YTN

[앵커]
지난해 말 불거진 쿠팡 대규모 개인정보 유출 사태에 대한 민관 합동조사 결과가 두 달여 만에 나왔습니다.

이용자 인증 시스템 개발자였던 전직 직원이 쿠팡 서버의 취약점을 악용해 대규모 정보를 빼돌렸는데요.

고객 이름과 전화번호, 주소 등 배송지 목록 페이지도 1억 4천만 회 넘게 무단으로 조회한 사실도 드러났습니다.

과기정통부 발표 현장으로 가보겠습니다.

[최우혁 / 정보보호네트워크정책실장]
정보보호 등에 관한 법률 제48조의 4에 따라 정보통신망에 대한 침해 사실을 분석하고 유사 사고가 재발하지 않도록 재발방지대책을 마련하였습니다. 한편 개인정보보호위원회는 개인정보보호법에 따른 개인정보유출 규모 및 법 위반 여부 등을 조사 중에 있으며 경찰청은 이번 침해 사고와 관련된 증거물 분석 등 수사를 진행하고 있습니다. 여타 관련 부처들도 소관 이슈들에 대해 검토 중임을 말씀드립니다. 과기정통부는 이번 사고가 국내 최대 전자상거래 플랫폼의 침해 사고이며 대규모 정보가 유출된 중대한 침해 사고로 판단하고 2025년 11월 30일 민간합동조사단을 구성하여 피해 현황 및 사고 원인 등을 조사하였습니다.

이번 침해 사고와 관련하여 조사단은 법과 원칙에 따라 철저하게 조사를 진행하고 국내외 기업에 대한 차별 없이 공정한 잣대로 동일한 기준을 적용하고 조사 과정에서 사고와 관련된 사실이 확인될 경우 명확한 판단 근거와 구체적인 사실을 토대로 조사 결과를 투명하게 공개한다는 원칙을 가지고 조사에 임했습니다. 쿠팡은 25년 11월 16일 고객으로부터 개인정보 유출 관련 의심 이메일을 받았다는 내용의 고객의 소리를 접수한 이후 25년 11월 19일 4536개의 계정의 고객명, 이메일 주소 등 정보가 유출되었다는 내용으로 한국인터넷진흥원에 침해 사고를 신고하였습니다. 이후 한국인터넷진행원은 현장 조사를 통해 추가 피해 여부를 파악하였으며 유출 규모가 최초 신고된 4500여 개가 아닌 3000만 개 이상임을 확인하였습니다.

조사단은 공격자가 악용한 이용자 인증체계를 정밀분석하고 공격 범위와 유출 규모를 파악하고자 웹 및 애플리케이션 접속 기록 등 관련 자료에 대해 종합적인 분석을 진행하였습니다. 쿠팡으로부터 제출받은 공격자 PC 저장장치, HDD 2대, SSD 2대와 현재 재직 중인 쿠팡의 개발자 노트북에 대한 포렌식 분석도 병행하였습니다. 또한 쿠팡 전사 차원의 정보보호 관리 체계에 대해서도 점검을 진행하였습니다. 다음으로 쿠팡 짐해 사고 조사 결과 확인된 정보유출 규모에 대해서 말씀드리겠습니다. 먼저 공격자는 쿠팡에서 유출된 정보의 일부 내용을 이메일 본문에 기재하여 25년 11월 26일, 12월 25일 두 차례 쿠팡 측에 보냈습니다. 조사단은 공격자가 유출하였다고 주장하는 이용자 정보들에 대한 진위 여부를 검증하고자 쿠팡의 웹 접속 기록을 분석하였습니다.

그 결과, 조사단은 내 정보 수정 페이지에서 성명, 이메일, 배송지 목록 페이지에서 성명, 전화번호, 주소, 공동현관 비밀번호, 주문목록 페이지에서 이용자가 주문한 상품 정보를 공격자가 유출한 후 이메일에 기재하여 쿠팡 측에 보낸 것을 확인하였습니다. 해당 이메일에는 개인의 사생활을 침해할 수 있는 민감한 상품 정보가 포함되어 있는 것도 확인되었습니다. 조사단은 쿠팡 웹, 애플리케이션 접속기록 산출 방법 및 산출 결과에 대한 검증에 있어 개인정보보호위원회와 경찰청과 긴밀하게 협력하면서 주기적인 정보 공유를 통해 신뢰성을 확보하였습니다. 먼저 내 정보 수정 페이지에서 성명, 이메일이 포함된 이용자 정보 3367만 3817건이 유출되었음을 확인하였습니다.

성명, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함횐 배송지 목록 페이지를 1억 4805만 6502회 조회하여 정보가 유출되었음을 확인하였습니다. 배송지 목록 페이지에는 계정 소유자 본인 외에도 가족, 친구 등 제3자의 성명, 전화번호, 배송지 주소 등 정보가 다수 포함되어 있었습니다. 그리고 성명, 전화번호, 배송지 주소 외에 공동현관 비밀번호가 포함된 배송지 목록의 수정 페이지를 5만 474회 조회하였음을 확인하였습니다. 또한 이용자가 최근 주문한 상품목록이 포함된 주문목록 페이지를 10만 2682회 조회하였음을 확인하였습니다. 향후 개인정보 유출 규모에 대해서는 개인정보보호위원회에서 확정하여 발표할 예정임을 말씀드리겠습니다.

다음으로 사고 원인 분석입니다. 조사단은 사고 원인을 정보 유출 경로 분석과 공격자 행위 분석 두 가지 측면에서 조사하였습니다. 먼저 유출 경로 분석입니다. 조사단은 공격자가 쿠팡 서버의 인증 취약점을 악용하여 정상적인 로그인 없이 이용자 계정에 비정상 접속하여 정보를 무단 유출했음을 확인하였습니다. 정상적으로 접속하는 경우 이용자는 로그인 절차를 걸쳐 전자출입증을 발급받게 됩니다. 그리고 쿠팡 관문 서버는 발급받은 전자출입증이 유효한지 여부를 검증해 고 이상이 없을 시에 서비스 접속을 허용합니다. 반면 공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명 키를 탈취한 후 이를 활용해 전자출입증을 위변조하여 쿠팡 인증체계를 통과하였습니다. 그 결과 정상적인 로그인 절차를 거치지 않고 쿠팡 서비스에 무단 접속할 수 있게 되었습니다.

다음으로 공격자의 행위 분석입니다. 먼저 취약점 발견 단계입니다. 공격자는 재직 당시 이용자 인증 인증체계 개발을 수행하면서 이용자 인증체계의 취약점과 키 관리 체계의 취약점을 인지하고 있었습니다. 쿠팡 관문 서버는 인증 절차를 통해 전자출입증이 정상적으로 발급된 이용자에 한해 접속을 허용해야 하므로 전자출입증이 위변조되었는지에 대해서도 확인을 진행해야 합니다. 하지만 조사 결과 관련 확인 절차가 부재한 상황이었습니다. 또한 쿠팡이 관리하고 있는 서명키는 전자출입증을 발급하기 위해 사용하는 도구인 만큼 체계적이고 엄격한 관리. ..



※ ’당신의 제보가 뉴스가 됩니다’
[카카오톡] YTN 검색해 채널 추가
[전화] 02-398-8585
[메일] social@ytn.co.kr