정부 조사 결과 쿠팡 전직 직원은 인증 취약점을 악용해 정상 로그인 없이 고객정보 3370만건을 빼간 것으로 드러났다. 이 과정에서 쿠팡은 인증 검증 체계와 키 관리가 부재했다. 또 침해사고 탐지·신고·자료 보전까지 전 과정은 부실하기만 했다.




1월 29일 서울 송파구 구팡 본사 모습. / 뉴스1


10일 과학기술정보통신부는 민관합동조사단이 실시한 쿠팡 침해사고 조사 결과를 발표했다. 조사 결과 성명과 이메일이 포함된 고객 정보 3367만3817 오션릴게임 건이 유출됐다. 성명, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 배송지 목록 페이지는 1억4805만6502회 조회돼 유출됐다.
이 외에도 성명, 전화번호, 배송지 주소와 공동현관 비밀번호가 포함된 배송지 목록 수정 페이지가 5만474회 조회됐다. 이용자가 최근 주문한 상품 목록이 포함된 주문 목록 페이지도 알라딘게임 10만2682회 조회된 것으로 확인됐다.
조사단에 따르면 쿠팡 전직 직원은 재직 당시 이용자 인증 시스템 설계와 개발 업무를 담당했다. 이 과정에서 이용자 인증체계와 키 관리체계의 취약점을 인지하고 있었다. 쿠팡의 관문서버는 인증 절차를 통해 정상적으로 발급된 '전자 출입증'을 가진 이용자만 접속을 허용해야 한다. 이때 전자 출입증의 위· 바다이야기예시야마토게임 변조 여부를 검증해야 한다.
그러나 조사 결과 쿠팡에는 전자 출입증이 정상적인 발급 절차를 거쳤는지 확인하는 검증 체계가 존재하지 않았다. 이용자 인증체계 전반에 구조적 문제가 드러났다.
쿠팡이 관리하는 서명키는 전자 출입증 발급에 사용되는 핵심 수단이다. 이에 따라 체계적이고 엄격한 관리가 필요하다. 그러나 업무 담당자 쿨사이다릴게임 가 퇴사할 경우 서명키를 폐기하거나 갱신하는 절차가 마련돼 있지 않았다. 관련 관리 체계와 운영 절차도 미흡했다.
공격자는 퇴사 후 재직 당시 확보한 서명키와 내부 정보를 활용해 전자 출입증을 위·변조했다. 이후 이를 이용해 정상적인 로그인 절차 없이 쿠팡 인증 체계를 통과했다. 공격자는 본격적인 공격에 앞서 사전 테스트를 진행했다. 이용 우주전함야마토게임 자 계정 접근이 가능하다는 점을 확인한 뒤 자동화된 웹 크롤링 도구를 사용해 대규모 정보 유출을 감행했다. 이 과정에서 총 2313개의 인터넷주소(IP)가 사용됐다.
조사단은 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 운영 실태도 점검했다. 그 결과 쿠팡은 개발과 운영을 분리하지 않았다. 개발자에게 실제 운영 중인 키 관리 시스템 접근 권한을 부여하고 있었다. 내부 규정에는 키 수명만 3년 주기로 정의돼 있었다. 사용자 변경에 따른 교체 등 세부 운영 절차는 마련돼 있지 않았다.
쿠팡은 동일한 서버 사용자 식별번호가 반복적으로 사용되고 위·변조된 전자 출입증을 활용한 비정상 접속이 발생했음에도 이를 탐지하거나 차단하지 못했다. 접속기록도 일관된 기준 없이 저장하고 관리했다. 이로 인해 피해 이용자 식별과 유출 규모 산정에 어려움이 발생했다.
침해사고 신고도 지연됐다. 정보통신망법에 따르면 침해사고를 인지한 후 24시간 이내에 과기정통부 또는 한국인터넷진흥원(KISA)에 신고해야 한다. 그러나 쿠팡은 정보보호 최고책임자에게 보고한 시점인 2025년 11월 17일 오후 4시 이후 24시간이 지난 11월 19일 오후 9시 30분이 돼서야 KISA에 신고했다.
정부의 자료보전 명령도 이행하지 않았다. 과기정통부는 2025년 11월 19일 오후 11시 34분 침해사고 원인 분석을 위해 자료보전을 명령했다. 그러나 쿠팡은 자동 로그 저장 정책을 조정하지 않았다. 이로 인해 약 5개월 분량인 2024년 7월부터 11월까지의 웹 접속기록이 삭제됐다. 애플리케이션 접속기록도 2025년 5월 23일부터 6월 2일까지의 데이터가 삭제된 것으로 확인됐다.
김광연 기자fun3503@chosunbiz.com