[디지털투데이 손슬기 기자] 과학기술정보통신부는 쿠팡 침해사고에 대한 민관합동조사단 조사 결과를 10일 발표했다.

유출 규모는 초기 신고(4536건)의 6600배가 넘는 3000만건 이상으로 확인됐다. 쿠팡은 지난해 11월 16일 이용자로부터 개인정보 유출 의심 이메일 관련 고객의 소리를 접수받았다. 

쿠팡은 자체 조사를 통해 11월 17일 침해사고를 인지하고 11월 19일 한국인터넷진흥원(KISA)에 4536개 계정의 정보가 유출됐다고 신고했다. 그러나 KISA 현장조사 결과 유출 규모가 3000만개 이상의 계정으로 확인됐다. 

조사단은 2024년 11월 29일부터 2025년 12월 31일까지 저장된 25.6TB 용량, 총 6642억건 쿠팡 접속기록을 분석했다. 공격자 PC 저장장치와 재직 중인 쿠팡 개발자 노트북에 대한 포렌식 분석도 병행했다.

조사 결과 공격자는 지난해 4월 14일부터 11월 8일까지 내정보 수정 페이지에서 성명·이메일 3367만3817건을 유출했다. 배송지 목록 페이지는 1억4805만6502회 조회했으며, 성명 전화번호 주소 특수문자로 비식별화된 공동현관 비밀번호가 포함됐다. 

배송지 목록 수정 페이지는 5만474회 조회했는데 여기에는 공동현관 비밀번호가 비식별화 없이 포함됐다. 주문 목록 페이지는 10만2682회 조회했다. 개인정보 유출 규모는 개인정보보호위원회에서 최종 확정할 예정이다.

공격자는 쿠팡 재직 당시 이용자 인증 시스템 설계·개발 업무를 수행한 백엔드 개발자로 확인됐다. 재직 중 관리하던 서명키를 탈취한 후 퇴사 후 이를 활용해 '전자 출입증'을 위·변조했다. 

정상 이용자는 로그인 절차를 거쳐 '전자 출입증'을 발급받고 쿠팡 관문서버 검증을 거쳐 서비스에 접속한다. 그러나 공격자는 위조된 '전자 출입증'으로 정상 로그인 없이 쿠팡 서비스에 무단 접속할 수 있었다.

공격자는 올해 1월 5~20일 공격 테스트를 진행한 후 4월 14일부터 자동화된 웹크롤링 도구로 대규모 공격에 나섰다. 이 과정에서 총 2313개 IP를 사용했다.

조사단은 쿠팡 보안체계 문제점을 지적했다. 정상 발급된 '전자 출입증'인지 검증하는 체계가 부재했고 모의해킹으로 취약점을 발견했으나 전반적인 개선은 이뤄지지 않았다. 

자체 규정상 서명키를 '키 관리시스템'에서만 보관해야 하나 재직 개발자 노트북에 저장돼 있었고 키 발급 내역 관리 체계도 부재했다. 개발자 퇴사 후에도 서명키를 즉시 갱신하지 않았다. 

동일한 서버사용자 식별번호 반복 사용과 위조된 '전자 출입증' 비정상 접속도 탐지·차단하지 못했다.

법 위반 사항도 확인됐다. 쿠팡은 정보보호 최고책임자에게 보고한 시점(지난해 11월 17일 오후 4시)으로부터 24시간이 지난 후 KISA에 신고(11월 19일 오후 9시 35분)했다. 정보통신망법은 침해사고 인지 후 24시간 이내 신고를 의무화하고 있다. 과기정통부는 3000만원 이하 과태료를 부과할 예정이다. 

자료보전 명령 위반도 확인됐다. 과기정통부가 11월 19일 오후 10시 34분 자료보전을 명령했으나 쿠팡은 자동 로그 저장 정책을 조정하지 않아 약 5개월분(지난해 7~11월) 웹 접속기록이 삭제됐다. 애플리케이션 접속기록도 지난해 5월 23일~6월 2일 데이터가 삭제됐다. 과기정통부는 수사기관에 수사를 의뢰했다.

과기정통부는 쿠팡에 재발방지 대책 이행계획을 이달 중 제출하도록 하고 3~5월 이행 여부를 점검할 계획이다. 

• AI 플랫폼 보안 허점…몰트북, API·이메일 대량 유출
• 애플-中 연구진, AI로 무음 영상에 소리 입힌다…'VSS플로우' 공개
• 헤이다이어리, 음성 기반 'AI 일기 앱' 정식 출시
• 퀄컴 스냅드래곤8 엘리트 6세대 프로 등장…안드로이드폰 가격 오르나
• LGU+, AI로 '자율 운영 네트워크' 구현…"디지털 트윈 심었다"