37. 쿠팡 3,370만 계정 개인정보 유출, 유출 경로 정리와 이용자·보안담당자 대응 전략

2025년 하반기, 국내 이커머스 시장 최대 규모의 개인정보 유출 사고가 발생했다.
쿠팡에서 약 3,370만 개 계정의 개인정보가 유출된 사건이다. 

이름, 이메일, 휴대전화번호, 주소, 일부 주문정보 등이 유출 대상에 포함되었고,
결제정보·카드번호·비밀번호는 직접적인 유출 범위에서 제외됐다고 발표되었다. 

문제는 규모뿐 아니라,
해외 서버를 통한 비인가 접근이 약 5개월간 지속되었는데도
탐지가 지연되었다는 점이다. 

1. 유출 경로 – “서버 인증 취약점”과 내부 키 관리 이슈

과기정통부·개인정보위 발표를 종합하면,
이번 사고의 직접적인 원인은
“쿠팡 서버의 인증 취약점을 악용한 비인가 조회”로 정리된다. 

핵심 포인트를 정리하면 다음과 같다.
• 2025년 6월 24일경부터
해외에 위치한 서버에서 쿠팡 시스템으로의
비정상적인 개인정보 조회가 시작된 것으로 추정
• 쿠팡 서버의 인증 취약점을 악용해
“정상 로그인 없이” 고객 정보에 접근 가능했던 것으로 조사됨 
• 일부 보도에서는
내부 인증 시스템 관련 권한을 갖고 있던
중국 국적 전·현직 인력과의 연관 가능성이 제기되며,
내부 인증키·토큰이 장기간 유효한 상태로 유지되어
위험이 탐지되지 못한 점이 지적됨 

즉,
단순한 웹 애플리케이션 취약점(예: SQL Injection)이라기보다는,
• 서버 측 인증 구조와 키 관리,
• 내부·외부 접근 권한 관리,
• 이상 행위 탐지 체계

가 복합적으로 얽힌 사건으로 볼 수 있다.

2. 유출된 정보 범위와 특징

쿠팡이 정부·언론에 공개한 내용에 따르면, 

유출 대상에는 다음과 같은 정보가 포함된다.
• 고객 이름
• 이메일 주소
• 휴대전화번호
• 배송지 주소
• 일부 주문 내역

반면,
• 결제에 사용된 카드번호·계좌번호,
• 비밀번호,
• 주민등록번호(직접 수집하지 않는 구조)는

유출 범위에서 제외되었다고 발표했다.

그러나,
이 정도 정보만으로도
사칭 전화·문자, 소셜 엔지니어링,
맞춤형 피싱 공격을 수행하기에는 충분한 데이터다.

또한 “이미 탈퇴한 지 수년이 지난 고객”에게도
유출 안내 문자가 발송되면서,
데이터 보존·파기 정책의 적정성에 대한 비판이 커졌다. 

3. 이용자 관점에서의 대응 방안

이용자 입장에서는
유출 사고 이후 몇 가지 기본적인 방어 행동만 해줘도
2차 피해 가능성을 많이 줄일 수 있다.

(1) 계정 보안 점검
• 쿠팡 비밀번호 변경
• 다른 서비스와 같은 비밀번호를 쓰고 있었다면
쿠팡뿐 아니라 다른 주요 서비스(이메일, 포털, 금융 앱 등)도
비밀번호를 서로 다르게 변경하는 편이 좋다.
• 로그인 기록 확인
• 평소 사용하지 않는 기기·위치에서의 접속이 있었는지 확인하고
• 의심스러운 로그인 기록이 있으면 즉시 비밀번호 변경,
필요하다면 고객센터 문의

(2) 수상한 연락에 대한 주의

유출된 정보 특성상,
아주 “그럴듯한 척” 하는 사칭 연락이 증가할 수 있다.
• 실제 주문 내역을 언급하며 환불·재결제를 요구
• 배송 주소·전화번호를 정확히 말하며 개인정보 추가 요구
• “쿠팡 보안팀/택배사/카드사”를 사칭하며
링크 클릭이나 앱 설치를 유도

와 같은 시도가 예상된다.

따라서,
• 문자·카카오톡에 포함된 링크는 즉시 클릭하지 말고
앱이나 공식 홈페이지를 직접 켜서 확인
• 전화로 카드번호, 계좌비밀번호, 인증번호, 공인서명 등을 요구하면
100% 사기라고 보고 끊는 것이 안전
• “유출 보상”을 미끼로 한 사이트 접속 요구도 주의

(3) 본인 신용정보 조회·모니터링

직접적인 금융정보 유출은 아니라고 하더라도,
유출된 정보가 다른 사고와 결합되면
대출·개통 사기 등에 악용될 수 있다.
• 주요 신용평가사(나이스, 올크레딧 등)에서
본인 명의 대출·카드 발급 현황을 정기적으로 확인
• 통신사에서 제공하는 명의도용 방지 서비스,
금융권의 이상거래 알림 서비스 등을 활용

이 정도 조치를 해두면,
문제가 생겼을 때 초기 대응 속도를 크게 줄일 수 있다.

