쿠팡 합동조사단, 정보유출 3367만건, 정보 무단조회 1.4억회 확인
쿠팡, 유출자가 '저장'한 건수만 밝혀…정부 "통제권 벗어난 순간 유출"
쿠개발자 노트북에 시스템 인증키 방치…모의해킹 결과에도 안일 대응
![[서울=뉴시스] 이영환 기자 = 21일 오전 서울 송파구 쿠팡 본사에 쿠팡 로고가 보이고 있다.쿠팡은 지난 20일 고객을 대상으로 "제3자가 비인가 접근을 통해 4500여명 고객 계정의 배송 정보(성명·이메일·전화번호·주소), 최근 5건 주문 이력을 조회한 것을 지난 18일 확인했다"고 밝혔다. 2025.11.21. 20hwan@newsis.com](https://img1.newsis.com/2025/11/21/NISI20251121_0021069679_web.jpg?rnd=20251121090305)
[서울=뉴시스] 이영환 기자 = 21일 오전 서울 송파구 쿠팡 본사에 쿠팡 로고가 보이고 있다.쿠팡은 지난 20일 고객을 대상으로 "제3자가 비인가 접근을 통해 4500여명 고객 계정의 배송 정보(성명·이메일·전화번호·주소), 최근 5건 주문 이력을 조회한 것을 지난 18일 확인했다"고 밝혔다. 2025.11.21. [email protected]
[서울=뉴시스]윤현성 기자 = '3000건 대 3367만건'
쿠팡 대규모 정보 유출 사건과 관련해 쿠팡 측이 자체 조사 결과 확인됐다고 주장한 피해 건수와 정부 민관합동조사단이 발표한 피해 건수의 차이다.
쿠팡은 지난해 12월25일 자체 조사 결과를 발표한 이후 고객정보 약 3370만건 유출 가운데 실제 유출자가 저장한 개인정보 규모는 3000건 수준이라고 주장해왔다.
하지만 민관합동조사단은 이같은 쿠팡의 주장에 명확하게 선을 그었다. 유출범이 정보를 저장하든, 저장하지 않았든 시스템 관리자인 쿠팡의 통제권을 벗어나 타인이 조회한 모든 정보는 '유출'된 것으로 봐야 한다는 게 합동조사단의 판단이다.
합동조사단 조사 결과 유출이 확인된 성명·이메일 등 정보는 3367만여건, 성명·전화번호·주소 등이 담긴 '배송지 목록' 페이지 조회 건수는 1억4000만여건에 달했다.
과학기술정보통신부가 10일 정부서울청사에서 발표한 민관합동조사단 조사 결과에 따르면 쿠팡이 그간 주장해 온 유출 규모는 실제와 1만배 이상 차이가 났다. 쿠팡은 지난해 자체 조사 결과 발표를 통해 공격자가 실제로 자신의 저장장치에 내려받은 정보는 3000여건에 불과하며, 이를 모두 회수해 추가 피해가 없다고 강조해왔다.
그러나 조사단이 25.6테라바이트(TB) 분량의 접속 로그 6642억건을 전수 분석한 결과, '내정보 수정 페이지'를 통해 유출된 성명·이메일 정보만 3367만3817건에 달하는 것으로 확인됐다.
여기에 성명·전화번호·주소·비식별화된 공동현관 비밀번호가 포함된 '배송지 목록 페이지'는 무려 1억4805만6502회나 무단 조회됐다. 이 외에도 공동현관 비밀번호가 그대로 노출된 배송지 수정 페이지는 5만474회, 최근 주문 상품 목록이 담긴 주문 목록 페이지는 10만2682회 조회됐다.
이에 대해 민관합동조사단 부단장을 맡은 이동근 한국인터넷진흥원(KISA) 본부장은 "개인정보 유출이라는 것은 관리자의 통제권을 벗어나면 모두 유출이다. 쿠팡 또한 쿠팡이 소유주고 관리하는 시스템이 있을텐데 거기에 저장돼있는 개인정보를 타인이 조회한 것이면 통제권을 벗어난 것"이라며 "합동조사단은 저장 여부를 떠나서 통제권·시스템 밖으로 나간 정보는 모두 유출된 것이라고 보고 있고, 법적으로도 그렇게 해석하고 있다"고 강조했다.
