CloudPNG

ºC

logo
IT/바이오

"쿠팡 서버 인증 취약점 확인"…정부, 3370만명 개인정보 유출 파장 점검

문수빈 기자
입력

전자상거래 플랫폼의 인증 보안이 대규모 개인정보 유출의 새로운 취약 지점으로 부상하고 있다. 국내 3370만 명이 이용하는 쿠팡에서 고객 계정 정보가 대량 유출된 사고와 관련해, 정부가 서버 인증 체계의 구조적 취약점을 직접 확인했다. 공격자가 정상적인 로그인 절차를 거치지 않고도 고객 정보를 조회할 수 있었던 것으로 드러나면서, 단순 침입을 넘어 플랫폼 계정·인증 아키텍처 전반에 대한 재점검 필요성이 커지고 있다. 업계에서는 통신·금융사에 이어 빅테크 플랫폼까지 줄줄이 사고가 발생한 상황을 개인정보보호 규제 강화의 분기점으로 보고 있다.  

 

정부는 쿠팡으로부터 11월 19일 침해사고 신고, 20일 개인정보 유출 신고를 접수한 뒤 현장 조사를 진행해 왔다. 조사 결과 공격자는 쿠팡 서버의 인증 취약점을 악용해, 통상적인 아이디·비밀번호 입력과 다중 인증 등 로그인 절차 없이 고객 계정 정보에 접근한 것으로 확인됐다. 유출 규모는 3370만 개 이상 계정이며, 고객 이름과 이메일, 배송지 주소, 전화번호, 일부 구매 이력 등이 포함된 것으로 파악됐다. 현재까지 서버 내에서 악성코드는 발견되지 않았고, 다크웹 등 불법 유통 채널에 해당 정보가 올라온 정황도 확인되지 않았다는 것이 정부 설명이다.  

이번 사고의 핵심은 사용자 단말기나 네트워크 구간이 아니라 서버 측 인증 로직이 직접 뚫렸다는 점이다. 일반적으로 대형 플랫폼은 로그인 요청을 처리하는 인증 서버와, 인증 후 데이터를 제공하는 애플리케이션 서버를 분리하고, 세션 토큰이나 접근 토큰을 통해 권한을 검증한다. 정부 조사 내용대로라면 쿠팡의 인증 체계 어딘가에서 토큰 검증 누락이나 권한 체크 우회가 가능한 취약 지점이 존재했고, 공격자는 이를 이용해 정상 계정으로 로그인하지 않고도 데이터 조회 요청을 대량으로 보낸 것으로 해석된다.  

 

특히 이번 기술적 약점은 전통적인 계정 탈취, 피싱, 브루트포스 공격과 다른 형태다. 비밀번호를 맞히거나 도용하는 대신, 애플리케이션 프로그래밍 인터페이스처럼 서버 간 통신 경로에서 인증 값 위조, 세션 재사용, 권한 검증 로직 우회 등 서버 측 보안 설계의 허점을 노린 정황이 강하다. 이런 유형의 취약점은 개인 사용자의 보안 습관과 무관하게 발생하며, 한 번 뚫릴 경우 서비스 전체 계정이 순차적으로 노출될 수 있어 피해 규모가 기하급수적으로 커진다.  

 

시장 관점에서는 배송지 주소와 전화번호, 구매 이력 등 생활밀착형 데이터 유출이 소비자 피해를 키울 수 있다는 우려가 높다. 이름, 연락처, 주소 정보가 결합되면 피싱·스미싱 공격자는 실제 거래·배송 경험을 가장해 정교한 사회공학 공격을 시도할 수 있다. 예를 들어 최근 주문 상품을 언급하며 환불 링크를 보내거나, 배송 문제를 사칭해 악성 앱 설치를 유도하는 방식이다. 정부가 즉각 대국민 보안 공지를 내리고, 쿠팡을 사칭한 전화와 문자에 대한 특별한 주의를 요청한 배경이다.  

 

결제 정보 유출 여부는 쟁점으로 남아 있다. 쿠팡은 결제 정보와 신용카드 번호, 로그인 정보 등은 유출 범위에 포함되지 않았고, 관련 시스템이 분리돼 있다고 설명했다. 반면 정부는 시스템 논리적 분리만으로 실제 유출 가능성을 배제할 수 없다고 보고 있다. 결제 시스템 접근 경로와 로그, 내부 권한 체계까지 정밀 분석해야 하며, 결제 토큰화 여부나 카드사와의 연동 방식에 따라 잠재 리스크가 달라질 수 있기 때문이다. 과기정통부와 개인정보보호위원회는 추가 조사 후에야 결제 데이터 안전성을 공식적으로 판단하겠다는 입장이다.  

