메인 콘텐츠로 이동하기
  1. 보안 시사 분석/
  2. 2025/
  3. Week 51/

쿠팡 개인정보 3,370만 건 유출 사건

·2646 자·6 분
Security-Issues-Analysis 개인정보유출 내부자위협 인증키관리 쿠팡 퇴사자보안
목차

쿠팡 개인정보 3,370만 건 유출 사건 #

기사 정보 #

핵심 요약 #

2025년 11월, 쿠팡에서 퇴사자의 인증키 탈취를 통해 약 3,370만 건의 고객 개인정보가 유출되었다. 공격자는 2025년 6월 24일부터 약 5개월간 탐지되지 않았으며, 쿠팡은 고객 민원을 통해 사고를 인지했다.

사건/이슈 배경 #

무슨 일이 일어났는가? #

2025년 11월 6일 18시 38분, 쿠팡 시스템에 비인가 접근이 발생했다. 공격자는 액세스 토큰을 악용하여 고객 계정에 무단 접근했으며, 쿠팡은 이를 12일 후인 11월 18일 오후 10시 52분에 고객 민원을 통해 인지했다.

초기에는 약 4,500명의 피해로 파악되었으나, 후속 조사 결과 11월 29일 약 3,370만 개 계정의 개인정보가 유출된 것으로 확인되었다. 이는 쿠팡 월간 활성 이용자(MAU) 약 3,200만 명을 상회하는 규모로, 사실상 전체 고객이 피해를 입었다.

유출된 정보는 이름, 전화번호, 이메일 주소, 배송지 주소, 최근 5건의 주문 정보, 일부 공동현관 비밀번호 등이다. 쿠팡 측은 결제 정보, 신용카드 번호, 로그인 비밀번호는 유출되지 않았다고 밝혔다.

누가 관련되었는가? #

  • 공격자/위협 주체: 쿠팡 퇴사 직원(중국 국적 추정, 인증 관련 업무 담당자였던 것으로 보도됨)
  • 피해자/영향 받은 대상: 쿠팡 고객 약 3,370만 명
  • 기타 관련 당사자: 과학기술정보통신부, 한국인터넷진흥원(KISA), 개인정보보호위원회, 서울경찰청 사이버수사대

원인 분석 #

기술적 원인 #

  1. 인증키 생명주기 관리 실패: 퇴사자가 재직 중 탈취한 액세스 토큰 서명키(signing key)가 퇴사 후에도 폐기되지 않았다. 액세스 토큰 자체는 짧은 시간 내에 만료되지만, 토큰을 생성하는 서명키는 유효기간이 상대적으로 길다(일반적으로 2년). 이 서명키가 회수되지 않아 공격자는 지속적으로 유효한 토큰을 생성할 수 있었다.

  2. 인증 취약점: 공격자는 쿠팡 서버의 인증 취약점을 악용하여 정상적인 로그인 절차 없이도 고객 계정에 접근할 수 있었다.

  3. 탐지 체계 부재: 2025년 6월 24일부터 11월 6일까지 약 5개월간 비정상적인 접근이 발생했음에도 불구하고 내부 모니터링 시스템이 이를 감지하지 못했다.

관리적/절차적 원인 #

  1. 퇴사자 권한 회수 프로세스 부재: 퇴사자의 계정과 접근 권한은 삭제되었으나, 해당 직원이 보유했던 인증키에 대한 회수 및 폐기 절차가 수립되지 않았다.

  2. 키 수명 관리 부재: 인증키의 유효기간 관리와 정기적인 로테이션(교체) 정책이 없었던 것으로 보인다.

  3. ISMS-P 인증의 실효성 문제: 쿠팡은 2021년과 2024년 두 차례 ISMS-P 인증을 갱신했으나, 실제 보안 운영과 인증 결과 사이에 괴리가 있었다. 서류 중심 심사의 한계가 드러났다.

인적 원인 #

기사에서는 공격자가 퇴사 후 개인정보에 접근한 동기나 목적에 대한 구체적인 내용이 언급되지 않았다. 수사가 진행 중이며, 공격자의 국적이나 신원에 대한 공식 확인은 이루어지지 않았다.

