[대전인터넷신문=세종/최대열기자] 과기정통부는 2월 10일 쿠팡에서 퇴사 개발자가 인증 서명키를 악용해 2025년 4월부터 11월까지 3,300만건 이상의 개인정보를 유출하고 배송지 등 정보를 대규모 조회한 침해사고 조사결과를 발표했으며, 향후 피해보상과 기업 책임 문제가 주요 쟁점으로 떠오르고 있다.

서울경찰청 건물과 쿠팡 로고, 개인정보 유출을 상징하는 그래픽 요소를 인공지능(AI)으로 합성해 제작한 참고 이미지로, 실제 사건 현장이나 특정 인물을 직접 촬영한 사진은 아님을 밝힙니다. [제작-대전인터넷신문]

과학기술정보통신부는 10일 민관합동조사단 조사 결과, 쿠팡 이용자 인증체계 취약점을 악용한 대규모 정보 침해사고가 발생했으며 일부 개인정보 유출과 대량 조회가 확인됐다고 밝혔다. 과기정통부는 이번 사건을 “국내 최대 전자상거래 플랫폼에서 발생한 중대한 침해사고”라고 평가했다.

조사 결과 내정보 수정 페이지에서 성명과 이메일이 포함된 이용자 정보 3,367만3,817건이 유출된 것으로 확인됐다. 이는 개인정보가 관리·통제 범위를 벗어나 제3자가 접근 가능한 상태에 이른 것으로 판단됐다.

배송지 목록 페이지는 1억4,805만6,502회 조회된 기록이 확인됐으며, 이 과정에서 성명·전화번호·주소와 특수문자로 비식별화된 공동현관 비밀번호 정보가 포함됐다. 배송지 목록 수정 페이지도 5만474회 조회돼 공동현관 비밀번호가 포함된 정보가 노출됐을 가능성이 있는 것으로 조사됐다.

또한 최근 주문 상품 정보가 담긴 주문 목록 페이지도 10만2,682회 조회된 기록이 확인됐다. 다만 최종 개인정보 유출 규모와 법 위반 여부는 개인정보보호위원회가 별도로 조사해 확정할 예정이다.

공격자는 쿠팡 재직 당시 이용자 인증 시스템 설계·개발을 담당했던 백엔드 개발자로 확인됐다. 그는 퇴사 전 확보한 인증 서명키를 이용해 ‘전자 출입증’을 위·변조하고 정상 로그인 절차 없이 이용자 계정에 비정상 접근한 것으로 조사됐다.

조사단은 위·변조 전자 출입증 검증 기능이 없었고, 퇴사 이후에도 서명키를 즉시 갱신하지 않는 등 키 관리 체계가 미흡했다고 지적했다. 모의해킹에서 확인된 취약점에 대한 근본 개선이 이뤄지지 않은 점도 문제로 확인됐다.

법 위반 사항도 확인됐다. 쿠팡은 침해사고 인지 후 24시간 이내 신고 의무를 지키지 않아 과태료 부과 대상이 됐으며, 정부의 자료보전 명령 이후에도 일부 접속기록이 삭제돼 수사기관에 수사가 의뢰됐다.

이번 사건과 관련해 향후 피해보상 문제도 주요 쟁점으로 떠오르고 있다. 개인정보보호법에 따르면 개인정보 유출로 피해가 발생할 경우 이용자는 손해배상을 청구할 수 있으며, 기업이 고의 또는 중대한 과실로 보호 의무를 위반한 경우 법원은 실제 손해액의 최대 3배까지 징벌적 손해배상을 인정할 수 있다.

또한 동일 피해자가 다수인 경우 집단분쟁조정이나 공동소송 등 집단 대응이 가능해 대규모 법적 분쟁으로 확대될 가능성도 제기된다. 공동현관 비밀번호 등 생활밀착형 정보가 포함된 점은 2차 피해 우려를 키우는 요인으로 지적된다.

전문가들은 이용자 차원의 대응도 필요하다고 조언한다. 배송지 정보 변경, 공동현관 비밀번호 교체 요청, 스미싱·피싱 등 2차 범죄에 대한 주의가 요구된다. 기업 역시 피해자 개별 통지, 이상 거래 모니터링, 신원도용 대응 지원 등 적극적인 보호조치를 마련해야 한다는 지적이 나온다.

정부는 재발 방지 대책으로 위·변조 전자 출입증 탐지·차단 체계 도입, 서명키 발급·폐기 이력 관리 강화, 비정상 접속 모니터링 확대, 로그 저장 관리체계 정비 등을 요구했다. 과기정통부는 2월 중 이행계획을 제출받아 6~7월 이행 여부를 점검할 계획이다.

이번 사건은 퇴사자의 내부 정보 악용과 인증·키 관리 부실이 결합된 사례로, 플랫폼 기업의 접근권한 통제와 보안 거버넌스 책임을 강화해야 한다는 요구가 커지고 있다. 대규모 개인정보를 처리하는 디지털 플랫폼의 보안 수준과 피해자 보호 체계가 기업 신뢰를 좌우하는 핵심 과제로 떠오르고 있다.

<무단전재 및 재배포금지>