쿠팡에서 유출된 개인정보가 3367만여명 규모에 달하며 정보를 빼낸 전 직원이 조회한 배송 관련 정보만 1억4800만여건에 달하는 것으로 파악됐다. 정부는 무단 조회 행위 자체가 유출에 해당한다고 밝혔다. 쿠팡은 전 직원이 빼내 ‘저장’한 정보가 3000건이라고 강조했다.

◆개인정보 유출규모 추가 확대 전망 = 과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해사고에 관한 민관합동 조사 결과를 잠정 발표했다.

과기정통부는 지난해 11월 29일부터 남아있는 쿠팡의 웹 접속기록(로그) 25.6테라바이트(TB) 분량을 분석한 결과 쿠팡 ‘내 정보 수정 페이지’에서 이용자 이름, 이메일 3367만여 건이 유출된 것을 확인했다. 최근 쿠팡이 추가로 밝힌 16만5000여 계정 유출 건은 포함되지 않았다.

또 ‘배송지 목록 페이지’에서는 이름, 전화번호, 배송지 주소, 특수문자 처리된 공동현관 비밀번호가 포함된 개인정보를 범인이 1억4800만여 차례 조회, 정보가 유출된 것을 파악했다.

특히 배송지 목록 페이지에는 쿠팡 고객 본인 외에도 가족·친구 등의 이름·전화번호·주소 등 개인정보가 다수 포함돼 있는 것으로 나타났다. 추후 개인정보보호위원회 조사에서 유출 규모가 더 커질 것으로 점쳐지는 대목이다.

이동근 민관합동조사단 부단장은 “조회하는 순간 정보가 다 바깥으로, (쿠팡의) 통제권 밖으로 나가기 때문에 1.4억건을 조회해서 유출했다는 것”이라며 이들 정보를 외부에서 무단조회하는 행위 자체가 유출이라고 못박았다.

공동현관 비밀번호는 ‘배송지 목록 수정 페이지’를 통해 이름·전화번호·주소와 함께 5만여건 조회된 것으로 나타났다. 다만 결제 정보는 유출 대상에 포함되지 않았고 주소, 공동현관 비밀번호 등 민감한 개인정보가 실제 2차 피해로 이어졌는지는 확인되지 않았다.

조사단은 “웹 접속기록 등을 기반으로 유출 규모를 산정했고 정확한 개인정보 유출 규모에 대해서는 향후 개인정보위에서 확정해 발표할 예정”이라고 했다. 범행에 쓰인 것으로 추정되는 전 직원의 PC 저장장치 4대, 현재 재직 중인 쿠팡 개발자 노트북도 포렌식했다는 설명이다.

◆재발방지 대책 이행 7월까지 점검 = 이날 조사단은 유출자가 쿠팡 재직 당시 시스템 장애 시 백업을 위한 이용자 인증시스템 설계를 맡은 개발자였다며 지난해 1월부터 쿠팡 서버의 인증 취약점을 발견하고 공격 여지를 시험한 뒤 지난해 4월 14일부터 11월 8일까지 본격적인 무단 유출에 나섰다고 전했다. 다수의 IP를 사용한 사실도 확인됐다. 유출 정보를 외부 클라우드로 전송했는지 여부는 확인되지 않았다.

조사단은 이용자 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 접속, 대규모 정보 유출을 했는데도 쿠팡측이 이를 인지하지 못했다고 지적했다.

또, 정상 발급 절차를 거치지 않은 ‘전자 출입증(토큰)’이 사이버 공격에 악용될 가능성이 있다는 점이 쿠팡이 사전에 실시한 모의 해킹에서 드러난 바 있지만 쿠팡이 이를 개선하지 않았다고 했다.

조사단은 쿠팡에 인증키 발급·사용 이력 관리와 비정상 접속행위 탐지 모니터링을 강화할 것과 자체 보안규정 준수 여부에 대한 정기 점검을 실시할 것을 요구했다.

아울러, 쿠팡이 사이버 침해 사고를 인지하고 최고정보보호책임자(CISO)에게 보고한 시점인 지난해 11월 17일 오후 4시보다 만 이틀이 지난 19일 오후 9시 35분에 당국에 신고하며 24시간 내 신고 규정을 위반한 데 대해 과태료 처분할 계획이다.

