아파트 비밀번호까지 털리다니...3000만 쿠팡 고객 잔혹사

공격자 배송지 목록 1억 건 열람 비회원 개인정보 유출 우려도 자료 삭제 등 쿠팡 관리 소홀 도마 사진=클립아트코리아 ‘로켓배송’에 일상을 맡긴 쿠팡 고객들의 개인정보가 글로벌 공공재로 전락했다. 쿠팡의 퇴사 직원에 의한 장기 무단 접속 및 개인정보 유출 사고 이야기다. 정부는 최근 민관합동조사 결과 3367만여 건의 계정정보가 유출됐다고 밝혔다. 공격자는 배송지 목록 등 고객 정보 페이지를 1억 건 넘게 조회했고, 일부 정보는 외부로 반출된 정황도 확인됐다. 단순한 계정정보 유출을 넘어 주소·연락처·주문 내역, 나아가 공동현관 비밀번호 같은 출입 정보까지 노출될 가능성이 제기되며 사건은 ‘플랫폼 보안 사고’를 넘어 ‘생활 안전’의 문제로 번지고 있다. 퇴사 직원이 7개월 고객 정보 1억 건 열람 쿠팡은 지난해 11월 16일 한 퇴사한 직원으로부터 ‘개인정보를 유출했다’는 내용이 담긴 메일을 받는다. 회사는 다음 날 오후 정보보호최고책임자(CISO)에게 이를 보고했다. 정보통신망법은 침해 사고를 인지한 경우 24시간 이내 신고하도록 규정하고 있지만, 쿠팡은 기한을 넘긴 19일 4536개 게정의 정보가 유출됐다는 내용의 신고를 한국인터넷진흥원(KISA)에 접수했다. 정부 조사에 따르면 공격은 2025년 4월부터 약 7개월간 이어졌다. 공격자은 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 접속했다. 정상적으로 접속할 때 이용자는 로그인을 한 후 일종의 ‘전자 출입증’을 발급받는다. 그러면 쿠팡은 이 ‘전자출입증’이 유효한지 확인한다. 하지만 공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취해 ‘전자 출입증’을 위변조했고, 이를 통해 쿠팡 인증 체계를 뚫었다. 정상적인 로그인 절차 없이 쿠팡 서비스에 무단 접속한 것이다. 민관합동조사단 조사 결과에 따르면 쿠팡에는 전자출입증의 위변조 여부를 확인하는 절차가 부재했다. 유출된 정보는 사실상 고객이 쿠팡에게 제공한 거의 모든 정보다. 계정 정보뿐 아니라 ‘내 정보 수정’ 영역, 배송지 목록, 주문 내역 등 고객의 일상과 직결된 데이터가 열람됐다. 배송지에는 가족과 지인의 주소까지 저장돼 있는 경우가 많다. 여기에 공동현관 비밀번호 같은 정보가 결합될 경우, 온라인 침해는 곧 오프라인 물리적 위험으로 이어질 수 있다. 플랫폼 기업이 보관하는 데이터가 단순한 ‘회원 정보’가 아니라 ‘생활 지도’임을 보여주는 대목이다. 퇴사자도 자유로운 정보 열람…관리 소홀에 도마에 쿠팡의 사후 대응도 도마 위에 올랐다. 사고 원인 규명을 위해 정부가 자료보전 명령을 내렸지만, 일부 접속 기록이 삭제된 사실이 드러났다. 정부는 웹 접속기록 수개월치와 앱 접속기록 일부가 보존되지 않았다고 밝혔다. 이는 단순 관리 부실을 넘어 조사 방해 가능성까지 따져봐야 할 사안으로, 정부는 수사를 의뢰한 상황이다. 한편 최근 국회는 개인정보보호법 개정안을 가결했다. 이 개정안은 고의나 중과실, 또는 반복적이고 대규모인 개인정보 침해 사고가 발생했을 때 과징금 상한을 전체 매출액의 10%까지 부과하는 것을 주요 내용으로 한다. 법 개정 이전에는 전체 매출액 3% 이내로 제한돼 있었다. 이같은 정부의 입장에 대해 쿠팡은 자체 조사한 결과를 민관합동조사단과 개인정보보호위원회에 공유했다고 밝혔다. 쿠팡Inc는 “해당 전 직원이 접근한 정보는 이름, 이메일, 전화번호, 배송지 주소, 제한적 주문 내역과 일부 공용현관 출입 코드에 한정된다”며 “결제 정보, 금융 정보, 사용자 ID·비밀번호, 신분증 등 고도 민감 정보에는 접근하지 않았다”고말했다.