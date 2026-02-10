3300만명이 넘는 국민의 개인정보가 유출된 쿠팡 사태는 쿠팡의 부실한 정보 관리 체계가 원인으로 파악됐다. 쿠팡의 이용자 인증 시스템을 설계한 개발자가 퇴직한 뒤에도 ‘자기 집 안방처럼’ 쿠팡의 회원정보에 손쉽게 접속할 수 있을 만큼 쿠팡의 정보 보호 관리는 허술했다. 유출된 개인정보가 약 3000개에 불과하다며 피해 규모를 축소한 셀프조사 논란과 보상보다 마케팅에 가깝다는 비판을 산 피해 보상안 등에 더해 쿠팡을 둘러싼 비판여론이 더욱 확산할 것으로 보인다.

서울의 한 쿠팡 캠프 모습. 연합뉴스

10일 과학기술정보통신부와 민관합동조사단의 조사 결과에 따르면 쿠팡 개인정보 유출사건의 공격자 A씨는 쿠팡의 이용자 인증 시스템을 설계하고 개발 업무를 수행하던 중국 국적의 소프트웨어 개발자였다.



그는 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 비정상적으로 접속해 정보를 무단으로 유출했다. 정상적으로 접속하는 경우 이용자는 로그인 절차를 거쳐 일종의 전자 출입증을 발급받는다. 이후 쿠팡 관문 서버는 발급받은 전자 출입증이 유효한지 여부를 검증하고 이상이 없을 시 서비스 접속을 허용한다.



A씨는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취하고 이를 활용해 전자 출입증을 위조하거나 변조해 쿠팡 인증체계를 통과했다. 쿠팡 근무 시절 이용자 인증 시스템의 취약점과 키 관리체계의 취약점을 알았던 만큼 손쉽게 쿠팡의 서버로 들어갔다. 그는 정상적인 로그인 절차 없이 쿠팡 인증체계를 통과했고 본격적으로 해킹을 시작하기 석 달 전인 지난해 1월부터 사전 공격 테스트를 진행하는 등 치밀함도 보였다.

이렇게 전 직원이 수시로 대한민국 1등 전자상거래(이커머스) 기업의 서버를 드나들며 회원들의 이름과 전화번호, 주소 등을 유출하는 동안 쿠팡은 전혀 알아차리지 못했다. 쿠팡의 이용자 인증체계에 허점이 드러나는 대목이다.



우선 쿠팡은 A씨가 위조한 전자 출입증이 제대로 된 발급 절차를 가졌는지조차 파악하지 못했다. 쿠팡은 유출 사건이 터지기 전 모의 해킹으로 전자 출입증 기반 인증 체계의 취약점을 발굴했음에도 제대로 보완하지 않은 것으로 조사됐다.



쿠팡의 보안 관련 규정과 절차도 허울뿐이었다. 쿠팡은 자체 규정에 따라 서명키를 키 관리시스템에서만 보관하고 개발자의 컴퓨터에 저장하지 않도록 했다. 하지만 A씨는 퇴직 후에도 버젓이 노트북에 서명키를 저장하고 있었다. 또 쿠팡 자체 규정상 서명키에 대한 발급내역을 기록하도록 했지만 실제로 키의 이력을 관리하는 체계 자체가 없었다.



그나마 다행인 건 아직까지 쿠팡에서 유출된 개인정보가 온라인상에서 불법거래되는 등 2차 피해가 발생했는지 확인되지 않은 점이다. 최우혁 과학기술정보통신부 정보보호네트워크정책실장은 “쿠팡 해킹과 관련해 2차 피해에 대한 부분은 현재까지 다크웹 등에서 확인되지 않았다”고 밝혔다.

“피해 규모 쿠팡 자체조사의 1만배” 최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 서울 종로구 정부서울청사에서 ‘쿠팡 침해사고 민관합동조사단’ 조사결과를 발표하고 있다. 이날 과기정통부에 따르면 쿠팡 전 직원의 개인정보 유출 사건으로 3300만명이 넘는 고객 정보가 유출되고, 범인이 들여다본 배송지 주소 등의 정보는 1억5000만건에 달하는 것으로 파악됐다. 연합뉴스

조사단은 쿠팡이 정보보호 및 개인정보보호 관리체계 인증(ISMS)을 취득하고도 접근 권한별 직무 분리와 암호정책 수립을 미흡하게 한 점도 확인하고 보완을 요청했다. 쿠팡이 보완 미비에 다른 시정명령을 이행하지 않을 경우 인증을 취소할 방침이다.



정부의 이번 발표는 앞서 쿠팡이 자제조사라고 발표한 피해규모와는 1만배나 차이가 난다. 앞서 쿠팡은 전직 직원이 접근한 계정수는 3300만개지만 실제 저장 정보는 약 3000개로 외부 전송은 없다고 밝혀 피해축소 논란을 일으켰다. 쿠팡은 유출 사건이 알려진 초기부터 ‘유출’ 대신 ‘노출’이라는 표현을 고집했다. 쿠팡이 이번 사건에 대한 사과의 의미로 내놓은 1인당 5만원 상당의 구매 쿠폰은 사용 기간 제한과 최소 주문금액 등 까다로운 사용 제한으로 소비자를 우롱한다는 비판을 받았다.



창업자인 김범석 쿠팡 Inc 의장이 외국에만 머물며 늑장 사과를 하고, 쿠팡 측이 막강한 로비력을 앞세워 미국 정부와 의회를 움직여 대응하는 행태도 국민적 공분을 산 상황에서 이번 조사결과로 쿠팡에 대한 비난 여론은 더욱 심화할 전망이다.

