쿠팡 정보유출, 3367만건보다 커질 가능성… 10일 과학기술정보통신부가 발표한 쿠팡 개인정보 유출 및 침해 사고에 관한 민관 합동 조사 결과에 따르면 개인정보 규모는 정부가 당초 추정하던 대로 3300만건을 넘어서고 범인이 들여다본 배송지 주소 등의 정보는 1억 5000만건에 달하는 것으로 파악됐다. 사진은 이날 서울의 한 쿠팡 캠프 모습. 2026.2.10 연합뉴스

쿠팡의 역대급 개인정보 유출 사고를 조사한 민관합동조사단이 이용자 인증부터 내부 키 관리, 법적 의무 준수 등 보안 체계 전반에서 쿠팡에 총체적인 부실이 있었다고 밝혔다. 이에 내부 직원이 ‘마스터키’를 복제했고 거대 플랫폼 쿠팡의 보안 체계가 모래성처럼 무너졌다는 것이다.민관합동조사단은 10일 정부서울청사에서 쿠팡 침해사고 조사 결과를 발표하며 “분명히 관리의 문제”라며 “지능화된 공격으로 보기는 어려울 것 같다”고 밝혔다.조사 결과에 따르면 공격자는 쿠팡 재직 당시 소프트웨어 개발자였고 이용자 인증체계와 서명 키 관리체계의 취약점을 인지하고 있었다. 이후 공격자는 퇴사한 뒤 위·변조한 전자 출입증을 이용해 쿠팡 서비스에 무단으로 접속했지만 쿠팡 시스템에는 해당 출입증이 정상 발급된 것인지를 확인하는 절차가 전혀 없었다. 쿠팡은 공격자의 퇴사와 동시에 그의 서명키를 막는 절차도 진행하지 않았다.쿠팡의 서명키 관리 규정도 유명무실했다. 내부적으로 서명키를 전용 시스템에만 보관하고 개인 PC 저장을 금지했지만, 공격자는 재직할 때 자신의 노트북에 서명키를 버젓이 저장했다. 서명키의 발급 내역을 기록·관리하는 이력 체계도 없었다. 내부자의 서명키 탈취와 같은 위협에 대한 대응체계도 부재했다. 보안의 기본 원칙인 개발과 운영 환경의 분리도 이뤄지지 않았고, 공격자는 실제 운영 중인 키 관리 시스템에 직접 접근할 수 있었다.비정상적인 접속을 감지하는 정보보호 관리체계도 작동하지 않았다. 동일한 식별번호가 반복 사용되는 등 명백한 공격 징후가 있었지만, 쿠팡은 이를 탐지하거나 차단하지 못했다. 접속기록(로그) 관리 기준도 일관성이 없어 사고 발생 후에도 피해 규모를 산정하는 데 어려움을 겪었다.사후 대응 과정에서도 법 위반 사항이 다수 적발됐다. 침해사고 인지 후 24시간 이내에 신고해야 하지만, 쿠팡은 이틀이 지난 뒤 신고해 과태료 처분을 받게 됐다. 또 정부의 자료 보전 명령을 받은 상태였지만 약 5개월 분량의 웹 접속 기록과 일부 앱 접속 기록이 삭제됐다. 이에 정부는 수사를 의뢰했다.