국내 최대 이커머스 플랫폼 쿠팡에서 약 3370만 건의 고객 개인정보가 유출된 사실이 확인되면서, 정부가 공식 입장을 발표하고 본격적인 대응에 나섰습니다. 이 사고는 단순한 해킹을 넘어, 인증 시스템의 근본적 취약점과 장기간의 무단 접근을 드러내며 충격을 주고 있습니다.
목차
- 정보 유출 규모와 대상
- 언제, 어떻게 유출이 시작됐나
- 정부가 밝힌 유출 경로와 원인
- 민·관합동조사단 가동과 조사 방향
- 정부의 피해 확산 방지 대책
- 쿠팡에 대한 추가 조치와 제도 개선 방향
정보 유출 규모와 대상
정부 발표에 따르면, 이번 사고로 3천만 건이 넘는 고객 계정의 개인정보가 유출된 것으로 확인됐습니다. 최초 쿠팡이 신고한 4500여 건에서 수천만 건으로 피해 규모가 급격히 확대된 것입니다.
유출된 정보는 고객명, 이메일 주소, 배송지 전화번호, 배송지 주소 등 개인을 특정할 수 있는 핵심 정보입니다. 이름과 주소, 연락처까지 포함된 만큼, 2차 피해 우려가 매우 큽니다.
언제, 어떻게 유출이 시작됐나
정부 조사 결과, 이번 유출은 2025년 6월 24일 해외 서버를 통한 비정상적인 접근으로 시작된 것으로 파악됐습니다. 공격자는 쿠팡 서버에 장기간 무단으로 접근해 고객 정보를 조회한 것으로 나타났습니다.
이 같은 비인가 조회는 약 5개월간, 즉 6월 말부터 11월 초까지 지속된 것으로 조사됐습니다. 쿠팡은 11월 19일 한국인터넷진흥원(KISA)에 침해사고를 신고했고, 이틀 뒤 개인정보보호위원회에도 개인정보 유출 사실을 신고했습니다.
정부가 밝힌 유출 경로와 원인
정부는 공격자가 쿠팡 서버의 인증 관련 취약점을 악용했다고 설명했습니다. 정상적인 로그인 절차 없이도 고객 정보에 접근할 수 있는 보안 구멍이 존재했고, 이를 통해 수천만 건의 계정 정보가 조회·탈취된 것입니다.
쿠팡 자체 신고서에도 “유효한 인증 없이 접근한 기록이 발견됐고, 서명된 접근 토큰이 악용된 것으로 추정된다”는 내용이 포함돼 있습니다. 이는 1단계 인증, 즉 로그인 과정 자체가 뚫렸다는 의미입니다.
“공격자가 쿠팡 서버의 인증 취약점을 악용하여 정상적인 로그인 없이 3천만 개 이상 고객 계정의 고객명, 이메일, 배송지 전화번호 및 주소를 유출한 것으로 확인하였다.”
정부는 이번 사고가 단순한 외부 해킹에 그치지 않고, 국가 배후 해킹 공격 가능성까지 열어두고 조사 중이라고 밝혔습니다.
민·관합동조사단 가동과 조사 방향
사태의 심각성을 고려해 정부는 과학기술정보통신부를 중심으로 민·관합동조사단을 즉시 가동했습니다. 조사단은 쿠팡의 사고 원인과 정보 유출 경위를 집중적으로 조사하고 있습니다.
주요 조사 대상은 개인정보보호법상 의무인 접근통제, 접근권한 관리, 암호화 등 안전조치를 쿠팡이 제대로 이행했는지 여부입니다. 쿠팡이 보유한 개인정보 보호 체계 전반에 대한 면밀한 검증이 이뤄지고 있습니다.
정부의 피해 확산 방지 대책
정부는 이번 사고로 인한 2차 피해 확산을 막기 위해 쿠팡을 중심으로 긴밀한 대응을 지시했습니다. 쿠팡은 유출된 고객들에게 순차적으로 문자 메시지로 정보 유출 사실을 알렸습니다.
정부는 쿠팡이 7일 이내에 조치 결과를 제출하도록 요구했고, 이행 상황을 지속적으로 점검할 계획이라고 밝혔습니다. 또한 쿠팡을 사칭한 피싱 메일, 스팸 문자 등 2차 범죄에 대한 국민 경각심을 높이고 있습니다.
쿠팡에 대한 추가 조치와 제도 개선 방향
정부는 쿠팡에 대해 개인정보보호법 위반 여부를 집중적으로 검토하고 있습니다. 접근통제, 권한 관리, 암호화 등 안전조치 의무를 제대로 이행하지 않았다면, 법적 제재가 뒤따를 수 있습니다.
이번 사고를 계기로 정부는 정보보호 인증 제도인 ISMS-P의 전면 개편도 추진하고 있습니다. 인증을 받은 기업에서도 대규모 유출이 반복되고 있어, 핵심 항목 중심의 점검 강화와 사후 관리 확대를 통해 인증의 실효성을 높이겠다는 방침입니다.