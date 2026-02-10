3370만건 유출됐는데…쿠팡 “3000건 유출” 주장 이유는
쿠팡이 대규모 정보 유출 사건에 대한 자체 조사 결과 피해 건수가 3000건에 불과하다고 주장했으나, 정부 민관합동조사단은 그의 110만배가 넘는 3367만건이 유출됐다고 10일 발표했다.
쿠팡은 지난해 12월 25일 자체 조사 결과를 발표한 이후 고객정보 약 3370만건 유출 가운데 실제 유출자가 저장한 개인정보 규모는 3000건 수준이라고 주장해왔다.
하지만 유출범이 정보를 저장하든, 저장하지 않았든 시스템 관리자인 쿠팡의 통제권을 벗어나 타인이 조회한 모든 정보는 ‘유출’된 것으로 봐야 한다는 게 민관합동조사단의 판단이다.
합동조사단 조사 결과 유출이 확인된 성명·이메일 등 정보는 3367만여건, 성명·전화번호·주소 등이 담긴 ‘배송지 목록’ 페이지 조회 건수는 1억4000만여건에 달했다.
조사단이 25.6테라바이트(TB) 분량의 접속 로그 6642억건을 전수 분석한 결과 ‘내정보 수정 페이지’를 통해 유출된 성명·이메일 정보만 3367만3817건에 달하는 것으로 확인됐다.
여기에 성명·전화번호·주소·비식별화된 공동현관 비밀번호가 포함된 ‘배송지 목록 페이지’는 1억4805만6502회나 무단 조회됐다. 이 외에도 공동현관 비밀번호가 그대로 노출된 배송지 수정 페이지는 5만474회, 최근 주문 상품 목록이 담긴 주문 목록 페이지는 10만2682회 조회됐다.
이에 대해 민관합동조사단 부단장을 맡은 이동근 한국인터넷진흥원(KISA) 본부장은 “개인정보 유출이라는 것은 관리자의 통제권을 벗어나면 모두 유출이다. 쿠팡 또한 쿠팡이 소유주고 관리하는 시스템이 있을텐데 거기에 저장돼있는 개인정보를 타인이 조회한 것이면 통제권을 벗어난 것”이라며 “합동조사단은 저장 여부를 떠나서 통제권·시스템 밖으로 나간 정보는 모두 유출된 것이라고 보고 있고, 법적으로도 그렇게 해석하고 있다”고 강조했다.
최우혁 과기정통부 정보보호네트워크정책실장 또한 “개인정보 유출, 조회에 대한 부분은 법적으로 차이가 있는 게 아니고 조회가 곧 유출을 의미한다”며 “개인정보보호법 지침에 따라 타인이 개인정보를 조회하는 순간 통제권을 벗어난 '유출'로 봐야 한다. 조회라고 해서 책임이 가벼워지는 것이 아니고, 정부는 이를 명확히 유출로 보고 있다”고 일갈했다.
임정규 민관합동조사단장 역시 “배송지 목록의 주소를 보면 한 페이지에는 주소가 최대 20개까지 등록될 수 있고, 거기에 성명·전화번호·주소·마스킹된 공동현관 비밀번호까지 다 들어가있다”며 “합동조사단은 조회된 한 페이지를 1건으로 본 건데, 그래서 1억4800만회 이상 무단 조회했다고 발표한 것이다. 결론적으로 1억4800만건 이상의 정보가 통제권 밖으로 나간 것”이라고 지적했다.
쿠팡이 자체 조사 결과라고 주장하며 일방적으로 축소 발표한 것을 합동조사단이 정면 반박한 셈이다.
사고의 원인 분석 결과는 쿠팡의 보안 관리 실태가 얼마나 부실했는지를 여실히 보여준다. 공격자인 전직 직원 A씨는 재직 당시 이용자 인증 시스템 설계 및 개발 업무를 담당하며 보안 취약점과 키 관리 체계의 허점을 정확히 인지하고 있었다.
쿠팡은 자체 규정상 서명키를 별도의 ‘키 관리 시스템’에만 보관해야 한다고 명시하고 있었으나, 실제로는 현직 개발자들조차 업무 편의를 위해 개인 노트북에 서명키를 하드코딩 방식으로 저장해 온 사실이 포렌식 결과 확인됐다.
최우혁 실장은 “현재 재직 중인 쿠팡 개발자도 노트북에 서명키를 저장하고 있어 키 유출 및 오남용 위험이 있음을 발견했다”며 “과거 퇴사한 공격자 역시 동일한 형태의 업무를 했기 때문에 키를 저장했을 수 있다. 키 관리가 전반적으로 제대로 이뤄지지 않았던 것”이라고 설명했다.
특히 이번 대규모 개인정보 유출을 유발한 공격자는 이미 쿠팡을 퇴사한 상태였다. 이에 따라 쿠팡이 해당 서명키를 더 이상 사용하지 못하도록 갱신 절차를 진행했어야 했는데, 관련 체계 및 절차가 미비해 사실상 방치한 것으로 나타났다.
심지어 쿠팡은 과거 모의해킹을 통해 인증 체계의 구조적 결함을 이미 파악하고 있었음에도 불구하고, 발견된 지점만 임시방편으로 막았을 뿐 관문 서버의 검증 체계 전반을 개선하는 조치는 취하지 않았다.
쿠팡은 지난 5일 ”조사 과정에서 16만5000여 건의 추가 유출을 확인했다“며 뒤늦게 수습에 나섰지만 이미 1만배나 축소된 셀프 조사 결과를 내세워 쿠팡에 대한 신뢰에 의문이 남을 수밖에 없게 됐다.
이번 합동조사단 조사 결과에 대해 최우혁 실장은 “조사단은 법과 원칙에 따라 어떤 기업도 차별하지 않고 공정하게 조사했다”며 “결과는 나오는 대로 신속하고 투명하게 공개하겠다는 원칙을 실천했다”고 강조했다.
정부는 이번 조사 결과를 토대로 쿠팡에 강도 높은 재발 방지 대책 이행 계획을 이달 중 제출하도록 하고, 쿠팡의 이행(3~5월) 여부를 점검(6~7월)할 계획이다. 이행점검 결과에 따라 보완이 필요한 사항에 대해서는 시정조치도 명령할 방침이다.
구정하 기자 goo@kmib.co.kr
