쿠팡의 지난해 11월 개인정보 유출 사건 당시 개인 이름과 이메일 정보 약 3367만 건, 배송지 관련 정보 약 1억4800만 회가 유출됐다고 정부가 공식 발표했다. 과학기술정보통신부는 10일 쿠팡 침해사고와 관련해 민관합동조사단의 조사 결과 발표를 통해 이 같이 나타났다며, 조사단은 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 사고 원인을 분석하고 재발 방지 대책을 마련했다고 밝혔다.

이번 사고는 쿠팡이 지난해 11월 16일 개인정보 유출 의심 이메일을 접수하면서 드러났다. 쿠팡은 자체 조사를 거쳐 같은 달 17일 침해사고 발생을 인지했고, 19일 4536개 계정의 개인정보가 유출됐다는 내용으로 한국인터넷진흥원(KISA)에 신고했다. 그러나 현장 조사 결과 실제 유출 규모는 3000만 개 이상의 계정에 이르는 것으로 확인됐다. 과기정통부는 이를 국내 최대 전자상거래 플랫폼에서 발생한 중대한 침해사고로 판단하고, 11월 30일 민관합동조사단을 구성해 조사를 진행했다.

조사단은 웹과 애플리케이션 접속기록 분석, 공격 범위와 유출 규모 산정, 인증체계와 정보보호 관리체계 점검을 실시했다. 공격자가 악용한 이용자 인증 구조와 키 관리 체계를 중심으로 사고 원인을 분석했으며, 공격자 PC 저장장치와 현직 개발자 노트북에 대한 포렌식 분석도 병행했다.

조사 결과 공격자는 쿠팡의 '내정보 수정', '배송지 목록', '주문 목록' 페이지 등에 비정상적으로 접근해 이용자 성명, 이메일, 전화번호, 배송지 주소, 주문 정보 등을 유출한 것으로 확인됐다. 접속기록 분석을 통해 성명·이메일 정보 약 3367만 건, 배송지 관련 정보가 포함된 페이지 약 1억4800만 회 조회, 주문 목록 페이지 약 10만 회 조회 사실이 확인됐다. 구체적인 개인정보 유출 규모는 개인정보보호위원회가 별도로 확정해 발표할 예정이다.

사고 원인 분석 결과, 공격자는 재직 당시 담당했던 이용자 인증 시스템의 서명키를 탈취해 정상 로그인 절차 없이 인증을 통과할 수 있는 '전자 출입증'을 위·변조했다. 인증 서버는 해당 출입증의 정상 발급 여부를 검증하는 절차를 갖추지 못했고, 키 관리 체계 역시 퇴사자 접근 통제와 이력 관리가 미흡했던 것으로 드러났다. 공격자는 이를 활용해 자동화된 웹 크롤링 방식으로 장기간에 걸쳐 대규모 정보를 수집했다.

조사단은 쿠팡의 정보보호 관리체계 전반에서도 문제점을 확인했다. 비정상 접속 행위에 대한 탐지와 차단이 이뤄지지 않았고, 접속기록 저장 기준이 일관되지 않아 피해 규모 산정과 이용자 식별에 어려움이 발생했다. 또한 서명키를 개발자 PC에 저장하는 등 내부 규정 미준수 사례도 확인됐다.

법 위반 사항으로는 침해사고 신고 지연과 자료보전 명령 위반이 확인됐다. 쿠팡은 침해사고 인지 후 24시간 이내 신고 의무를 지키지 않았으며, 자료보전 명령 이후에도 일부 접속기록이 삭제됐다. 이에 따라 과기정통부는 과태료 부과 절차를 진행하고, 자료보전 명령 위반과 관련해서는 수사기관에 수사를 의뢰했다.

과기정통부는 쿠팡에 대해 인증체계 검증 강화, 키 관리·통제 체계 정비, 비정상 접속 탐지와 로그 관리 정책 개선 등 재발 방지 대책 이행 계획을 제출하도록 요구했다. 향후 이행 여부를 점검하고, 필요 시 시정 조치를 명령할 방침이다.

과기정통부는 이번 조사 결과를 계기로 대규모 플랫폼 사업자의 정보보호 관리체계 전반을 점검하고, 유사 침해사고 재발 방지를 위한 관리·감독을 강화할 계획이다.