전화번호·주소·현관비번 다 털렸다…쿠팡 유출자 1억5천만건 조회

지난해엔 “개인정보 유출 3천건 불과”
배송지 정보에 공동현관 비번도 포함

쿠팡 배송차량. 연합뉴스

(☞한겨레 뉴스레터 H:730 구독하기. 검색창에 ‘한겨레 h730’을 쳐보세요.)

쿠팡 개인정보를 유출한 전 직원이 약 3370만건의 계정 정보를 빼낸 것은 물론, 고객 이름과 전화번호 등이 포함된 배송지 목록을 1억5천만건 가까이 조회한 사실이 확인됐다. 지난해 말 “유출된 개인정보가 3000건에 불과하다”고 발표했던 쿠팡의 해명과 달리 천문학적인 피해 규모가 드러난 셈이다.

민관합동조사단은 10일 정부서울청사에서 브리핑을 열어 2025년 4월14일부터 11월8일까지 약 7개월간 쿠팡 ‘내 정보 수정 페이지’를 통해 성명과 이메일이 포함된 가입자 정보 3367만3817건이 유출됐다고 밝혔다. 이번 조사 결과는 쿠팡 웹과 애플리케이션 접속 기록(로그)이 보존돼 있는 2024년 11월29일 이후 데이터를 분석한 것이다.

조사단은 유출자가 이 기간 동안 성명·전화번호·배송지 주소·특수문자로 비식별화된 공동현관 비밀번호가 포함된 ‘배송지 목록 페이지’를 약 1억4806만 차례 조회한 사실도 확인했다. 해당 페이지에는 계정 소유자 본인뿐 아니라 가족·지인 등 제3자의 개인정보도 다수 포함돼 있었다. 이밖에 유출자는 공동현관 비밀번호가 포함된 배송지 목록 수정 페이지를 5만474번, 최근 주문한 상품 목록이 포함된 주문 목록 페이지는 10만2682번 조회한 것으로 확인됐다. 주소와 주문 상품 등 예민한 개인 정보가 반복적으로 조회되면서 악용됐을 우려가 커 보이는 정황이다.

이번 사고는 쿠팡 서버의 인증 취약점을 악용한 내부자 범행으로 드러났다. 유출자는 쿠팡 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 뒤, 이를 이용해 정상적인 로그인 절차를 거쳐야 발급되는 ‘전자 출입증’을 위·변조해 쿠팡 인증 체계를 통과한 것으로 조사됐다. 이로 인해 정상적인 로그인 없이도 쿠팡 서비스에 무단 접속이 가능했던 것으로 나타났다.

조사단에 따르면 유출자는 2025년 1월부터 탈취한 서명키와 내부 정보를 활용해 전자 출입증 위·변조를 시도하며 사전 테스트를 진행했다. 이후 같은 해 4월14일부터 자동화된 웹 크롤링 공격 도구를 사용해 대규모 정보 유출을 본격화했으며, 이 과정에서 모두 2313개의 아이피(IP·인터넷상 고유 주소)를 이용했다.

조사 결과, 쿠팡은 동일한 서버 사용자 식별번호가 반복적으로 사용되고, 위·변조된 전자 출입증을 활용한 비정상 접속 행위가 지속됐음에도 이를 탐지·차단하지 못하는 등 정보보호 관리체계가 미흡했던 것으로 확인됐다.

과학기술정보통신부는 이번 조사 결과를 토대로 쿠팡에 재발 방지 대책 이행 계획을 이달까지 제출하도록 하고, 오는 3∼5월 이행 여부를 점검한 뒤 6월부터 두 달 동안 최종 점검에 나설 계획이다. 점검 결과 보완이 필요하다고 판단될 경우, 정보통신망법 제48조의4에 따라 시정조치를 명령할 방침이다.

선담은 기자 sun@hani.co.kr