로그인도 없이 쿠팡 정보 3367만건·배송지 1억4천만회 유출

내정보·배송지·주문목록…페이지별 유출·조회 규모 첫 공식화
2313개 IP·자동화 스크립트…포렌식으로 드러난 공격 전모
서명키 하드코딩·개발·운영 미분리…키 관리·ISMS-P 위반 적시
신고 지연·자료보전명령 위반 확인…정부, 2~7월 후속 점검 예고

과학기술정보통신부 제공

정부가 쿠팡 개인정보 유출 사고를 조사해 성명·이메일 정보 3367만여 건이 유출되고, 배송지 정보가 포함된 페이지가 1억4800만여 회 조회되는 피해가 발생했다고 공식 확인됐다.

페이지별 유출·조회 규모 첫 공개

과학기술정보통신부는 10일 민관합동조사단 조사 결과를 발표하고, 이번 사고가 이용자 인증체계 취약점을 악용한 대규모 정보통신망 침해사고라고 밝혔다.

조사단은 쿠팡 이용자 인증체계와 웹·애플리케이션 접속기록을 분석하고, 공격자 PC 저장장치와 개발자 노트북에 대한 포렌식 분석을 통해 사고 원인과 피해 규모를 조사했다.

조사 결과, 내정보 수정 페이지에서 성명과 이메일이 포함된 이용자 정보 3367만여 건이 유출된 것으로 확인됐다.

배송지 목록 페이지에서는 성명, 전화번호, 주소, 특수문자로 비식별화된 공동현관 비밀번호 정보가 포함된 화면이 1억 4800만여 회 조회됐다.

배송지 목록 수정 페이지에서는 성명, 전화번호, 주소, 공동현관 비밀번호가 포함된 정보가 5만여 회 조회됐고, 최근 주문한 상품 목록이 포함된 주문 목록 페이지도 10만여 회 조회된 것으로 조사됐다.

조사단은 웹·앱 접속기록을 기반으로 유출 규모를 산정했으며, 최종 개인정보 유출 규모는 개인정보보호위원회가 확정할 예정이라고 밝혔다.

'전자 출입증' 위·변조…로그인 없이 계정 접근

과학기술정보통신부 제공

조사단은 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 절차 없이 이용자 계정에 접속했다고 밝혔다. 쿠팡 서비스는 통상 로그인 후 '전자 출입증'을 발급받아 관문서버의 검증을 거쳐 접속이 이뤄진다.

그러나 공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취해 전자 출입증을 위·변조했고, 이를 통해 인증 절차를 우회한 것으로 조사됐다. 이 과정에서 정상적인 로그인 없이 쿠팡 서비스에 무단 접속이 가능해졌다는 설명이다.

공격은 2025년 4월 14일부터 11월 8일까지 이어졌으며, 대규모 정보 유출 단계에서는 자동화된 웹크롤링 공격 도구가 사용됐다. 조사단은 공격 과정에서 총 2313개의 IP가 활용된 사실도 확인했다.

조사단은 공격자의 PC 저장장치에 대한 포렌식 분석을 통해 쿠팡 이용자 고유식별번호와 위·변조된 전자 출입증을 확인했다. 대규모 공격 이전인 2025년 1월쯤에도 공격 테스트로 추정되는 접속 흔적이 발견됐다고 밝혔다.

또한 정보 수집과 외부 서버 전송이 가능한 공격 스크립트가 작성된 사실도 확인했다. 위·변조된 전자 출입증을 이용해 타인 계정에 무단 접속한 뒤 유출한 정보를 해외 소재 클라우드 서버로 전송할 수 있는 기능이 존재했지만, 실제 전송 여부는 로그 부족으로 확인되지 않았다고 설명했다.

키 관리·ISMS-P·로그 관리 구조적 문제 드러나

과학기술정보통신부 제공

조사단은 쿠팡의 정보보호 관리체계 전반에서 다수의 문제점을 확인했다.

정상 발급된 전자 출입증인지 여부를 검증하는 체계가 부재했고, 모의해킹을 통해 인증 취약점을 파악했음에도 관문서버 인증체계 전반에 대한 구조적 개선은 이뤄지지 않은 것으로 드러났다.

키 관리 체계에서도 위반 사항이 적시됐다. 쿠팡 내부 규정은 서명키를 키 관리시스템에서만 보관하도록 하고 있지만, 재직 중인 개발자가 노트북에 서명키를 저장한 사실이 확인됐다. 서명키 발급·사용 이력 관리 체계가 없어 목적 외 사용을 파악할 수 없었고, 내부자에 의한 키 탈취 위협에 대한 대응체계도 미흡했다고 조사단은 지적했다.

ISMS-P 점검 결과, 개발과 운영이 분리되지 않은 상태에서 개발자에게 실제 운영 중인 키 관리 시스템 접근 권한이 부여된 점도 문제로 지적됐다.

접속기록 관리 역시 구조적인 한계가 드러났다. 서버사용자식별번호와 이용자고유식별번호를 일부 페이지에서만 저장·관리해 비정상 접속 탐지와 피해 규모 산정에 어려움이 발생했다는 설명이다.

신고 지연·자료보전명령 위반 확인

조사단은 법 위반 사항도 함께 확인했다. 쿠팡은 침해사고를 인지한 뒤 24시간 이내 신고해야 하는 정보통신망법 규정을 지키지 못해 신고가 지연됐고, 이에 따라 과태료 부과 대상이 됐다.

또한 과기부가 자료보전을 명령한 이후에도 자동 로그 저장 정책을 조정하지 않아 웹 접속기록과 애플리케이션 접속기록 일부가 삭제된 사실이 확인됐다. 이와 관련해 정부는 수사기관에 수사를 의뢰했다.

과기부는 이번 조사 결과를 토대로 쿠팡에 재발방지 대책에 따른 이행계획을 2월 중 제출하도록 하고, 3~5월 이행 여부를 점검한 뒤 6~7월 최종 점검을 실시할 계획이다.

점검 결과 보완이 필요할 경우 정보통신망법에 따라 시정조치를 명령할 방침이다.