[과학기술정보통신부]쿠팡 전 직원에 의한 정보통신망 침해사고 조사결과 발표

▷ (조사 범위) △쿠팡 이용자 인증체계, △공격범위 및 유출규모 파악을 위한 접속기록 등 분석, △전사 차원의 정보보호 관리체계 점검

▷ (유출 규모)

- 내정보 수정 페이지 성명·이메일 3,367만여 건 유출 확인

- 배송지 목록 페이지 1.4억여 회 조회 (성명, 전화번호, 주소 등)

- 배송지 목록 수정 페이지 5만여 회 조회 (성명, 전화번호, 주소, 공동현관 비밀번호)

- 주문목록 페이지 10만여 회 조회 (최근 주문한 상품목록)

※ 개인정보 세부 유출규모는 개인정보보호위원회에서 확정 예정

▷ (사고 원인 및 문제점) 공격자는 이용자 인증 취약점을 악용하여 정상적인 로그인 없이 이용자 계정에 접속하여 대규모 정보 무단 유출

- 위·변조한 '전자 출입증'에 대한 검증 체계가 미흡하여 공격자의 공격 행위를 사전에 탐지·차단하지 못함

- 모의해킹 결과로 파악한 보안 취약점 개선 미흡

- 공격자가 이용자 인증 관련 시스템 개발자임에도 퇴사 이후, 쿠팡은 서명키를 즉시 갱신하지 않은 채 운영

▷ (재발방지 대책) 정상 발급절차를 거치지 않은 '전자 출입증'에 대한 탐지 및 차단체계 도입, 모의해킹에서 발견한 취약점 조치 필요, 서명키 발급·폐기 등 관리 체계 강화

▷ (조치 사항) 정보통신망법 상 신고지연, 자료보전 명령 위반사항 확인

- (신고 지연 : 과태료) 침해사고를 인지한 시점('25.11.17 16:00)으로 부터 24시간이 지난 이후 한국 인터넷진흥원(KISA)에 신고('25.11.19 21:35)

- (자료보전 명령 위반 : 수사 의뢰) 자료보전 명령('25.11.19 22:34) 이후에도 웹 및 애플리케이션 접속기록을 삭제하여 조사 제한