또, 과기정통부가 지난해 11월 19일 정보 유출 사고 원인 분석을 위해 쿠팡에 자료 보전을 명령했지만 따르지 않아 2024년 7월부터 약 5개월 분량의 웹 접속기록이 삭제되고 지난해 5월 23일~6월 2일 애플리케이션 접속 기록이 사라진 데 대해서는 수사를 의뢰했다.

조사단은 쿠팡이 정보보호 및 개인정보보호 관리체계 인증(ISMS)을 취득하고도 접근 권한별 직무 분리와 암호정책 수립을 미흡하게 한 점을 확인하고 보완을 요청했다. 쿠팡이 보완 미비에 다른 시정명령을 이행하지 않을 경우 인증을 취소할 방침이다.

과기정통부는 조사 결과를 토대로 쿠팡에 재발 방지 대책에 따른 이행계획을 이달 중으로 제출하도록 하고 올해 7월까지 이행 결과를 점검할 계획이다.

◆쿠팡 “조사단 보고서, 검증결과 누락” = 쿠팡은 민관합동조사 결과 발표에 문제가 있다며 반발하는 한편 정보 유출 규모가 3000건이라는 시각을 거듭 내보였다.

쿠팡 모회사인 쿠팡Inc는 이날 오후 입장문을 내고 “민관합동조사단 보고서는 (정보를 유출한) 전 직원이 공용현관 출입 코드에 대해 5만건의 조회를 수행했다고 기재하면서도, 해당 조회가 실제로는 2609개 계정에 대한 접근에 한정된 것이라는 검증 결과를 누락하고 있다”고 주장했다.

또 “민관합동조사단과 개인정보보호위원회는 회수된 기기 내에 한국 이용자의 개인정보가 저장돼 있지 않음을 확인하는 포렌식 분석 결과도 보유하고 있다”며 “모든 포렌식 증거는 약 3000개 계정의 사용자 데이터를 저장한 후 이를 삭제했다는 전 직원의 선서 자백 진술과 일관되게 부합한다”고 강조했다. 외부 전송·저장이 없었으면 유출로 볼 수 없다는 시각이다.

2차 피해 가능성에 대해서는 “쿠팡 개인정보 사고로 인한 2차 피해의 어떤 증거도 확인되지 않았다”며 “이것은 독립 보안 전문 기업 CNS의 최신 분석에 따른 것”이라고도 했다.

이어 “다수의 독립 인터넷 보안 전문 업체가 다크웹·딥웹·텔레그램, 중국 메신저 플랫폼 등을 모니터링한 결과를 주간 단위로 쿠팡에 전달하고 있다”고 했다.

쿠팡Inc는 입장문에서 “전 직원은 결제·금융 정보, 사용자 ID 및 비밀번호, 정부 발급 신분증 등 고도 민감 고객 정보에 접근하지 않았다”며 “이는 클라우드 플랫폼 제공 업체인 아카마이(Akamai)의 보안 로그를 통해 검증됐으며, 해당 로그는 2025년 12월 8일 민관합동조사단과 개인정보보호위원회에 전달됐다”고 언급했다.

◆“김범석 의장, 국회 출석을” = 한편 경제정의실천시민연합 등 시민단체들로 구성된 ‘소비자 보호를 위한 집단소송법 제정연대’는 이날 성명을 내고 “미국 기업으로부터 역차별 당하는 국내 소비자를 보호하고 다시는 쿠팡사태가 재발하지 않기 위해서는 반드시 집단소송제가 도입돼야 한다”고 주장했다.

이들 단체는 “국내 소비자, 노동자, 자영업자를 착취해 거대 유통기업으로 성장하더니 이제 와서는 미국 기업임을 내세우며 거대 로비를 통해 초유의 개인정보 유출사태를 덮으려 하고 있다”며 “이 모든 사건의 핵심 책임자인 김범석 의장은 더 이상 숨지 말고 직접 국회에 출석하여 모든 국민 앞에 머리 숙여 사과해야 한다”고 했다.

이재걸 기자 claritas@naeil.com