공동현관 비번도 털렸다... 쿠팡 '배송지 목록' 1억4천만건 조회도

'쿠팡 개인정보 침해사고' 민관합동조사단 최종 조사결과 발표... "이용자 정보 3367만여건 유출"

[유창재 기자]

▲ 최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 서울 종로구 정부서울청사에서 쿠팡 침해사고 민관합동조사단 조사결과를 브리핑하고 있다. ⓒ 연합뉴스

쿠팡의 이용자들의 개인 정보 3367만여 건이 유출된 것으로 확인됐다. 또 고객의 이름과 전화번호, 주소, 공동현관 비밀번호 등이 포함된 배송지 목록이 1억4805만여 회 조회됐으며, 더불어 공동현관 비밀번호가 그대로 노출된 배송목록 수정 페이지도 5만 회 이상 노출된 것으로 나타났다. 이에 실제 피해 규모는 훨씬 크게 불어날 것으로 보인다.

과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해 사고에 대한 민관합동조사단의 최종 조사 결과를 발표했다. 이번 조사 결과에는 침해사고의 원인 분석과 재발방지 대책 등이 담겼다. 다만 개인정보보호위원회는 세부 개인정보 유출 규모와 법 위반 여부 등을 조사 중에 있으며, 경찰청은 증거물 분석 등 수사를 진행하고 있다고 밝혔다.

조사결과에 따르면 해킹을 벌인 쿠팡 전 직원은 쿠팡에서 관리하는 개인정보 페이지를 광범위하게 무단 조회했다.

최우혁 과기정통부 정보보호네트워크정책실장은 "공격자(쿠팡 전 직원)이 쿠팡에서 유출된 정보의 일부 내용을 이메일 본문에 기재해 2025년 11월 16일, 11월 25일 두 차례 쿠팡 측에 보냈다"면서 "쿠팡의 웹 접속기록을 분석한 결과, 내정보 수정 페이지에서 성명, 이메일이 포함된 이용자 정보 3367만3817건이 유출됐다"고 말했다.

심지어 이용자의 성명, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 배송지 목록을 1억4805만6502회 조회해 개인 정보 또한 유출됐다. 배송지 목록 페이지에는 계정 소유자 본인 외에도 가족, 친구 등 제3자의 성명, 전화번호, 배송지 주소 등 정보가 다수 포함돼 있다.

이뿐만 아니라 해커는 배송지 목록의 수정페이지를 5만474회 조회했고, 이용자가 최근 주문한 상품 목록이 포함된 주문목록 페이지를 10만2682회 조회한 것도 확인됐다. 여기에는 개인의 사생활을 침해할 수 있는 민감한 상품 정보가 포함돼 있다는 설명이다.

▲ 배송지 목록 페이지(예시) ⓒ 과학기술정보통신부

민관합동조사단은 쿠팡에서 제출받은 해커의 개인컴퓨터(PC) 저장 장치와 현재 재직 중인 쿠팡 개발자의 노트북에 대한 포렌식 분석을 병행하는 방식으로 사고 규모를 조사했다. 이번 해킹을 벌인 전 직원은 중국인으로, 재직 당시 시스템 장애 등 백업을 위한 이용자 인증 시스템 설계·개발 업무를 수행한 소트프웨어 개발자였다. 그는 이용자 인증체계와 키 관리체계의 취약점을 인지하고 있었다고 한다.

이 해커는 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 비정상 접속하여 정보를 무단 유출하는 방식을 사용했다. 최 실장은 "공격자(해커)는 재직 당시 관리하던 이용자 인증시스템의 서명키를 탈취한 후 이를 활용해 전자 출입증을 위·변조하여 쿠팡 인증체계를 통과했다"면서 "그 결과 정상적인 로그인 절차를 거치지 않고 쿠팡 서비스에 무단 접속할 수 있게 됐다"고 했다.

또한 해커는 퇴사 후 재직 당시 탈취한 서명키와 내부 정보를 활용해 전자 출입증에 대한 위·변조를 진행했다. 그 후 이를 악용해 정상적인 로그인 절차 없이 쿠팡 인증체계를 통과하면서 본격적인 공격을 위한 사전 테스트를 진행했다. 2025년 4월 14일부터 11월 8일까지 공격적인 공격을 진행하기 이전에 2025년 1월경 공격 흔적도 확인됐다.

최 실장은 "현재 재직 중인 개발자 노트북 포렌식 결과, 서명키를 키 관리시스템에서만 저장해야 함에도 개발자 노트북에서도 저장한 사실을 확인했다"면서 "공격자 PC 저장장치 HDD 2대, SSD 2대 포렌식 결과, 쿠팡에서 사용하고 있는 이용자 고유식별번호와 위·변조한 전자 출입증을 확인할 수 있었다"고 말했다.

▲ 쿠팡의 정보유출 규모 분석결과 ⓒ 과학기술정보통신부

해커의 대규모 정보 유출 단계도 파악됐다. 앞서 사전 테스트를 통해 이용자 계정 접근이 가능한 사실을 확인한 이후 자동화된 웹크롤링 공격 도구를 이용해 대규모 정보를 유출한 것이다. 이 과정에서 모두 2313개의 IP를 이용한 것으로 밝혀졌다.

민관합동조사단은 위·변조 전자 출입증을 이용해 타인의 계정으로 무단 접속한 후 유출한 정보를 해외 클라우드 서버로 전송할 수 있는 기능이 포함되어 있는 것을 확인했지만, 실제 전송이 이루어졌는지 여부는 기록이 남아있지 않아 확인할 수 없었다.

과기정통부는 쿠팡이 법 위반 사항과 관련해 해킹 사실을 인지한 시점부터 24시간 이내에 당국에 신고해야 하지만 이 시점을 어겼기 때문에 정보통신망법에 따른 3000만 원 이하 과태료를 부과할 예정이다. 또 자료보전 명령 위반과 관련해 수사기관에 수사를 의뢰했다.

최 실장은 "침해사고 원인 분석을 위해 2025년 11월 19일 자료보전 명령을 했지만 쿠팡은 자료보전 명령에도 자사 접속기록의 자동 로그 저장 정책을 조정하지 않아, 2024년 7월부터 11월까지 약 5개월의 분량의 웹 접속기록이 삭제됐다"면서 "애플리케이션 접속기록도 2025년 5월 23일부터 6월 2일간의 데이터가 삭제됐다"고 지적했다.

과기정통부는 이번 조사 결과를 토대로 쿠팡에 이달 중으로 재발방지 대책에 따른 이행계획을 제출하도록 하고, 6~7월에 이행 여부를 점검할 계획이다.

▲ 최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 서울 종로구 정부서울청사에서 쿠팡 침해사고 민관합동조사단 조사결과를 브리핑하고 있다. ⓒ 연합뉴스