2025.11.29 쿠팡 개인정보유출 및 해킹 사고 요약

국내 최대 이커머스 플랫폼인 쿠팡에서 3,370만 건에 달하는 대규모 개인정보 유출 사고가 발생했습니다.

이는 단순한 정보 침해를 넘어, 국내 보안 사고 역사상 역대 2위 규모에 해당하는 중대한 사안입니다. 

 

1. 사고 개요 및 유출 데이터 범위

이번 사고의 가장 심각한 점은 유출된 데이터의 '규모'와 '디테일'입니다.

• 피해 규모 : 총 3,370만 계정의 정보가 유출되었습니다. 이는 쿠팡의 3분기 활성 고객 수(약 2,470만 명)를 상회하는 수치로, 현재 이용 중인 고객뿐만 아니라 탈퇴한 회원 및 비활성 계정까지 포함된 전체 데이터베이스가 타깃이 된 것으로 추정됩니다.
• 유출 항목 : 이름, 이메일, 전화번호, 주소, 수령인 정보(주소록), 일부 주문 내역 등 개인을 특정할 수 있는 민감 정보가 포함되었습니다.
• 보존 항목 : 쿠팡 측은 결제 정보, 비밀번호, 로그인 자격 증명 등은 암호화되어 있어 유출되지 않았다고 밝혔습니다.

 

2. 공격 타임라인 및 관제 실패 분석

보안 사고 대응 프로세스에서 가장 뼈아픈 부분은 '탐지 시점(Time to Detect)'의 지연입니다. 공격자는 약 5개월간 시스템에 접근했으나, 보안 관제 시스템은 이를 식별하지 못했습니다.

• 최초 침해 시점: 2025년 6월 24일부터 해외 서버를 통한 비정상적인 데이터 접근 시도가 시작되었습니다.
• 탐지 및 인지: 사측은 11월 18일에 이르러서야 침해 사실을 인지했습니다. 이는 약 5개월 동안 데이터 유출 통로가 열려 있었음을 의미하며, 비정상 트래픽 모니터링 체계의 심각한 허점을 드러냅니다.
• 초기 오판: 최초 인지 시점(11월 18일)에는 피해 규모를 약 4,500명으로 추산하여 해당 인원에게만 통지했으나, 이후 조사 과정에서 피해 규모가 3,370만 명으로 7,500배 이상 확대되는 정정 공시가 이루어졌습니다.

 

3. 기술적 원인 분석 (추정)

현재 민관합동조사단이 구성되어 조사가 진행 중이나, 공개된 정보를 종합할 때 API 권한 검증 미흡이 주요 원인으로 지목됩니다.

• 취약점 악용: 로그인한 사용자에게 부여되는 '서명된 액세스 토큰(Signed Access Token)'의 검증 로직 취약점이 악용된 것으로 보입니다.
• 공격 시나리오: 공격자는 유효한 인증 토큰을 보유하지 않거나 권한이 없는 상태에서 API를 호출하여 타인의 프로필 및 주소록 정보를 대량으로 쿼리(Query)한 것으로 분석됩니다. 이는 전형적인 BOLA(Broken Object Level Authorization, 객체 수준 인가 취약점) 사례일 가능성이 높습니다.
• 내부자 소행설: 일각에서는 중국 국적의 전 직원이 퇴사 직후 유출되었다는 내부자 공모 의혹이 제기되었으나, 현재 경찰 수사가 진행 중이며 확정된 사실은 아닙니다.

 

4. 보안 위협 평가 및 대응 권고

결제 정보가 유출되지 않았다고 해서 안심할 수 있는 단계가 아닙니다. 유출된 정보의 조합(실명+전화번호+상세주소+주문이력)은 고도화된 사회공학적 공격(Social Engineering)에 최적화된 데이터입니다.

• 2차 피해 우려: 공격자는 확보한 주문 정보와 주소를 결합하여 택배사, 쇼핑몰 등을 사칭한 정교한 스미싱(Smishing) 및 보이스피싱을 시도할 가능성이 매우 높습니다.
• 사용자 대응: 출처가 불분명한 URL 클릭을 절대 지양하고, 특히 배송 관련 문자 수신 시 공식 앱을 통해서만 배송 현황을 확인하는 습관이 필요합니다.

 

5. 결론 

이번 쿠팡 사태는 '편의성'과 '보안'의 트레이드오프(Trade-off) 관계에서 보안이 우선순위에서 밀렸을 때 발생할 수 있는 최악의 시나리오를 보여줍니다.