이커머스 업체 쿠팡이 29일 발표한 입장문에 따르면, 회사는 11월 18일 약 4,500개 계정의 개인정보 무단 노출을 확인하고 경찰청, 한국인터넷진흥원, 개인정보보호위원회에 신고했다. 이후 조사 과정에서 피해 규모가 약 3,370만 개 계정으로 확대된 것으로 확인됐다.
유출된 정보는 이름, 이메일 주소, 배송지 주소록(입력 이름, 전화번호, 주소), 일부 주문정보다. 쿠팡 측은 결제 정보, 신용카드 번호, 로그인 정보는 포함되지 않았다고 밝혔다. 2025년 6월 24일부터 해외 서버를 통해 무단 접근이 이루어진 것으로 추정하고 있다. 또한 침해 원인에 대해 현재 관련 당국과 협력하여 조사를 진행 중라고 언급했다.
과학기술정보통신부, 서울경찰청 등 관계 기관은 11월 19일 침해사고 신고와 11월 20일 개인정보 유출 신고를 접수한 뒤 현장 조사를 실시했다. 조사 결과, 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 절차를 거치지 않고 고객 정보를 유출한 것으로 확인됐다.
정부는 11월 30일부터 민관합동조사단을 가동하고 있으며, 개인정보보호위원회는 쿠팡이 개인정보 보호 관련 안전조치 의무(접근통제, 접근권한 관리, 암호화 등)를 위반했는지 조사 중이다. 또한 11월 29일 2차 피해 방지를 위한 대국민 보안 공지를 진행했으며, 11월 30일부터 3개월간 인터넷상 개인정보 유출 및 불법 유통 점검 강화 기간으로 운영한다.
한편 국회 과학기술정보방송통신위원회 최민희 위원장은 30일 보도자료를 통해 이번 사고의 구체적인 원인을 분석한 결과를 공개했다. 쿠팡으로부터 받은 자료에 따르면, 쿠팡은 토큰 서명키 유효 인증기간에 대해 “5~10년으로 설정하는 사례가 많다”라며 “로테이션 기간이 길고, 키 종류에 따라 매우 다양하다”고 답변한 것으로 전해졌다.
최 위원장 측은 이번 사고를 출입 시스템에 비유해 설명했다. 로그인에 필요한 ‘토큰’이 일회용 출입증이라면, ‘서명키’는 출입증을 발급하는 인증 도장과 같다. 출입증이 있어도 인증 도장이 없으면 출입할 수 없지만, 서명키를 장기간 방치할 경우 지속적으로 악용될 수 있다는 것이다.
최민희 의원실이 확인한 결과, 쿠팡의 로그인 시스템에서는 토큰이 생성 후 즉시 폐기되도록 설계되어 있으나, 토큰 생성에 필요한 서명 정보가 담당 직원 퇴사 시 삭제되거나 갱신되지 않고 방치되어 내부 직원에 의해 악용된 것으로 파악됐다.
최민희 위원장은 보도자료를 통해 “서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다”라며 “장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증체계를 방치한 쿠팡의 조직적·구조적 문제의 결과”라고 밝혔다.
이번 침해 사고의 피해 대상자에게는 이메일 또는 문자 메시지를 통해 관련 사실이 안내됐다. 추가 문의가 필요한 경우 고객 센터 또는 incident_help@coupang.com으로 연락하면 된다. 관련 정보는 별도의 안내 페이지를 통해서도 확인할 수 있다.
침해 사실 안내문과 별도로 박대준 쿠팡 대표이사는 30일 별도의 입장문을 통해 “국민 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과드린다”라며“쿠팡은 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 경찰청 등 민관합동조사단과 긴밀히 협력하여 추가적인 피해 예방을 위해 최선을 다하겠다”라고 밝혔다.
jihyun.lee@foundryco.com
Read More from This Article: 쿠팡, 3,370만 계정 개인정보 유출···인증키 관리 부실 의혹 제기
Source: News
