[쿠팡] 전 직원에 의한 정보통신망 침해사고(최종결과) - 과학기술정보통신부

― “이번 쿠팡 침해사고는 단순한 내부자 일탈이 아니라, 인증·키 관리·로그 관리 전반에 걸친 구조적 관리 실패가 누적된 결과다. 특히 정상 인증 여부를 검증하지 못한 시스템 구조는 대형 플랫폼 보안의 신뢰 기반 자체를 다시 점검하게 만든다.”

목차
   ­ㄴ 사건 개요
   ­ㄴ 사고 인지 및 신고 경과
   ­ㄴ 조사 범위 및 방식
   ­ㄴ 확인된 정보 유출 규모
   ­ㄴ 사고 원인 분석
   ­ㄴ 정보보호 관리체계 문제점
   ­ㄴ 법 위반 사항
   ­ㄴ 재발 방지 대책 및 향후 계획

 

Ⅰ. 사건 개요

과학기술정보통신부는 2025년 하반기 발생한 쿠팡 정보통신망 침해사고에 대해 민관합동조사단을 구성하여 사고 원인, 유출 규모, 정보보호 관리체계 전반을 조사하고
2026년 2월 10일 그 결과를 공식 발표했다.

이번 사고는 쿠팡 전직 개발자가 내부 인증 구조의 취약점을 악용하여 정상적인 로그인 절차 없이 쿠팡 이용자 계정에 접근하고, 장기간에 걸쳐 대규모 개인정보 및 주문 정보를 조회한 사건이다.

과기정통부는 본 사고를

국내 최대 전자상거래 플랫폼에서 발생한 중대한 정보통신망 침해사고
로 판단했다.

 

Ⅱ. 사고 인지 및 신고 경과

• 2025년 11월 16일
  • 쿠팡은 “개인정보 유출이 의심된다”는 이용자 이메일(VOC)을 최초 접수
• 2025년 11월 17일
  • 자체 조사 과정에서 침해사고 발생 사실 인지
• 2025년 11월 19일
  • 한국인터넷진흥원(KISA)에 침해사고 신고
  • 최초 신고 내용:
    • 약 4,536개 계정
    • 고객명, 이메일, 주소 등 유출 주장

그러나 이후 KISA 현장 조사 및 로그 분석 결과, 실제 유출 규모는 초기 신고보다 현저히 큰 수준임이 확인됐다.

이에 과기정통부는 2025년 11월 30일 민관합동조사단을 구성하여 본격적인 원인·피해 조사에 착수했다.

Ⅲ. 조사 범위 및 방식

조사단은 다음과 같은 범위를 중심으로 조사를 진행했다.

1. 기술적 분석

• 쿠팡 이용자 인증 체계 구조 분석
• 웹·애플리케이션 접속 로그 25.6TB 분석
  • 총 6,642억 건 로그 데이터
• 공격 경로, 공격 기간, 공격자 행위 패턴 분석

2. 포렌식 분석

• 공격자 개인 PC 저장장치
  • HDD 2대, SSD 2대
• 현재 재직 중인 쿠팡 개발자 노트북
• 위·변조 인증 토큰, 공격 스크립트 존재 여부 확인

3. 관리체계 점검

• 정보통신망법상 정보보호 조치 이행 여부
• ISMS-P 인증 기준 준수 여부
• 쿠팡 내부 정보보호 규정 및 운영 실태 점검

Ⅳ. 확인된 정보 유출 규모

※ 최종 개인정보 유출 규모는 개인정보보호위원회에서 확정 예정

1. 공격자가 주장한 유출 규모

공격자는 2025년 11월 16일과 11월 25일,
총 두 차례에 걸쳐 쿠팡에 이메일을 발송하며 다음과 같이 주장했다.

• 배송지 정보 1억 2천만 건 이상
• 주문 정보 5억 6천만 건 이상
• 이메일 주소 3,300만 건 이상

2. 로그 분석을 통해 확인된 실제 유출 내역

조사단은 웹·앱 접속 로그를 기반으로 사실 여부를 검증했다.