4. 보안 담당자 관점에서의 대응 방안

이 사건을 남의 일로만 보지 않으려면,
조직 입장에서 다음 축들을 점검해 볼 필요가 있다.

(1) 인증·권한·키 관리 구조 재점검
• 내부 시스템 인증키·토큰의 유효기간과 회전(로테이션) 정책
• 퇴직·전배 인력의 권한 회수 프로세스
• 시스템 계정·서비스 계정 사용 현황과 접근 통제
• 관리자·운영자 콘솔 접근 시
VPN·MFA·IP 제한이 실제로 적용되고 있는지

특히 “장기간 유효한 내부 인증키”는
발각되기 어려운 공격 채널이 되기 때문에,
유효기간 제한과 주기적 회전을 강제하는 것이 중요하다. 

(2) 로그·모니터링 체계
• 대량의 개인정보 조회·다운로드가 발생할 경우
자동으로 경고가 발생하도록 쿼리 기반 룰 정의
• 특정 계정/키/클라이언트에서
평소 패턴과 다른 조회가 발생할 때 알림
• 해외 IP, 비정상 ASN(호스팅·VPN 등)에서
반복적인 정보 조회가 있을 경우 별도 플래그

쿠팡 사례처럼,
수개월간 해외 서버에서의 조회가 계속되었는데도
탐지가 되지 않았다는 점은
이 레벨의 룰과 베이스라인이 부족했음을 시사한다. 

(3) 데이터 보존·파기 정책과 실제 운영 현황의 갭 줄이기
• 탈퇴 계정·휴면 계정 데이터의 실제 보존 기간 점검
• 법정 의무 보존 기간이 지난 주문/배송 데이터의 파기 여부 확인
• 운영 DB뿐 아니라 백업, 로그, 분석용 데이터셋까지 포함한
“전체 데이터 맵” 관점에서 파기 프로세스 설계

쿠팡 사례에서 탈퇴 후 수년이 지난 이용자 정보까지 유출 대상에 포함된 것은
문서상의 파기 정책과 실제 데이터 운영 사이에
간극이 있었음을 보여준다. 

(4) 사고 대응·커뮤니케이션 플랜

이번 사건에서
초기에 “유출이 아니라 노출”이라는 표현을 사용했다가,
정부 요청 이후 “유출”로 정정한 부분은
용어 선택이 얼마나 중요한지 다시 보여준 사례다. 

조직 입장에서는
• 유출 범위를 어느 수준까지 확인했을 때
어떤 용어(노출/유출/침해)를 쓸 것인지
• 정부 신고·고객 공지·언론 대응의 우선순위와 내용
• 2차 피해 방지 안내(피싱, 사칭 방지) 문구 템플릿

을 미리 준비해 두는 것이 좋다.

5. 정책·규제 측면에서의 시사점

정부는 쿠팡·통신사 등 대형 유출 사고가 잇따르자,
정보보호 인증(ISMS-P 등) 제도에
사후 심사·인증 취소까지 포함한 강화방안을 검토 중이라고 밝혔다. 

이 말은 곧,
• “인증 자체를 한 번 따면 끝”이 아니라
• 인증을 받은 이후의 실질적인 보안 수준과
사고 대응 결과까지 보겠다는 방향

으로 규제가 움직이고 있다는 의미다.

기업 보안담당자 입장에서는
• 인증 취득/유지 전략과
• 실제 기술·운영 통제 수준,
• 사고 대응 역량을

같은 레벨에서 설계해야 하는 시기가 온 셈이다.

6. 정리 – 이용자와 보안담당자가 각각 기억해야 할 것

이용자 입장에서는
• 비밀번호 재사용 최소화
• 수상한 연락·링크에 대한 경계
• 본인 신용·계정 현황의 정기적인 점검

이 세 가지만 잘 지켜도
대부분의 2차 피해를 피할 수 있다.

보안담당자 입장에서는
• 인증·키 관리 구조
• 대량 조회 탐지와 로그 분석
• 데이터 보존·파기 정책과 실제 운영 간의 일치
• 사고 대응·커뮤니케이션 플랜

을 이번 사건을 계기로 한 번은 점검해 보는 것이 좋다.

쿠팡 사건은
“한 회사의 일탈”이라기보다,
국내 대형 온라인 서비스들이 공통으로 안고 있는
구조적인 리스크를 잘 드러낸 사례라고 생각한다.