영향 및 파급효과 #

직접적 영향 #

  • 약 3,370만 명의 개인정보(이름, 전화번호, 이메일, 주소 등) 유출
  • 2차 피해 우려: 유출된 정보를 활용한 스미싱, 피싱, 보이스피싱 등의 범죄 악용 가능성
  • 집단소송 제기: 국내에서 복수의 법률사무소가 집단소송을 준비 중이며, 미국에서도 증권법 위반 혐의로 주주 집단소송이 제기됨

간접적 영향 #

  • 쿠팡 주가 하락: 사고 공개 후 약 18% 하락 (11월 28일 $28.16 → 12월 19일 $23.20)
  • 기업 신뢰도 저하 및 브랜드 이미지 훼손
  • 이커머스 업계 전반의 보안 관리 체계 재점검 필요성 대두

예상 피해 규모 #

  • SK텔레콤은 2,700만 명 개인정보 유출로 1,374억 원의 과징금 처분을 받은 바 있어, 쿠팡도 이를 상회하는 과징금이 부과될 가능성
  • 정부는 전자상거래법에 따른 영업정지 가능성을 검토 중
  • 집단소송 규모는 국내 개인정보 유출 관련 소송 중 최대 규모가 될 전망

예방 및 대응 방안 #

사전 예방 방법 #

  1. 인증키 생명주기 관리: 모든 인증키, API 키, 서명키 등에 대해 유효기간을 설정하고, 정기적으로 로테이션하는 정책 수립
  2. 퇴사자 권한 회수 자동화: 퇴사 즉시 모든 계정, 권한뿐만 아니라 해당 직원이 생성하거나 접근 가능했던 모든 인증 수단(키, 토큰 등)을 자동으로 무효화하는 시스템 구축
  3. 이상 행위 탐지 시스템: 대량의 데이터 접근, 비정상적인 시간대의 접근, 해외 IP를 통한 접근 등을 실시간으로 모니터링하고 경보를 발생시키는 시스템 구축
  4. 제로 트러스트 아키텍처: 내부자라 하더라도 최소 권한 원칙을 적용하고, 모든 접근에 대해 지속적으로 검증하는 체계 구축
  5. 정기적인 보안 감사: 서류 중심이 아닌 실제 시스템 운영 상태를 점검하는 실질적인 보안 감사 실시

사고 발생 시 대응 방안 #

  1. 즉각적인 접근 차단: 비인가 접근이 탐지되면 즉시 해당 경로를 차단
  2. 신속한 피해 범위 파악: 초기 피해 규모를 과소평가하지 않고, 전수조사를 통해 정확한 피해 범위 확인
  3. 투명한 공개: 피해자에게 유출 항목, 유출 시점, 예상되는 2차 피해 등을 명확히 고지
  4. 관계 기관 신고: 법정 시한(24시간) 내에 과기정통부, KISA, 개인정보보호위원회에 신고

재발 방지 대책 #

  1. 보안 거버넌스 강화: 경영진 차원에서 보안을 최우선 과제로 삼고, 충분한 보안 투자 집행
  2. 내부자 위협 관리 프로그램: 특권 계정 모니터링, 데이터 접근 로그 분석, 직원 보안 교육 강화
  3. 패스키(Passkey) 도입: 쿠팡은 2026년 상반기 패스키 도입 계획을 밝혔으며, 이를 통해 토큰 기반 인증의 취약점을 보완할 예정

개인 인사이트 #

배운 점 #

이번 쿠팡 사건은 기술적 보안 솔루션만으로는 충분하지 않다는 점을 명확히 보여준다. 가장 큰 교훈은 다음과 같다:

  1. 인증 수단의 생명주기 관리가 핵심이다: 계정을 삭제하는 것만으로는 부족하다. 해당 계정이나 사용자가 생성했거나 접근 가능했던 모든 키, 토큰, 인증서 등을 추적하고 관리하는 시스템이 필요하다.

  2. 탐지 실패가 더 큰 문제다: 5개월간 탐지되지 않았다는 것은 내부 모니터링 체계가 사실상 작동하지 않았음을 의미한다. 예방도 중요하지만, 침해를 조기에 발견하는 능력이 피해 규모를 결정한다.

  3. 인증 제도의 한계: ISMS-P 인증을 받았어도 실제 보안 사고가 발생했다. 인증은 최소 기준일 뿐이며, 지속적인 보안 운영과 개선이 더 중요하다.

느낀 점 #

대기업이라도 기본적인 보안 원칙(퇴사자 권한 회수, 키 관리, 이상 탐지)이 제대로 지켜지지 않으면 대형 사고로 이어진다는 점이 충격적이었다. 특히 고객 민원으로 사고를 인지했다는 점에서, 내부 보안 팀이 자체적으로 위협을 탐지할 능력이 없었다는 것이 드러났다.

또한 초기 4,500명에서 3,370만 명으로 피해 규모가 7,500배 증가했다는 점은, 초기 대응의 중요성과 전수조사의 필요성을 보여준다.

관련 자료 #

  • 과학기술정보통신부 쿠팡 침해사고 관련 긴급 대책회의 보도자료
  • 국회 과학기술정보방송통신위원회 쿠팡 청문회 회의록
  • KISA 침해사고 대응 가이드라인

분석일: 2025-12-21
키워드: #개인정보유출 #내부자위협 #인증키관리 #쿠팡 #퇴사자보안