.

legomaster@news1.kr

Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.

뉴스1에서 직접 확인하세요. 해당 언론사로 이동합니다.