'공동현관 비번'까지 무단 조회? 우리집 괜찮을까

등록 2026.02.11 17:17:01

주소지·공동현관 비번 노출…전문가들, 장기범죄 악용 가능성 경고

쿠팡 퇴직자 관리 부실·망 분리 실패 지적도

"공동현관 비밀번호 변경 등 2차 피해 예방에 각별히 주의해야"

[서울=뉴시스] 김명년 기자 = 쿠팡 전 직원이 일으킨 침해 사고로 성명, 이메일이 포함된 쿠팡 이용자 정보 3367만3817건이 유출됐다고 정부 민관합동조사단이 발표했다. 해당 직원은 전화번호, 배송지주소, 특수문자로 비식별호된 공동현관 비밀번호 등이 포함된 배송지 목록 페이지를 약 1억4800만건 조회한 것으로 드러났다. 사진은 10일 오후 서울 송파구 쿠팡 본사. 2026.02.10. [email protected]

[서울=뉴시스] 신효령 기자 = 정부 민관합동조사단이 쿠팡 침해 사고 조사 결과 배송지 정보 등이 1억4800만여 차례 무단 조회된 사실을 발표하면서 쿠팡 이용자들의 불안이 가중되고 있다. 자신의 개인정보 뿐 아니라 배송지 목록에 있는 가족·지인들의 정보도 유출됐을 가능성이 높아졌기 때문이다. 보안 전문가들은 이들 정보를 활용한 2차 범죄 가능성을 배제할 수 없는 만큼 보이스 피싱 등 사이버 범죄에 각별히 주의해야 한다고 당부했다.

"당장의 피해보다 장기 범죄 설계 악용이 더 우려"

과학기술정보통신부는 지난 10일 '쿠팡 침해사고 민관합동조사단' 조사 결과 발표를 통해 쿠팡 전 직원에 의한 정보 유출 건수가 3300만건을 넘어섰다고 밝혔다. 조사 결과, 쿠팡의 '내 정보 수정' 페이지에서 이용자 성명과 이메일 등 3367만여건의 정보가 유출됐다.

'배송지 목록' 페이지에서는 성명, 전화번호, 배송지 주소 등의 개인정보가 1억4800만여차례에 걸쳐 무단 조회된 것으로 드러났다. 공동현관 비밀번호 정보까지 포함된 '배송지 목록 수정 페이지'도 5만여회 조회된 것으로 파악됐다. 개인정보 유출 규모는 개인정보보호위원회가 추가 조사 후 확정할 예정이다.

염흥열 순천향대 정보보호학과 교수는 "개인정보보호법상 개인정보가 처리자의 통제권을 벗어나 통제 불능 상태에 빠진 것을 유출로 판단한다"며 "데이터가 퇴사자의 컴퓨터로 넘어간 시점에서 이미 유출 사고가 발생한 것으로 간주해야 한다"고 말했다.

[서울=뉴시스] 추상철 기자 = 최우혁 과기정통부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 '쿠팡 침해사고 민관합동조사단 조사결과 발표' 브리핑을 하고 있다. 2026.02.10. scchoo@newsis.com

[서울=뉴시스] 추상철 기자 = 최우혁 과기정통부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 '쿠팡 침해사고 민관합동조사단 조사결과 발표' 브리핑을 하고 있다. 2026.02.10. [email protected]

전문가들은 유출된 정보가 다크웹 등 음성적인 경로로 흘러 들어갈 경우, 범죄자들이 이를 바탕으로 치밀한 범죄를 설계할 수 있다는 점을 가장 큰 문제로 꼽았다.

권헌영 고려대 정보보호대학원 교수는 "정보가 외부로 유출돼 이른바 '어둠의 경로'를 통해 범죄자들에게 넘어가면 심각한 위험성이 발생한다"며 "당장 즉각적인 피해로 이어지기보다 다양한 범죄 기획에 활용되며 장기간 악용될 가능성이 크다"고 분석했다.

