[속보]“쿠팡 공격자, 배송지 목록 1억4800만번 조회···이름·주소·

[속보]“쿠팡 공격자, 배송지 목록 1억4800만번 조회···이름·주소·공동현관 비밀번호 등 포함”

수정 2026.02.10 18:14

펼치기/접기

노도현 기자

기사 읽기

요약

기사를 재생 중이에요기사 읽기

민관합동조사단 조사 결과 발표

이용자 정보 3367만3817건 유출

정상적 로그인 안 거치고 무단 접속

쿠팡 인증체계·보안 등 미흡 지적

신고 지연·자료보전 명령 위반도

서울 송파구 쿠팡 본사. 성동훈 기자

서울 송파구 쿠팡 본사. 성동훈 기자

쿠팡 개인정보 유출 사태의 공격자가 성명·전화번호·주소 등이 담긴 배송지 목록 페이지를 1억4800만여회 조회하는 등 비정상적인 접근을 통해 이용자 개인정보를 빼낸 것으로 조사됐다. ‘내 정보 수정’ 페이지의 이름·e메일 정보는 3367만건 유출된 것으로 파악됐다. 세부 개인정보 유출 규모는 향후 개인정보보호위원회가 확정할 예정이다.

과학기술정보통신부는 10일 쿠팡 침해사고에 대한 민관합동조사단의 조사 결과를 발표했다. 앞서 쿠팡에서 인증 시스템 개발 업무를 담당하던 중국 국적 전직 직원 A씨가 이용자 개인정보를 대규모로 유출하면서 사태가 터졌다.

조사단에 따르면 공격자는 쿠팡에서 정보를 유출했다는 e메일을 지난해 11월16일과 25일 두 차례 쿠팡 측에 보냈다. 공격자는 1억2000만개 이상의 배송 주소 데이터, 5억6000만개 이상의 주문 데이터, 3300만개 이상의 e메일 주소 데이터를 유출했다고 주장했다.

조사단은 “공격자가 쿠팡의 내정보 수정 페이지의 성명·e메일, 배송지 목록 페이지의 성명·전화번호, 주소·공동현관 비밀번호 정보, 주문 목록 페이지의 이용자가 주문한 상품 정보를 유출한 후 해당 정보 일부를 e메일에 기재해 쿠팡 측에 보낸 것을 확인했다”고 밝혔다.

또한 조사단은 쿠팡 웹 및 애플리케이션 접속기록(로그) 데이터 분석을 통해 내정보 수정, 배송지 목록, 주문 목록 등 페이지에서 이용자 정보가 유출됐음을 확인했다.

내정보 수정 페이지에서는 성명과 e메일이 포함된 이용자 정보 3367만3817건이 유출됐다는 점을 확인했다.

아울러 공격자는 성명, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 담긴 배송지 목록 페이지에 1억4805만6502회 조회해 정보를 유출했다. 배송지 목록 페이지에는 계정 소유자 본인 외에도 가족, 친구 등 제3자의 성명, 전화번호, 배송지 주소 등 정보가 다수 포함돼 있다.

성명, 전화번호, 배송지 주소 외에 공동현관 비밀번호가 포함된 배송지 목록 수정 페이지도 5만474회 조회한 것으로 나타났다. 이용자가 최근 주문한 상품 목록을 보여주는 주문 목록 페이지는 10만2682회 조회했다.

과기정통부 제공

조사단은 “웹 접속기록 등을 기반으로 유출 규모를 산정했다”며 “향후 개인정보 유출 규모에 대해서는 개인정보위에서 확정해 발표할 예정”이라고 말했다.

공격자는 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 비정상적으로 접속해 정보를 무단 유출한 것으로 조사됐다.

정상적으로 이용자가 접속하는 경우 이용자는 로그인 절차를 거쳐 일종의 ‘전자 출입증’을 발급받는다. 쿠팡의 관문서버는 발급받은 전자 출입증이 유효한지 여부를 검증하고, 이상이 없을 시에 서비스 접속을 허용한다.

공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 후 이를 활용해 전자 출입증을 위·변조해 쿠팡 인증체계를 통과했다. 그 결과 정상적인 로그인 절차를 거치지 않고 쿠팡 서비스에 무단 접속할 수 있게 됐다.

조사단은 쿠팡의 이용자 인증체계, 키 관리체계를 포함한 정보보호 관리체계가 미흡했다고 지적했다. 침해사고 신고 지연, 자료보전 명령 위반 등 법 위반사항도 발생했다.

과기정통부는 이번 조사단의 조사결과를 토대로 이달까지 쿠팡에 재발방지 대책에 따른 이행계획을 제출토록 하고 이행 여부를 점검할 계획이다. 이행점검 결과 보완이 필요한 사항에 대해서는 정보통신망법에 따라 시정조치를 명령할 예정이다.

영문번역(English Translation)