목차
사건 개요: 3,370만 명의 충격
2025년 11월, 국내 최대 이커머스 기업 쿠팡이 전례 없는 대규모 해킹 사고를 겪었습니다. 처음에는 4,500여 명의 계정만 침해된 것으로 발표되었지만, 이후 정밀 조사 결과 3,370만 명의 개인정보가 유출된 것으로 확인되었습니다. 이는 쿠팡의 전체 이용자 수를 초과하는 수치로, 사실상 ‘전 국민 대상’ 해킹 사고로 불릴 만큼 충격적인 규모입니다.
3,370만 명의 개인정보가 유출된 쿠팡 해킹 사건은 한국 이커머스 산업 사상 최악의 보안 사고로 기록되었습니다.
발생 시점과 경위
쿠팡은 2025년 11월 18일 내부 데이터베이스에서 이상 징후를 포착했습니다. 이후 11월 26일 경찰청에 형사 고발을 접수했으며, 11월 29일에 피해 규모를 공식 발표했습니다. 해킹 시점은 2025년 6월경으로 추정되며, 쿠팡은 11월 중순에야 내부 점검을 통해 침입을 인지했습니다.
- 11월 6일: 회원 로그인에 사용되는 1회용 암호(액세스 토큰)를 이용한 비인가 접근 발생
- 11월 18일: 내부 데이터베이스 이상 징후 포착
- 11월 26일: 경찰청에 형사 고발
- 11월 29일: 3,370만 명의 개인정보 유출 사실 공식 발표
해킹 방식과 공격 경로
공격자는 쿠팡 서버의 인증 우회 취약점을 악용해 별도의 로그인 없이 정보에 접근할 수 있었습니다. 정확한 공격 방식은 공개되지 않았지만, 해외 서버를 통한 무단 접근이 강하게 의심되고 있습니다. 초기 조사 결과, 서명된 액세스 토큰을 악용해 접근한 것으로 추정됩니다.
- 인증 우회 취약점 악용
- 액세스 토큰 탈취
- 해외 서버를 통한 무단 접근
실제 피해 유형과 유출 정보
유출된 정보는 회원 이름, 주소, 전화번호, 이메일, 일부 주문 내역 등입니다. 일부 피해자들은 현관 출입 방법까지 유출된 것으로 확인되었습니다. 해커는 고객의 주문 내역과 주소, 전화번호는 물론 현관 출입 방법까지 알고 있어, 실제 물리적 침입 위협도 제기되었습니다.
- 회원 이름
- 주소
- 전화번호
- 이메일
- 주문 내역
- 현관 출입 방법
내부자 소행 가능성과 보안 실패
보안 커뮤니티와 전문가들은 이번 해킹이 내부 직원 소행일 가능성이 크다고 보고 있습니다. 특히, 중국 국적의 전직 개발자가 재직 중 확보한 인증키·토큰을 퇴사 후에도 삭제·갱신하지 않은 상태를 악용해 해외에서 장기간 쿠팡 서버에 무단 접속한 것으로 파악되고 있습니다. 이는 기업의 내부 통제 체계 전반에 대한 의문을 제기하고 있습니다.
- 내부 직원 소행 가능성
- 인증키·토큰 관리 실패
- 내부 통제 체계 문제
사후 대응과 사회적 파장
쿠팡은 해커로부터 “회원들의 개인정보를 갖고 있다. 보안을 강화하지 않으면 유출 사실을 언론에 알리겠다”는 내용의 협박 이메일을 받았다는 보도도 나왔습니다. 이에 대해 윤리적 해커 등 보안 분야 전문가들은 “범죄 행위를 마치 대의 명분이 있는 양 포장하는 행위일 뿐”이라고 일축했습니다. 이번 사건은 고객 신뢰도에 심각한 타격을 입혔으며, 한국 보안업계와 이용자 모두에게 경종을 울렸습니다.
- 협박 이메일 수신
- 고객 신뢰도 하락
- 사회적 파장
쿠팡 해킹 사건은 단순한 해킹을 넘어, 장기간 침투 및 정보 유출이 의심되는 정황과 더불어, 고객 신뢰도에 심각한 타격을 입힌 사건으로 평가되고 있습니다.