과학기술정보통신부(과기정통부)는 지난 2025년 11월 발생한 쿠팡 침해사고의 원인이 내부 사정을 잘 아는 전직 개발자의 악의적 공격과 쿠팡의 부실한 정보보호 관리체계에 있었다고 결론지었다.

쿠팡 전 직원이 유출한 개인정보 규모가 정부가 당초 추정하던 대로 3천300만건을 넘어서고 범인이 들여다본 배송지 주소 등의 정보는 1억5천만건에 달하는 것으로 파악됐다.

과기정통부는 10일 정부서울청사에서 쿠팡 침해 사고에 관한 민관 합동 조사 결과를 잠정 발표했다.

▲ 전직 개발자, '마스터키' 탈취해 무단 침입...인증 체계 무력화

조사 결과, 공격자는 쿠팡의 전직 백엔드 엔지니어(Staff Back-end Engineer)로 밝혀졌다.

그는 재직 당시 시스템 설계 과정에서 인지한 인증 체계의 취약점을 퇴사 후 악용했다. 특히 일종의 ‘전자 출입증’을 만드는 서명키를 미리 탈취한 뒤, 이를 위·변조해 정상적인 로그인 절차 없이 쿠팡 서버에 자유자재로 접속했다.

쿠팡의 관문 서버에는 이 출입증이 위·변조되었는지 검증하는 절차조차 없었던 것으로 드러났다.

쿠팡 침해사고 민관합동조사단 조사결과 브리핑 [연합뉴스 제공]

▲ "로그 삭제에 신고 지연까지"

쿠팡은 침해사고 대응 과정에서 법적 의무를 다하지 않은 사실이 확인됐다.

사고 인지 후 24시간 이내에 신고해야 하는 규정을 어기고 보고를 지연했으며, 과기정통부의 '자료 보전 명령'이 내려진 후에도 자동 로그 저장 정책을 수정하지 않아 수개월 분량의 웹 접속 기록이 삭제되는 사태를 방조했다.

정부는 이에 대해 과태료 부과 및 수사기관 수사 의뢰 등 강경 대응에 나섰다.

▲ ISMS-P 인증 무색...개발자 노트북에 서명키 '하드코딩' 방치

쿠팡의 전반적인 정보보호 관리체계도 총체적 난국이었다.

내부 규정상 서명키는 별도 시스템에 보관해야 하지만, 실제로는 재직 중인 개발자 노트북 소스 코드에 서명키가 그대로 저장되어 있었다.

또한 개발과 운영 환경이 분리되지 않아 개발자가 운영 중인 키 관리 시스템에 손쉽게 접근할 수 있는 구조였다. 퇴사자가 발생했을 때 핵심 보안 자산인 서명키를 교체하거나 무효화하는 기본적인 절차도 마련되어 있지 않았다.

[연합뉴스 제공]

▲ 3,000만 명의 민감 정보 유출...성명부터 '공동현관 비밀번호'까지

유출된 정보의 범위는 매우 광범위하고 구체적이다. 이용자의 성명, 이메일은 물론이고 전화번호, 배송지 주소, 그리고 공동현관 비밀번호까지 포함된 배송지 목록 페이지가 약 1억 4,800만 회나 조회됐다.

특히 배송지 목록에는 이용자 본인뿐만 아니라 가족과 지인의 정보까지 포함되어 있어 2차 피해 우려가 커지고 있다.

개인정보보호위원회는 이번 조사 결과를 토대로 법 위반 여부를 따져 최종 유출 규모와 처벌 수위를 확정할 계획이다.

▲ 시정명령 및 재발 방지 대책 이행 점검 착수

정부는 쿠팡에 정상적인 발급 절차를 거치지 않은 접속을 탐지·차단하는 체계를 도입하고, 키 관리 시스템의 운영 기준을 명확히 하라고 명령했다.

쿠팡은 이달 중 이행계획을 제출해야 하며, 정부는 6~7월 중 실제 이행 여부를 점검해 미흡할 경우 시정명령을 내릴 방침이다.

이번 사고는 국내 최대 플랫폼이라 하더라도 내부 인적 보안과 시스템 검증이 부실할 경우 얼마나 치명적인 결과를 초래하는지 보여주는 경종이 되었다.