[사설]“현관비번, 지인정보, 주문목록도 노출”… 쿠팡, 아직 할 말 있나

최우혁 과기정통부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 ‘쿠팡 침해사고 민관합동조사단 조사결과 발표’ 브리핑을 하고 있다. 2026.02.10. 뉴시스

쿠팡의 대규모 정보 유출 과정에서 고객 이름, 전화번호, 주소 등이 보이는 ‘배송지 목록 페이지’가 1억4800만여 회나 조회됐다는 민관합동조사 결과가 10일 나왔다. 당초 알려진 것보다 정보 유출 규모가 훨씬 커질 수 있다는 뜻이다. 해당 페이지는 선물을 주고받는 가족이나 친구 등의 개인정보까지 포함된 경우가 많아 피해는 더 늘어날 수 있다.

이번 조사 결과에 따르면 쿠팡에서 프로그래머로 일하다 퇴사한 정보 유출자는 ‘내 정보 수정 페이지’에서 이름과 이메일이 포함된 개인정보 3367만여 건을 빼갔다. 쿠팡은 작년 말 ‘셀프 조사’ 결과를 기습 발표하면서 “3300만 건에 접근했지만 실제 저장한 것은 3000개뿐”이라고 주장해 유출 피해를 축소하려는 것 아니냐는 지적이 나왔다. 정부가 이번 발표로 ‘유출 규모는 3300만 건 이상’이라고 공식화하면서 쿠팡도 더 이상 할 말이 없게 됐다.

실제로 이 유출자는 배송지 목록 페이지를 1억4800만여 회 조회하는 동안 쿠팡에 가입하지 않은 고객의 지인들 정보까지도 알게 됐을 수 있다. 이 페이지에는 주소를 최대 20개까지 저장할 수 있기 때문이다. 유출자는 또 자택 공동현관의 비밀번호가 적혀 있어 안전과 직결되는 ‘배송지 목록 수정 페이지’를 5만여 회, 상품 정보가 드러나 개인 프라이버시 침해 소지가 큰 ‘주문 목록 페이지’도 10만여 회 조회한 것으로 나타났다. 이런 정보들은 보이스피싱 등 범죄집단에 흘러 들어갈 경우 돌이킬 수 없는 피해로 이어질 수 있다는 우려도 나온다.

외부 침입이 계속되는 7개월간 쿠팡의 보안시스템은 무력했다는 사실도 조사 결과에 담겼다. 정보 유출자는 쿠팡 재직 시절 미리 위·변조 해둔 ‘전자 출입증’으로 퇴사 이후에도 내부 시스템을 자유롭게 드나들었다. 쿠팡 측이 서버에 접근하는 전자 출입증의 진위만 가렸더라도 사고를 막을 수 있었다는 것이다. 쿠팡은 특히 모의 해킹 등을 통해 전자 출입증에 기반한 인증 체계의 취약점을 알고 있었지만 해결책을 찾지 않았던 것으로 조사됐다. 연간 매출액이 40조 원을 넘는 거대 기술기업의 낮은 보안의식으로 수천만 고객이 불안에 떨게 됐다.