입력 | 2026-02-10 14:00 수정 | 2026-02-10 14:04
쿠팡의 개인정보 유출 사건에 대한 민관합동조사단 조사 결과, 3천 3백만여 건에 달하는 개인정보가 유출된 걸로 확인됐습니다.
민관합동조사단이 쿠팡의 웹 접속 기록 6천5백42억 건을 분석한 결과, 고객 이름과 전화번호, 공동현관 비밀번호 등 총 3천 367만여 건의 개인정보가 유출됐으며, 쿠팡 전직 소프트웨어 개발자는 작년 4월부터 11월까지 7달 동안 전산망을 공격해 개인정보를 빼낸 것으로 나타났습니다.
공격자는 쿠팡 전산망이 전자출입증의 위조나 변조를 확인하는 절차가 없다는 허점을 노려 2천 3백여 개의 IP를 이용해 이름과 전화번호, 주소 등 개인정보고 있는 배송지 목록 페이지를 1억 4천만여 번 조회한 것으로 조사됐습니다.
또 공격자는 퇴사하면서 가지고 나온 관리자용 서명키로 위조 전자 출입증을 만들어 지난해 1월부터 실제 해킹이 가능한지 모의 테스트까지 벌였던 사실도 새롭게 드러났습니다.
쿠팡은 해킹이 이뤄지는 동안 비정상 접속을 알아차리지 못했고, 서명키도 갱신하지 않아 공격자가 퇴사하면서 가지고 나간 서명키를 그대로 사용할 수 있었던 것으로 나타났습니다.
조사단은 쿠팡이 침해사고를 알고도 규정을 어기고 24시간이 넘어서야 신고했고, 자료 보전 명령을 받고도 조치를 안 해 5개월 치 웹 접속 기록이 삭제된 사실을 확인해, 신고 지연에 대해 과태료를 부과하고 기록 삭제에 대해선 수사를 의뢰했습니다.