이용자 정보 3367만건…총 1억8193만회 열람 확인
전직 개발자 소행…서명키 탈취해 전자 출입증 위조, 장기간 침투
키 관리·침해 대응·법 위반까지 드러나
[아이뉴스24 서효빈 기자] 쿠팡 이용자 인증체계의 취약점을 악용한 내부자 소행의 장기 침투 공격 정황이 확인됐다. 전직 개발자가 시스템 서명키를 이용해 전자 출입증을 위·변조했고 정상 인증 절차를 우회해 3367만건의 이용자 계정이 유출된 것으로 조사됐다. 정부는 법 위반 여부에 대한 후속 조치와 함께 재발방지 대책 이행 여부를 집중 점검할 계획이다.
이용자 정보 3367만건…총 1억8193만회 열람 확인
![배송지 목록 페이지(예시) [사진=과기정통부]](https://image.inews24.com/v1/243ec9f0fd83ad.jpg)
배송지 목록 페이지(예시) [사진=과기정통부]과학기술정보통신부는 쿠팡 직원에 의한 정보통신망 침해사고에 대한 민관합동조사단 조사 결과를 10일 발표했다.
조사 결과, 공격자는 내정보 수정 페이지에서 성명과 이메일이 포함된 이용자 정보 3367만3817건을 유출한 것으로 확인됐다. 배송지 목록 페이지는 성명, 전화번호, 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 상태로 1억4805만6502회 조회돼 정보가 유출됐다.
배송지 목록 수정 페이지는 성명, 전화번호, 주소, 공동현관 비밀번호가 포함된 정보가 5만474회 조회됐다. 주문 목록 페이지에서도 이용자가 최근 주문한 상품 정보가 10만2682회 조회된 것으로 조사됐다.
배송지 목록 페이지에는 계정 소유자 본인 외에도 가족이나 지인 등 제3자의 개인정보가 다수 포함돼 있어 피해 범위가 확대된 것으로 분석됐다. 개인정보 세부 유출 규모는 개인정보보호위원회에서 최종 확정할 예정이다.
전직 개발자 소행…서명키 탈취해 전자 출입증 위조, 장기간 침투
![배송지 목록 페이지(예시) [사진=과기정통부]](https://image.inews24.com/v1/57cf76f8b40a3d.jpg)
유출경로 분석 이미지 [사진=과기정통부]분석 결과 공격자는 2025년 4월14일부터 11월8일까지 장기간에 걸쳐 공격을 진행한 것으로 확인됐다. 공격자는 특정 서버사용자 식별번호를 사용해 이용자 계정에 접근했으며, 이를 기준으로 접속 로그 내 공격자 IP와 유입 경로를 추적했다. 공격 과정에서는 총 2313개 IP가 사용된 것으로 조사됐다.
또한 공격자는 재직 당시 시스템 장애 대응 등을 위해 이용자 인증 시스템 설계·개발 업무를 수행한 백엔드 개발자로 확인됐다. 공격자는 재직 중 이용자 인증체계와 키 관리체계의 취약점을 인지하고 있었던 것으로 조사됐다.
쿠팡 이용자는 정상 로그인 절차를 거쳐 전자 출입증을 발급받고, 관문 서버가 이를 검증한 뒤 서비스 접근을 허용한다. 그러나 공격자는 재직 당시 관리하던 인증 시스템의 서명키를 탈취한 뒤 이를 활용해 전자 출입증을 위·변조했다. 이로 인해 정상적인 로그인 절차 없이 쿠팡 서비스에 무단 접속할 수 있었던 것으로 확인됐다.
2025년 1월 이전부터 공격 테스트를 진행한 정황도 확인했다. 포렌식 결과 현재 재직 중인 개발자 노트북에 서명키가 저장돼 있었고, 공격자 저장장치에서는 위·변조된 전자 출입증과 이용자 고유식별번호가 발견됐다.
공격자는 사전 테스트를 통해 이용자 계정 접근이 가능하다는 사실을 확인한 뒤 자동화된 웹 크롤링 공격 도구를 이용해 대규모 정보를 유출했다. 이 과정에서 공격자는 정보 수집과 외부 서버 전송이 가능한 공격 스크립트를 작성한 것으로 조사됐다.
위·변조된 전자 출입증을 이용해 타인의 계정으로 무단 접속한 뒤 주문목록 등 정보를 해외 소재 클라우드 서버로 전송할 수 있는 기능도 확인됐다. 다만 실제 전송 여부는 기록이 남아 있지 않아 확인되지 않았다.
조사단 "쿠팡 보안관리 총체적 부실"…키 관리·침해 대응·법 위반까지 드러나
조사단은 쿠팡 정보보호 체계 전반에서 문제라고 판단했다. 정상 발급 절차를 거치지 않은 전자 출입증을 검증하는 체계가 부재했고, 모의해킹을 통해 취약점을 인지하고도 근본적인 개선이 이뤄지지 않았다.
서명키는 키 관리 시스템에서만 보관하도록 내부 규정에 명시돼 있으나 개발자 PC에 저장돼 있었고, 키 발급과 사용 이력 관리 체계도 부재했다. 개발과 운영이 분리되지 않아 개발자가 운영 중인 키 관리 시스템에 접근할 수 있었던 점도 문제로 지적됐다.
또 비정상 접속 행위가 반복적으로 발생했음에도 이를 탐지·차단하지 못했고, 접속기록을 일관된 기준 없이 저장·관리해 피해 이용자 식별과 유출 규모 산정에 어려움이 발생했다.
법 위반 사항도 확인됐다. 쿠팡은 침해사고를 인지한 2025년 11월17일 16시 이후 24시간이 지난 11월19일 21시35분에 한국인터넷진흥원에 신고해 신고 지연에 해당한다. 과기정통부는 정보통신망법에 따라 과태료를 부과할 예정이다.
또 자료보전 명령 이후에도 웹과 애플리케이션 접속기록을 삭제해 조사에 제한을 초래한 점이 확인돼 수사기관에 수사를 의뢰했다.
과기정통부 관계자는 "이번 조사 결과를 토대로 쿠팡에 재발방지 대책에 따른 이행계획을 2월 중 제출하도록 하고, 3월부터 5월까지 이행 여부를 점검할 계획"이라며 "점검 결과 보완이 필요한 사항이 확인될 경우 정보통신망법에 따라 시정조치를 명령할 방침"이라고 말했다.
/서효빈 기자(x40805@inews24.com)포토뉴스
![[기획] 양자컴퓨터가 '코인' 암호도 뚫는다던데... 진짜?](https://it.donga.com/media/__sized__/images/2026/2/10/6c210f134d544ceb-thumbnail-960x540-70.jpg)
![[자동차와 法] ADAS가 사고 내고 책임은 사람이 진다...과실비율의 사각지대](https://it.donga.com/media/__sized__/images/2026/2/10/416b3147710f4be7-thumbnail-960x540-70.jpg)
![[컨콜종합] 1600억원 벌어들인 '아이온2'…엔씨소프트 자존심 살렸다](https://image.inews24.com/v1/70c6f9900ae721.jpg)
![이통3사 영업익 4조 회복…해킹 직격탄 SKT 주춤, KT·LGU+ 역대급[종합]](https://image.inews24.com/v1/a4f4265e5435cd.jpg)
English (US) · 