화요일, 한국 정부는 쿠팡에 보안 취약점을 시급히 보완할 것을 요구했다. 정부 조사 결과 이번 대규모 데이터 유출 사고는 쿠팡의 사용자 인증 시스템 결함과 연관된 것으로 드러났다.
쿠팡은 한국 최악의 데이터 유출 사고 중 하나를 겪었고, 이로 인해 미국과의 무역 마찰이 심화되었습니다. 워싱턴 관계자들이 미국 기술 기업들에 대한 처우에 우려를 표명했기 때문입니다.
이번 조사 결과로 전자상거래 대기업인 해당 업체는 개인정보 보호 및 보고 방식에 대한 규제 당국의 면밀한 조사에 나서면서 다시금 압박을 받고 있습니다. 경찰과 국가 데이터 보호 감독 기관 또한 해당 사안에 대한 조사를 계속 진행하고 있습니다.
프로브는 인증 실패를 식별합니다.
과학기술정보통신부는 2025년 1월 초, 한 개인이 인증 관련 사용성 문제를 악용하여 쿠팡 시스템에 무단 접근을 시도했다고 밝혔습니다. 조사 결과, 이러한 시도는 실제 데이터 유출 사실이 공개적으로 알려지기 전에 발생한 것으로 나타났습니다.
"공격자는 사용자 인증 취약점을 악용하여 정식 로그인 없이 사용자 계정에 접근하고 대규모 무단 정보 유출을 초래했습니다."라고 해당 부처는 밝혔습니다.
조사 결과, 해당 개인은 인증 과정의 취약점을 악용하여 사용자 계정에 무단으로 접근했으며, 이로 인해 약 3,370만 명의 고객 개인 정보가 유출된 것으로 밝혀졌습니다.
해당 부처는 이번 데이터 유출 사건이 2024년 11월에 퇴사한 내부 직원이 보안 서명 키를 악용하여 위조 인증 토큰을 생성한 데 따른 것이라고 판단했습니다.
보고서에 따르면 해당 직원은 쿠팡의 사용자 인증 시스템 일부를 설계 및 개발했으며, 회사는 이 직원이 고객의 기밀 계정 정보에 접근할 수 있도록 충분한 보호 조치를 마련하지 못했습니다.
"위조되거나 변조된 전자 출입 카드에 대한 검증 시스템이 미흡하여 공격을 사전에 감지하거나 블록 어려웠다"고 해당 부처는 밝혔다.
2025년 12월, 쿠팡은 최근 발생한 고객 개인정보 유출 사고로 피해를 입은 고객들에게 11억 7천만 달러 상당의 상품권을 지급하며 보상하겠다고 밝혔습니다. 회사 측은 유출된 정보는 고객의 이름, 이메일 주소, 일부 주문 내역, 집 주소뿐이며 결제 정보나 로그인 정보는 유출되지 않았다고 강조했습니다.
규제 당국, 쿠팡 시스템 업그레이드 요구
당국은 쿠팡에 표준 발급 절차를 거치지 않고 발급받은 전자 출입 카드를 감지하고 차단할 수 있는 첨단 기술을 도입하라고 명령했다.
내무안전부는 "쿠팡에 정식 발급 절차를 거치지 않고 발급된 전자 출입 카드를 감지하고 차단하는 도구를 설치하도록 지시했다"고 밝혔다.
경찰과 개인정보보호위원회는 해당 사건에 대해 각각 독립적인 조사를 진행하고 있습니다.
내무부는 또한 쿠팡이 정보망법을 위반하여 사건 발생 후 24시간 이내에 신고하지 않았다고 비난했습니다. 규제 당국은 쿠팡이 11월 17일에 해킹 사실을 인지했음에도 불구하고 11월 19일까지 아무런 신고를 하지 않았다고 주장했습니다.
현재 해당 부처는 최대 3천만 원(약 2만 596달러)의 행정처벌 부과 여부를 검토 중입니다. 부처는 자료 훼손 혐의를 관련 부서에 이관하여 검토하도록 했습니다. 쿠팡 측은 이번 조사 결과에 대해 어떠한 공식 입장도 발표하지 않았습니다.
