쿠팡 유출자, 1.4억회 고객 배송지 들춰봤다…지인 전화번호·주소까지(종합)
등록 2026.02.10 17:25:46수정 2026.02.10 22:46:45
과기정통부 민관합동조사단 쿠팡 침해사고 조사결과 발표
고객 배송지 목록 페이지 약 1.4억건 접근…수정 페이지는 5만건
배송지 입력된 비회원 성명·번호·주소 추가 유출 가능성 커
![[서울=뉴시스] 김명년 기자 = 쿠팡 전 직원이 일으킨 침해 사고로 성명, 이메일이 포함된 쿠팡 이용자 정보 3367만3817건이 유출됐다고 정부 민관합동조사단이 발표했다. 해당 직원은 전화번호, 배송지주소, 특수문자로 비식별호된 공동현관 비밀번호 등이 포함된 배송지 목록 페이지를 약 1억4800만건 조회한 것으로 드러났다. 사진은 10일 오후 서울 송파구 쿠팡 본사. 2026.02.10. kmn@newsis.com](https://img1.newsis.com/2026/02/10/NISI20260210_0021161222_web.jpg?rnd=20260210155444)
[서울=뉴시스] 김명년 기자 = 쿠팡 전 직원이 일으킨 침해 사고로 성명, 이메일이 포함된 쿠팡 이용자 정보 3367만3817건이 유출됐다고 정부 민관합동조사단이 발표했다.
해당 직원은 전화번호, 배송지주소, 특수문자로 비식별호된 공동현관 비밀번호 등이 포함된 배송지 목록 페이지를 약 1억4800만건 조회한 것으로 드러났다.
사진은 10일 오후 서울 송파구 쿠팡 본사. 2026.02.10. [email protected]
[서울=뉴시스] 심지혜 기자 = 쿠팡 개인정보를 유출한 전직 직원이 범행 과정에서 회원들의 배송지 목록을 약 1억4805만회 들여다 본 것으로 나타났다. 여기에는 이용자 이름과 연락저, 집주소는 물론 가족이나, 친구, 지인 등 제3자의 정보도 다수 포함돼 있다. 배송지 목록에는 최대 20명의 정보를 등록할 수 있다. 쿠팡에 가입한 회원이 아니더라도 연락처와 집주소가 빠져나갔을 수 있다는 얘기다.
이로 인해 현재 확인된 쿠팡 이용자 성명·이메일 유출 규모 3367만건보다 실제 개인정보 유출 규모가 더 커질 가능성도 배제할 수 없게 됐다.
과학기술정보통신부는 쿠팡 침해사고와 관련한 민관합동조사단의 조사 결과를 10일 발표했다.
"3367만건은 최소치"…배송지 목록 1.4억회 조회 고려하면 더 커질 듯
하지만 해당 직원은 배송지 목록 페이지에도 약 1억4805만6502회 접근했다. 배송지 목록 페이지에는 이용자 본인뿐 아니라 가족, 친구 등 제3자의 성명과 전화번호, 배송지 주소 정보 등이 함께 포함돼 있다.
이와 함께 성명, 전화번호, 배송지 주소 외에 공동현관 비밀번호가 포함된 배송지 목록 수정 페이지는 5만474회 조회했다.
이를 고려하면 실제 유출 규모는 더 늘어날 가능성이 크다. 유출 개인정보 규모는 개인정보보호위원회가 개인정보보호법에 따라 산정·발표할 예정이다.
임정규 국장은 "3367만건 유출은 내정보 수정 페이지에 담긴 성명과 이메일 쌍으로 정확하게 식별할 수 있어서 카운팅 할 수 있었다"며 배송지 목록에는 이용자당 최대 20개의 주소가 등록될 수 있는 등 다양한 개인정보가 포함돼 있다. 해당 정보의 유출 규모 산정은 개인정보보호위원회에서 담당한다"고 설명했다.
아울러 조사단은 쿠팡 전 직원이 개인정보를 조회한 행위 자체도 정보 유출로 판단했다.
최우혁 과기정통부 정보보호네트워크실장은 "이용자 정보를 조회한 것도 유출된 것과 같은 의미"라며 "쿠팡 시스템에 저장돼 있던 정보가 타인에 의해 조회돼 외부로 나간 만큼, 이는 통제권을 벗어난 상황”이라고 말했다.
이어 "회원, 비회원 등에 대한 개인정보에 대한 최종 유출 범위와 건수는 개인정보보호위원회가 판단할 사안”이라며 “조사단은 침해사고의 원인 분석과 유출 정보 범위 확인, 재발방지 대책 마련을 맡고 있다"고 덧붙였다.
개발자였던 전 직원이 해킹…인증취약점 알고 악용
쿠팡은 담당자가 퇴사한 이후에도 서명키를 사용하지 못하도록 갱신하지 않았고, 위·변조된 전자출입증을 활용한 비정상 접속 행위도 탐지하지 못한 것으로 조사됐다.
다만 조사단은 이번 침해사고와 관련해 현재까지 2차 피해 정황이나 결제정보 유출 사례는 확인되지 않았다고 밝혔다.
최 실장은 “다크웹 등에서 2차 피해 사례는 확인되지 않았고, 결제정보 역시 현재까지 조사한 사항으로는 유출된 사실이 없는 것으로 파악하고 있다”고 말했다.
다음은 최우혁 실장, 임정규 국장, 이동근 KISA 민관합동조사단 부단장과의 일문일답이다.
쿠팡 침해사고는 '관리 소홀' 문제…자체 결과발표, '주장'일 뿐
-쿠팡 침해사고 조사 기간이 길어진 이유는
"처음에 자료 협조가 조금 미진한 부분 있었지만 이후에는 충분히 신속하게 대응을 했다. 시간이 걸린 것은 데이터가 방대해서다. 발표한 숫자에서도 보여지듯 기초 데이터들의 숫자량이 많았기 때문에 조사하는 데 어려움이 있었다."
-쿠팡이 국정원 지시를 받은 것이 맞는지
"국정원에 확인해야 한다."
-쿠팡은 자체적으로 정보 3000건만 저장됐다고 했는데 사실인지
"피조사기관의 주장이다. 조사기관은 그러한 자료도 참고 하지만 모든 자료를 갖다가 다시 한번 검증의 검증과 다른 자료들을 확인하는 과정이 있다."
-최근 16만5000건의 유출이 이뤄졌다는 발표가 있는데 오늘 발표한 3367만건과 별개인 것인가
"개보위가 최종적으로 발표하는 개인정보 유출 규모를 통해 정리될 것이다."
-쿠팡 침해사고는 관리 소홀인가, 지능화된 해킹인가
"인증체계 관련상 문제점도 강하게 질타를 했다. 키 관리시스템도 제대로 안 되고 있다. 이는 분명히 관리의 문제다. 지능화된 공격으로 보기 어렵다."
-침해사고가 한 명의 재직자에 의해 벌어진 것이 맞는지, 배후에 다른 조직이 있는 것은 아닌지
"수사의 영역이다. 경찰 조사 결과를 봐야 한다."
-부적절하게 서명키를 보관해 온 개발자 규모는 어느 정도로 파악하는가
"그 팀에 있는 멤버들의 업무 행태를 확인했는데, 해킹을 한 직원이 재직할 당시를 조사할 수 없어 (확인이 어렵다). 해당 직원 노트북 포렌식 결과로는 키를 저장하고 있었다. 결국 쿠팡이 (서명키) 이력관리가 잘 안됐던 것이다."
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