 

공격 주체를 둘러싼 논란도 진행 중이다. 정부는 현 시점에서 외부 해킹인지 내부자 연루인지 단정할 수 없다고 선을 그었다. 내부자가 직접 데이터를 반출했거나, 내부 권한을 가진 인력이 악성 코드를 심어 후속 유출이 이뤄진 과거 국내외 사례에 비춰, 다양한 시나리오를 모두 염두에 두고 수사를 확대하고 있다. 쿠팡 내부 중국 국적 직원 연루설 등 일부에서 제기되는 의혹에 대해서도, 회사 측은 수사 사안이라며 즉답을 피하고 있다.  

 

사고의 파급력이 커지면서 정부는 이날부터 민관합동조사단을 가동했다. 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 열린 긴급 대책회의에는 국무조정실, 개인정보보호위원회, 경찰청, 국가정보원, 쿠팡 경영진이 한자리에 모였다. 개인정보위는 접근통제, 접근권한 관리, 암호화 등 정보통신망법과 개인정보보호법상 안전조치 의무 위반 여부를 중점 점검하고 있다. 플랫폼이 고객 정보에 대한 접근권한을 어떻게 분리·관리해 왔는지, 서버 측 로그와 이상 행위 탐지 체계가 적절히 작동했는지가 핵심 쟁점이다.  

 

정부는 3개월간 인터넷상, 특히 다크웹을 포함한 개인정보 유출·불법 유통 모니터링 강화 기간을 운영하기로 했다. 이는 사고 직후 일회성 점검을 넘어, 해외 유출·재판매까지 추적하겠다는 의지로 해석된다. 실제로 글로벌 시장에서는 대형 플랫폼 해킹 직후 수개월 내에 유출 데이터가 묶음 형태로 거래되는 경우가 많다. 국내에서는 아직 관련 인프라와 전문 인력이 부족하다는 지적이 있어, 이번 조치를 계기로 상시 모니터링 체계와 국제 공조 네트워크를 강화해야 한다는 목소리가 높다.  

 

플랫폼 보안 규제 측면에서 보면 이번 사건은 구조적 전환을 촉발할 수 있는 계기다. 통신·금융 분야는 이미 전자금융거래법, 전자서명법, 전기통신사업법 등을 통해 강도 높은 보안 의무와 침해사고 보고 체계를 적용받고 있다. 반면 전자상거래 플랫폼은 개인정보보호법과 정보통신망법의 일반 규율 아래 있지만, 계정·인증 시스템 설계와 운영에 관한 세부 지침은 상대적으로 느슨하다는 지적이 있었다. 이번 사고를 계기로 계정 보안, 인증 로직, API 접근 제어에 대한 별도 가이드라인이나 인증 제도 도입 논의가 본격화될 가능성도 있다.  

 

해외에서는 유사한 플랫폼 대형 사고를 계기로 규제와 시장 구조가 크게 재편된 바 있다. 미국에서는 대형 리테일사의 대규모 고객정보 유출 사건 이후, 카드 정보 토큰화와 PCI DSS 준수 의무 강화, 침해사고 공개 의무 확대가 이어졌다. 유럽연합은 GDPR을 통해 대규모 유출 시 높은 수준의 과징금과 함께, 설계 단계부터 개인정보 보호를 반영하는 프라이버시 바이 디자인 원칙을 법제화했다. 국내에서도 이번 쿠팡 사태가 GDPR 수준의 과징금 상향, 침해사고 보고 의무 강화, 보안 거버넌스 책임자에 대한 명확한 책임 부과 논의를 촉발할 수 있다는 관측이 나온다.  

 

쿠팡은 정부 조사에 전면 협조하겠다는 입장을 밝혔다. 박대준 대표는 6월부터 계정 정보 유출이 발생했는데 5개월간 인지하지 못한 이유를 묻는 질문에 대해, 기술적 설명과 수사가 필요한 사안이라며 말을 아꼈다. 대신 유출 사실을 인지한 뒤 자진 신고와 피해자 개별 통지를 진행했고, 내부 조사 결과도 정부에 투명하게 제공하고 있다고 강조했다. 피해 보상과 관련해서는 유출 범위와 내용 확정, 재발 방지 대책 마련을 우선한 뒤 합리적 방안을 수행하겠다고 밝혔다.  

 

전문가들은 이번 사고가 개별 기업의 실수에 그치지 않고, 국내 플랫폼 산업 전반의 보안 수준과 책임 구조를 재정의하는 계기가 될 수 있다고 보고 있다. 클라우드 전환과 마이크로서비스 아키텍처 확산으로 인증·권한 관리 복잡도가 높아지는 상황에서, 서버 측 인증 취약점은 앞으로도 반복될 수 있는 리스크다. 산업계는 단기적으로 쿠팡 사태의 조사 결과와 제재 수위를 예의주시하면서, 계정·인증 체계 전반에 대한 선제적 점검과 투자를 병행할 수밖에 없다는 분위기다. 결국 기술적 보완과 함께, 플랫폼의 책임성과 정부 규제, 이용자 보호가 균형을 이루는 구조를 만드는 것이 새로운 성장의 전제가 되고 있다.

문수빈 기자
share-band
밴드
URL복사
#쿠팡#과기정통부#개인정보보호위원회