염 교수도 "공동현관 비밀번호가 비식별 처리돼 있더라도 주소와 전화번호가 함께 노출된 것은 프라이버시 측면에서 매우 치명적"이라며 "유출 정보를 이용한 피싱이나 보이스피싱 등 2차 피해 발생 가능성을 배제할 수 없다"고 지적했다.

"공동현관 비밀번호부터 즉시 변경해야"

유출 정보에 공동현관 비밀번호 등이 포함된 만큼 이용자들의 즉각적인 대응이 필요하다는 조언도 나왔다. 권 교수는 "가장 먼저 공동현관 비밀번호부터 바꾸는 등 스스로 안전을 지키기 위한 조치를 서둘러야 한다"며 "정보 유출 사실을 인지한 순간부터는 기존 보안 설정을 신뢰하지 말고 모든 보안 수칙을 다시 점검해야 한다"고 말했다.

전문가들은 이번 사태의 근본 원인을 기업의 기초적인 보안 관리 체계 부실에서 찾았다. 염 교수는 퇴사 이후에도 중요 데이터 접근 권한이 유지된 '퇴직자 관리 부실'과 개발망·운영망 분리 실패, 특정 개발자에게 과도한 권한이 부여된 점 등을 사고 원인으로 지목하며 "정보보호 관리의 기본이 무너진 사례"라고 비판했다.

김용대 카이스트 전기전자공학부 교수는 "이미 데이터 접근 권한이 있었던 인물이 퇴직 후에도 접속했다는 사실 자체가 문제의 본질이지, 몇 건을 조회했느냐가 핵심은 아니다"며 "이번 사태는 기술적으로 매우 고도화된 침해 사고라기보다 전형적인 내부자 관리 실패의 문제"라고 지적했다.

[서울=뉴시스] 쿠팡 전 직원이 일으킨 정보 침해 사고로 성명과 이메일이 포함된 쿠팡 이용자 정보 3367만3817건이 유출됐다고 정부 민관합동조사단이 10일 밝혔다. 조사 결과 해당 직원은 전화번호, 배송지 주소, 특수문자로 비식별 처리된 공동현관 비밀번호 등이 담긴 배송지 목록 페이지를 약 1억4800만 건 조회한 것으로 드러났다. (그래픽=전진우 기자) [email protected]

"쿠팡만의 문제 아냐…기업들 내부 관리 점검 계기로"

피의자가 특정된 만큼 과도한 공포는 경계해야 한다는 신중론도 제기됐다. 김 교수는 "유출 사실 자체는 분명하지만 이를 곧바로 대규모 2차 범죄로 연결 짓는 추측은 성급하다"며 "현재 가해자가 특정돼 있고 수사기관이 신원을 파악한 상황에서 추가 범죄로 이어질 가능성은 상대적으로 낮다"고 분석했다.

이어 "현재 국내 기업 가운데 내부자에 의한 데이터 유출을 완벽히 차단할 수 있는 곳이 얼마나 되겠느냐"며 "이번 사건을 특정 기업의 문제로만 볼 것이 아니라 우리 사회 전반의 정보보호 수준과 내부 관리 체계를 점검하는 계기로 삼아야 한다"고 강조했다.

염 교수도 "이번 일을 계기로 전면적인 정보보호 관리체계 재검토에 나설 필요가 있다"고 제언했다. 권 교수 역시 "정부와 쿠팡은 단순히 사건을 수습하는 데 그치지 말고 2차 피해 발생 여부를 끝까지 추적하고 감시해야 한다"고 강조했다.

[서울=뉴시스] 이영환 기자 = 21일 오전 서울 송파구 쿠팡 본사에 쿠팡 로고가 보이고 있다.쿠팡은 지난 20일 고객을 대상으로 "제3자가 비인가 접근을 통해 4500여명 고객 계정의 배송 정보(성명·이메일·전화번호·주소), 최근 5건 주문 이력을 조회한 것을 지난 18일 확인했다"고 밝혔다. 2025.11.21. [email protected]