최우혁 과기정통부 정보보호네트워크정책실장 또한 "개인정보 유출, 조회에 대한 부분은 법적으로 차이가 있는 게 아니고 조회가 곧 유출을 의미한다"며 "개인정보보호법 지침에 따라 타인이 개인정보를 조회하는 순간 통제권을 벗어난 '유출'로 봐야 한다. 조회라고 해서 책임이 가벼워지는 것이 아니고, 정부는 이를 명확히 유출로 보고 있다"고 일갈했다.
임정규 민관합동조사단장 역시 "배송지 목록의 주소를 보면 한 페이지에는 주소가 최대 20개까지 등록될 수 있고, 거기에 성명·전화번호·주소·마스킹된 공동현관 비밀번호까지 다 들어가있다"며 "합동조사단은 조회된 한 페이지를 1건으로 본 건데, 그래서 1억4800만회 이상 무단 조회했다고 발표한 것이다. 결론적으로 1억4800만건 이상의 정보가 통제권 밖으로 나간 것"이라고 지적했다.
쿠팡이 자체 조사 결과라고 주장하며 일방적으로 축소 발표한 것을 합동조사단이 정면 반박한 셈이다.
쿠팡 대규모 정보 유출 사건과 관련해 쿠팡 측이 자체 조사 결과 확인됐다고 주장한 피해 건수와 정부 민관합동조사단이 발표한 피해 건수의 차이다.
쿠팡은 지난해 12월25일 자체 조사 결과를 발표한 이후 고객정보 약 3370만건 유출 가운데 실제 유출자가 저장한 개인정보 규모는 3000건 수준이라고 주장해왔다.
하지만 민관합동조사단은 이같은 쿠팡의 주장에 명확하게 선을 그었다. 유출범이 정보를 저장하든, 저장하지 않았든 시스템 관리자인 쿠팡의 통제권을 벗어나 타인이 조회한 모든 정보는 '유출'된 것으로 봐야 한다는 게 합동조사단의 판단이다.
합동조사단 조사 결과 유출이 확인된 성명·이메일 등 정보는 3367만여건, 성명·전화번호·주소 등이 담긴 '배송지 목록' 페이지 조회 건수는 1억4000만여건에 달했다.
정부 "통제권 벗어나면 모두 유출, 3367만건 확인돼"
그러나 조사단이 25.6테라바이트(TB) 분량의 접속 로그 6642억건을 전수 분석한 결과, '내정보 수정 페이지'를 통해 유출된 성명·이메일 정보만 3367만3817건에 달하는 것으로 확인됐다.
여기에 성명·전화번호·주소·비식별화된 공동현관 비밀번호가 포함된 '배송지 목록 페이지'는 무려 1억4805만6502회나 무단 조회됐다. 이 외에도 공동현관 비밀번호가 그대로 노출된 배송지 수정 페이지는 5만474회, 최근 주문 상품 목록이 담긴 주문 목록 페이지는 10만2682회 조회됐다.
이에 대해 민관합동조사단 부단장을 맡은 이동근 한국인터넷진흥원(KISA) 본부장은 "개인정보 유출이라는 것은 관리자의 통제권을 벗어나면 모두 유출이다. 쿠팡 또한 쿠팡이 소유주고 관리하는 시스템이 있을텐데 거기에 저장돼있는 개인정보를 타인이 조회한 것이면 통제권을 벗어난 것"이라며 "합동조사단은 저장 여부를 떠나서 통제권·시스템 밖으로 나간 정보는 모두 유출된 것이라고 보고 있고, 법적으로도 그렇게 해석하고 있다"고 강조했다.
최우혁 과기정통부 정보보호네트워크정책실장 또한 "개인정보 유출, 조회에 대한 부분은 법적으로 차이가 있는 게 아니고 조회가 곧 유출을 의미한다"며 "개인정보보호법 지침에 따라 타인이 개인정보를 조회하는 순간 통제권을 벗어난 '유출'로 봐야 한다. 조회라고 해서 책임이 가벼워지는 것이 아니고, 정부는 이를 명확히 유출로 보고 있다"고 일갈했다.
