CloudPNG

ºC

logo
IT/바이오

쿠팡 서버 인증취약점 악용 대규모 유출…정부 민관합동 조사 착수

오예린 기자
입력

쿠팡을 겨냥한 대규모 사이버 침해사고가 국내 전자상거래 산업의 취약한 인증 보안 구조를 다시 떠올리게 하고 있다. 공격자는 서버 인증 취약점을 파고들어 정상 로그인 절차 없이 고객 계정 정보에 접근한 것으로 확인됐다. 전자상거래와 핀테크, 통신 등 생활 인프라가 하나의 데이터 생태계로 연결된 상황에서, 단일 플랫폼에서 시작된 유출이 금융피해와 2차 공격으로 번질 수 있다는 우려가 커지고 있다. 업계에서는 이번 사태를 계기로 기업들의 인증 체계와 개인정보 보호 수준을 전면 재점검하는 계기가 될 것으로 보고 있다.

 

과학기술정보통신부는 11월 30일 정부서울청사에서 배경훈 부총리 겸 장관 주재로 쿠팡 침해사고 및 개인정보 유출 관련 긴급 대책회의를 열었다고 밝혔다. 회의에는 윤창렬 국무조정실장, 송경희 개인정보보호위원장, 유재성 경찰청장 직무대행, 국가정보원 3차장 등 관계기관 핵심 인사가 참석해 사고 경위와 대응 체계를 점검했다. 정부는 11월 19일 쿠팡으로부터 침해사고 신고를, 11월 20일 개인정보 유출 신고를 접수한 이후 현장 조사를 진행해 왔다.

조사 결과 공격자는 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 과정 없이 내부 시스템에서 고객 계정 정보를 조회할 수 있었던 것으로 드러났다. 그 결과 3000만 개 이상 고객 계정에서 고객명, 이메일, 배송지 전화번호와 주소 등 핵심 식별 정보가 외부로 유출된 것으로 파악됐다. 암호화 안전조치 대상인 비밀번호나 금융정보 유출 여부는 추가 조사를 통해 정밀 확인이 필요하지만, 이름과 연락처, 주소 정보만으로도 계정 탈취와 사회공학 공격에 이용될 수 있어 보안 전문가들은 심각한 사고로 평가하고 있다.

 

이번 공격의 핵심 지점은 사용자 단말기나 앱이 아닌 서버 측 인증 로직의 취약점이다. 일반적으로 대형 플랫폼은 다중 인증과 세션 관리, 접근제어 시스템을 통해 로그인 후 이용자의 권한을 검증한다. 그러나 서버 내 인증 검증 절차에서 토큰 위변조나 세션 검증 누락 등 논리적 결함이 존재할 경우, 공격자는 로그인 기록 없이 내부 API를 직접 호출해 대량의 계정 정보에 접근할 수 있다. 특히 이번 사고처럼 고객 데이터베이스와 연동된 내부 인터페이스에 대한 접근제어 정책이 미흡한 경우 피해 범위가 기하급수적으로 커질 수 있다.

 

정부는 사고 원인과 책임 소재를 명확히 규명하기 위해 이날부터 민관합동조사단을 가동했다. 정보보안, 개인정보보호, 디지털 포렌식 전문가 등이 참여하는 조사단은 쿠팡의 인증 아키텍처 설계, 접근 로그, 내부 권한 관리 체계 등을 집중 분석해 공격 시점과 경로, 유출 데이터 범위를 구체적으로 도출할 계획이다. 특히 인증 취약점이 설계 단계 문제인지, 운영 과정에서의 설정 오류인지, 또는 외부 라이브러리 취약점 연계인지에 따라 국내 전자상거래 산업 전반의 보안 기준이 재설계될 가능성도 있다.

 

개인정보보호위원회는 이번 사고에서 쿠팡이 개인정보 보호와 관련한 법적 안전조치 의무를 위반했는지를 별도로 따지고 있다. 구체적으로는 접근통제 시스템 구축 여부와 실제 운영 수준, 업무상 필요한 최소한의 접근권한 원칙 준수 여부, 고객정보 암호화 및 키 관리 방식 등이 핵심 점검 대상이다. 개인정보보호법은 주민등록번호와 금융정보뿐 아니라 이름, 연락처, 주소 등도 조합될 경우 개인을 식별할 수 있는 정보로 보고 있으며, 이를 보호하기 위한 기술적·관리적 조치를 의무화하고 있다.