① 내정보 수정 페이지

• 33,673,817건
• 유출 항목:
  • 성명
  • 이메일 주소

② 배송지 목록 페이지

• 148,056,502회 조회
• 유출 항목:
  • 성명
  • 전화번호
  • 배송지 주소
  • 특수문자로 비식별화된 공동현관 비밀번호
• 특징:
  • 본인 외 가족·지인 정보 다수 포함

③ 배송지 목록 수정 페이지

• 50,474회 조회
• 유출 항목:
  • 성명
  • 전화번호
  • 주소
  • 공동현관 비밀번호

④ 주문 목록 페이지

• 102,682회 조회
• 유출 항목:
  • 최근 주문 상품 정보

📌 공격 기간: 2025년 4월 14일 ~ 11월 8일
📌 사용 IP 수: 2,313개

Ⅴ. 사고 원인 분석

1. 인증 구조 취약점 악용

쿠팡 서비스는 정상적으로 다음 절차를 거쳐 이용자가 접근한다.

1. 로그인(ID/PW)
2. 인증 시스템에서 ‘전자 출입증’ 발급
3. 관문 서버에서 전자 출입증 유효성 검증
4. 서비스 접근 허용

그러나 조사 결과,

• 관문 서버에
  전자 출입증 위·변조 여부를 검증하는 절차가 존재하지 않음
• 공격자는 위·변조한 전자 출입증으로
  정상 로그인 없이 인증 체계 우회

2. 내부자 기반 공격 구조

공격자는 다음과 같은 인물로 확인됐다.

• 쿠팡 재직 당시
  • 이용자 인증 시스템 설계·개발 담당
  • 직급: Staff Back-end Engineer

문제점

• 재직 당시 사용하던 서명키를 탈취
• 퇴사 이후에도 서명키 미갱신 상태 유지
• 일부 개발자 노트북에
  • 서명키 하드코딩 저장 사실 확인

3. 장기간 사전 공격 시험 정황

• 2025년 1월 이전부터 공격 테스트 흔적 확인
• 이후 본격적인 자동화 공격 수행
• 웹 크롤링 도구를 활용한 대규모 조회

Ⅵ. 정보보호 관리체계 문제점

1. 키 관리 체계 미흡

• 서명키 발급·사용 이력 관리 부재
• 퇴사자에 대한 키 폐기·갱신 절차 미흡
• 개발자에게 운영 중인 키 관리 시스템 접근 권한 부여
• ISMS-P 취지에 반하는 개발·운영 미분리 구조

2. 탐지·로그 관리 미흡

• 동일 서버 사용자 식별번호 반복 사용에도 탐지 실패
• 비정상 인증 패턴 장기간 미탐지
• 페이지별 로그 저장 항목 불일치
• 피해 이용자 식별 및 유출 규모 산정 지연

Ⅶ. 법 위반 사항

1. 침해사고 신고 지연

• 침해사고 인지 후 24시간 초과 신고
• 정보통신망법 위반
• 과태료 부과 예정 (최대 3천만 원)

2. 자료 보전 명령 위반

• 보전 명령 이후에도
  • 웹 로그 약 5개월 분량 삭제
  • 앱 로그 일부 삭제
• 수사기관 수사 의뢰

Ⅷ. 재발 방지 대책 및 향후 계획

과기정통부는 쿠팡에 대해 다음 조치를 요구했다.

• 위·변조 전자 출입증 탐지·차단 체계 도입
• 인증 구조 전반의 근본적 개선
• 서명키 전주기 관리 체계 구축
• 비정상 접근 상시 모니터링 강화
• 로그 정책 표준화 및 정기 점검

또한,

• 2026년 2월 이행계획 제출
• 3~7월 이행 점검
• 미흡 시 시정명령 예정

 

260211 조간 (보도) 쿠팡 前 직원에 의한 정보통신망 침해사고 조사결과 발표(수정).pdf

0.86MB

감사합니다.