임정규 민관합동조사단장 역시 "배송지 목록의 주소를 보면 한 페이지에는 주소가 최대 20개까지 등록될 수 있고, 거기에 성명·전화번호·주소·마스킹된 공동현관 비밀번호까지 다 들어가있다"며 "합동조사단은 조회된 한 페이지를 1건으로 본 건데, 그래서 1억4800만회 이상 무단 조회했다고 발표한 것이다. 결론적으로 1억4800만건 이상의 정보가 통제권 밖으로 나간 것"이라고 지적했다.
쿠팡이 자체 조사 결과라고 주장하며 일방적으로 축소 발표한 것을 합동조사단이 정면 반박한 셈이다.
![[서울=뉴시스] 추상철 기자 = 최우혁 과기정통부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 '쿠팡 침해사고 민관합동조사단 조사결과 발표' 브리핑을 하고 있다. 2026.02.10. scchoo@newsis.com](https://img1.newsis.com/2026/02/10/NISI20260210_0021161014_web.jpg?rnd=20260210142547)
[서울=뉴시스] 추상철 기자 = 최우혁 과기정통부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 '쿠팡 침해사고 민관합동조사단 조사결과 발표' 브리핑을 하고 있다. 2026.02.10. [email protected]
쿠팡, 개발자 노트북에 '인증시스템 열쇠' 방치…모의해킹 경고도 묵살
쿠팡은 자체 규정상 서명키를 별도의 '키 관리 시스템'에만 보관해야 한다고 명시하고 있었으나, 실제로는 현직 개발자들조차 업무 편의를 위해 개인 노트북에 서명키를 하드코딩 방식으로 저장해 온 사실이 포렌식 결과 확인됐다.
최우혁 실장은 "현재 재직 중인 쿠팡 개발자도 노트북에 서명키를 저장하고 있어 키 유출 및 오남용 위험이 있음을 발견했다"며 "과거 퇴사한 공격자 역시 동일한 형태의 업무를 했기 때문에 키를 저장했을 수 있다. 키 관리가 전반적으로 제대로 이뤄지지 않았던 것"이라고 설명했다.
특히 이번 대규모 개인정보 유출을 유발한 공격자는 이미 쿠팡을 퇴사한 상태였다. 이에 따라 쿠팡이 해당 서명키를 더 이상 사용하지 못하도록 갱신 절차를 진행했어야 했는데, 관련 체계 및 절차가 미비해 사실상 방치한 것으로 나타났다.
심지어 쿠팡은 과거 모의해킹을 통해 인증 체계의 구조적 결함을 이미 파악하고 있었음에도 불구하고, 발견된 지점만 임시방편으로 막았을 뿐 관문 서버의 검증 체계 전반을 개선하는 조치는 취하지 않았다.
이동근 부단장은 "통상적으로 모의해킹 건은 정보보호최고책임자(CISO)까지 보고가 된다. 보고가 됐음에도 딱 모의해킹한 부분에 대해서만 집중 관리하고 토큰 검증 체계 자체에 대해서는 검토가 전혀 이뤄지지 않아 이번 사고와 연결됐다"고 지적했다.
쿠팡은 지난 5일 "조사 과정에서 16만5000여 건의 추가 유출을 확인했다"며 뒤늦게 수습에 나섰지만, 이미 1만배나 축소된 셀프 조사 결과를 내세웠던 쿠팡의 신뢰성은 완전히 바닥으로 떨어진 상태다.
이번 합동조사단 조사 결과에 대해 최우혁 실장은 "조사단은 법과 원칙에 따라 어떤 기업도 차별하지 않고 공정하게 조사했다"며 "결과는 나오는 대로 신속하고 투명하게 공개하겠다는 원칙을 실천했다"고 강조했다.
정부는 이번 조사 결과를 토대로 쿠팡에 강도 높은 재발 방지 대책 이행 계획을 이달 중 제출하도록 하고, 쿠팡의 이행(3~5월) 여부를 점검(6~7월)할 계획이다. 이행점검 결과에 따라 보완이 필요한 사항에 대해서는 시정조치도 명령할 방침이다.
◎공감언론 뉴시스 [email protected]