 

이번 사태의 직접 피해는 고객 정보 유출이지만, 중장기적으로는 피싱과 스미싱, 계정 탈취, 대출 사기 등 2차 피해로 이어질 공산이 크다. 유출된 이메일과 전화번호, 배송지는 공격자가 특정 서비스를 실제로 이용하는 고객을 대상으로 정교한 사칭 메시지를 제작하는 데 활용하기 좋은 데이터다. 예를 들어 최근 확산 중인 택배 송장 위장 스미싱이나 결제 오류 안내 문자에 쿠팡 거래 내역처럼 보이는 정보를 결합하면, 이용자가 의심 없이 악성 링크를 클릭하거나 계정 정보를 입력할 가능성이 높아진다.

 

정부는 이런 위험을 고려해 대국민 보안 공지를 발령하고, 쿠팡을 사칭한 전화나 문자, 메신저 메시지에 대한 경계를 당부했다. 이용자에게는 의심스러운 링크 클릭 자제, 공식 앱이나 웹사이트 이외의 경로에서의 로그인 금지, 계정 비밀번호 변경과 이중 인증 설정, 최근 주문 내역과 카드 결제 내역 확인 등이 권고되고 있다. 다만 실제 공격자는 단기간에 집중적으로 악용하지 않고 시간이 지난 뒤 데이터를 섞어 사용하는 경우도 많아, 단기 대응과 함께 장기적인 주의가 필요하다는 지적도 나온다.

 

정부는 11월 30일부터 3개월 동안 인터넷 전반과 다크웹을 대상으로 개인정보 유노출 및 불법유통 모니터링을 강화하기로 했다. 국가 차원의 다크웹 크롤링 시스템과 민간 보안업체의 위협 인텔리전스를 연계해, 쿠팡 관련 키워드와 국내 주요 통신·금융·플랫폼 계정 정보의 거래 여부를 집중 탐지하는 방식이다. 탐지된 데이터셋에서 실제 쿠팡 고객 데이터와의 일치 여부를 분석하면 유출 규모와 활용 양상이 보다 선명해질 수 있다.

 

국내에서는 이미 통신사와 금융사 등 대형 데이터 보유 기관에서 침해사고가 연달아 발생하면서, 대규모 개인정보 집적 구조 자체에 대한 근본적 재검토 요구가 제기돼 왔다. 특히 쿠팡과 같은 대형 전자상거래 플랫폼은 결제 정보, 구매 이력, 위치 기반 배송 정보까지 종합적으로 보유하고 있어, 공격자 입장에서 고가치 표적이 될 수밖에 없다. 이번 사고는 플랫폼 기업이 단일 서비스 안정성뿐 아니라 국가 데이터 인프라 관점에서 보안 체계를 설계해야 한다는 점을 다시 환기시킨다.

 

배경훈 부총리는 회의에서 통신사와 금융사에 이어 국민이 일상적으로 이용하는 플랫폼 기업에서까지 침해사고가 잇따른 점에 대해 송구하다고 언급했다. 그는 국민에게 쿠팡을 사칭하는 전화나 문자에 각별히 주의해 2차 피해를 막아달라고 당부하면서, 정부가 이번 사고로 인해 발생한 불편과 불안을 줄일 수 있도록 최선을 다하겠다고 밝혔다. 정부 차원에서는 이번 조사 결과를 토대로 인증 보안과 개인정보 보호 가이드라인을 강화하고, 유사 사고 재발 방지를 위한 제도 개선 방안도 검토할 것으로 보인다.

 

쿠팡 측도 책임을 인정하며 정부 조사에 협조하겠다는 입장을 밝혔다. 박대준 쿠팡 대표는 회의 참석에 앞서, 이번 사태로 피해를 입은 쿠팡 고객과 국민에게 사과의 뜻을 전했다. 그는 정부 합동조사에 최대한 적극적으로 협조해 사태가 빠르게 진정될 수 있도록 노력하겠다고 말했다. 업계에서는 쿠팡이 조사를 통해 드러난 취약점과 관리 부실 부분을 공개하고, 인증 체계 전면 개편과 외부 보안감사 확대 등 구체적 로드맵을 제시해야 신뢰 회복이 가능할 것이라는 반응을 내놓고 있다.

 

전문가들은 국내 전자상거래와 플랫폼 산업에서 인증과 접근통제 시스템을 단순 로그인 기능이 아니라 핵심 인프라로 재정의해야 한다고 지적한다. 특히 서버 측 인증 로직에 대한 정기적인 모의해킹과 코드 검증, 제로트러스트 접근통제 모델 도입, 개인정보 최소 수집과 분산 저장 등 구조적 대응이 요구된다. 산업계는 이번 쿠팡 사고가 일회성 이슈로 끝날지, 아니면 디지털 경제 전반의 보안 수준을 한 단계 끌어올리는 전환점이 될지 주시하고 있다.

오예린 기자
share-band
밴드
URL복사
#배경훈#쿠팡#개인정보보호위원회