[대전인터넷신문=종합/권혁선 기자] 과학기술정보통신부는 10일 서울 정부청사에서 전 직원이 인증키를 악용해 2024년 4~11월 쿠팡 이용자 3,367만 건의 개인정보를 유출하고 배송지 정보를 1억4,805만 회 조회한 사실을 확인했다고 발표했다.

  ▲영상-문화체육관광부 e-브리핑

과기정통부 민관합동조사단은 ‘내정보 수정’ 페이지에서 성명과 이메일 등 3,367만3,817건이 외부로 유출됐다고 밝혔다. 배송지 목록 페이지는 1억4,805만6,502회 조회됐으며 성명·전화번호·주소와 일부 공동현관 비밀번호 정보까지 포함된 것으로 나타났다. 배송지 수정 페이지는 5만474회, 주문 목록 페이지는 10만2,682회 조회됐다. 최종 유출 규모는 개인정보보호위원회가 확정한다.

공격자는 쿠팡 인증 시스템을 설계했던 전 직원으로 확인됐다. 그는 재직 당시 확보한 서명키를 퇴사 후에도 보관하다 전자 출입증을 위·변조해 정상 로그인 없이 인증 절차를 통과했다. 이후 자동화된 웹 크롤링을 이용해 약 7개월간 대량 정보를 수집한 것으로 조사됐다.

조사단은 쿠팡의 보안 관리체계 전반에 구조적 문제가 있었다고 지적했다. 위·변조 전자 출입증 검증 절차가 없었고, 퇴사자 발생 이후에도 서명키를 즉시 폐기하거나 갱신하지 않았다. 일부 개발자가 개인 노트북에 서명키를 저장한 사실도 확인됐다. 비정상 접속이 반복됐지만 탐지·차단하지 못했고, 로그 저장 기준도 일관되지 않아 피해 규모 산정에 어려움을 초래했다.

법 위반 사항도 드러났다. 쿠팡은 침해사고 인지 후 24시간 이내 신고 의무를 지키지 않아 과태료 부과 대상이 됐다. 정부의 자료 보전 명령 이후에도 일부 웹·애플리케이션 접속기록이 삭제된 정황이 확인돼 수사기관에 수사가 의뢰됐다.

발표 과정에서는 쿠팡이 언급한 ‘3,000건 유출’ 주장과 정부 조사 결과 간 차이에 대한 질의가 이어졌다. 조사단은 “피조사기관의 설명은 참고 요소일 뿐이며 서버 전수 분석을 통해 실제 조회·유출 규모를 확인했다”고 밝혔다. 초기 추정치 3,370만 건은 정밀 분석을 거쳐 3,367만 건으로 확정했다.

[영상, 사진-문화체육관광부 e-브리핑]

‘조회’ 표현에 대한 논란과 관련해 조사단은 “조회하는 순간 정보가 통제권 밖으로 나가기 때문에 조회도 유출”이라고 설명했다. 다만 배송지 페이지는 한 화면에 최대 20개 정보가 포함될 수 있어 개인 단위 건수는 개인정보보호위원회가 별도로 산정할 예정이다.

2차 피해 여부에 대해서는 “현재까지 다크웹 등에서 확인된 바 없다”고 밝혔으나, 접속 IP와 국가 정보는 수사 사안이라며 공개하지 않았다. 조사단은 “내부자에 의한 주요 정보 탈취 위협 대응체계가 부재했다는 점이 핵심 문제”라고 강조했다.

정부는 위·변조 전자 출입증 탐지·차단 체계 도입, 인증 취약점 개선, 서명키 발급·폐기 및 이력 관리 강화, 비정상 접속 모니터링과 로그 관리 정비 등을 요구했다. 쿠팡은 이행 계획을 이달 중 제출해야 하며, 정부는 오는 6~7월 이행 여부를 점검할 예정이다.

대규모 플랫폼에서 내부자 위험과 인증 체계 결함이 결합될 경우 장기간 대량 유출로 이어질 수 있다는 점에서, 이번 사고는 기업 보안 거버넌스와 내부 통제의 실효성을 다시 점검하는 계기가 되고 있다.

<무단전재 및 재배포 금지>