
□ 개요
쿠팡은 2025년 11월 29일, 11월 18일 최초 신고 당시 약 4,500건으로 파악되던 개인정보 비인가 조회 규모가 추가 조사 결과 약 3,370만 고객 계정에 이르는 것으로 확인됐다고 발표했다.
노출 항목은 이름, 이메일 주소, 배송지 주소록(이름·전화번호·주소), 일부 주문 정보이며, 결제 정보·신용카드 정보·로그인 정보 등 금융·인증 정보는 포함되지 않았다고 밝혔다.
쿠팡은 이번 사고의 원인을 해외 서버를 통한 무단 접근 정황으로 보고 있으며, 최초 접근 시점을 2025년 6월 24일로 특정했다.
관계사 출신 중국 국적 전 직원 연루 의혹이 일부 언론에서 제기되었으나, 쿠팡은 “확인할 수 없다”고 밝혔다.
쿠팡은 무단 접근 경로 차단, 내부 모니터링 강화, 외부 보안 전문가 영입, 관계기관 신고 및 협력을 진행하고 있다고 설명했다.
□ 사고내용 요약
1. 기관명 : 쿠팡(Coupang)
2. 사고유형 : 고객 개인정보 비인가 조회 정황 (대규모)
3. 유출규모
- 약 3,370만 계정 (후속 조사 기준)
- 초기 신고(4,500건) 대비 약 7500배 증가
4. 유출항목 : 이름, 이메일 주소, 전화번호, 배송지 주소, 일부 주문 정보
※ 결제 정보·신용카드·로그인 정보는 유출 없음(회사 공식 발표)
5. 특이사항
- 최초 접근 시점 : 2025년 6월 24일(쿠팡 발표)
- 인지 시점 : 2025년 11월 18일
- 해외 서버를 통한 무단 접근 추정
- 내부 전 직원 연루설 보도(쿠팡은 “확인 불가” 입장)
□ 해킹방법 및 경로
현재까지 확인된 내용으로 분석된 유출 방식(추정)은 아래와 같다.
| ① 전직 개발자(중국인)가 로그인 인증 관련 서명키를 무단 반출 ② 해당 서명키로 임의 사용자 로그인 토큰을 생성(정상 사용자처럼 위조) 토큰 내 회원 식별번호(변수)를 서비스 규칙에 맞게 구성한 뒤, 유출된 서명키로 정상 토큰처럼 서명하여 생성 ③ 생성된 토큰을 사용해 쿠팡 > '회원정보 페이지'로 반복 로그인하며 정보수집 - 이름, 이메일, 배송지 주소록(수취인 이름 전화번호 - 주소), 일부 주문정보 등 현재까지 공개된 유출 범위 조회 |
□ 해킹사고 타임라인
- 2025년 06월 24일 : 해외 서버를 통한 최초 무단 접근 발생(쿠팡 발표·추정)
- 2025년 11월 06일 18:38 : 계정 프로필 무단 접근 기록(KISA 신고서)
- 2025년 11월 18일 22:52 : 쿠팡, 개인정보 비인가 조회 인지
- 2025년 11월 18~20일 : 약 4,500건 규모로 당국 신고
- 2025년 11월 29일 : 후속 조사 결과, 약 3,370만 계정 개인정보 노출 정황 발표(쿠팡 공지)
. 노출 항목: 이름, 이메일, 배송지 주소록(이름·전화번호·주소), 일부 주문정보
. 결제정보·로그인정보·비밀번호·카드번호 등 민감 정보는 제외
- 2025년 11월 29일 이후
. 무단 접근 경로 즉시 차단
. 해외 IP 기반 우회접속 차단 및 계정 보호 조치 강화
. 외부 보안전문가·포렌식팀 투입
. 경찰청·KISA·개인정보위와 합동 조사 진행
. 내부 인증체계·토큰 관리체계 전수점검(언론·업계 분석 기준)
- 2025년 12월 초(언론 보도 기준)
. 유출 규모 확대 원인 분석 지속 — “특정 인증 토큰 구조 악용 정황” 보도
. 개인정보위, 쿠팡 대상 사실 조사 착수
. 쿠팡, 고객 대상 개별 통지 및 안내 페이지 운영 시작
- 2025년 12월 11일
. 관계기관 조사 진행 중, 최종 결과 발표 대기
. 인증·세션·토큰 전반에 대한 구조적 보안 점검 지속
. 추가 유출 여부 및 공격 기법 세부 분석은 확인 중 상태
. 업계에서는 “서명키 유출 가능성·토큰 오남용 여부”에 대해 추가 검증 필요성 제기 (미확정)
- 2025년 12월 12일
. 수사 과정에서 전직 직원이 내부 시스템 접근 권한을 보유한 상태에서 개인정보를 유출했을 가능성이 제기됨
. 전직 직원의 권한 관리·접근 통제 미흡 여부를 중심으로 수사 범위 확대
- 2025년 12월 15~16일
. 국회 및 정치권에서 쿠팡 경영진에 대한 출석 요구 및 책임론 제기
. 개인정보 보호 체계 전반에 대한 경영 책임 논란 확산
- 2025년 12월 22일
. 해외 투자자 대상 증권 관련 집단소송 제기 — 개인정보 유출 사실 공시 시점·내용의 적절성 문제 제기
. 개인정보 유출 사건 이후 국세청 특별 세무조사 착수 발표
- 2025년 12월 25일
. 쿠팡, 자체 조사 결과 발표
· 전체 3,370만 계정 접근 정황 중 실제 외부 유출 확인 계정은 약 3,000개 수준이라는 입장 표명
· 외부 제3자에게 판매·공유된 정황은 없다고 설명
. 유출 행위에 사용된 장비 회수 및 관련자 진술 확보 완료 발표
. 자체 발표 시점과 내용에 대해 관계기관과 일부 이견이 제기되며 논란 지속
동영상 서비스가 종료되어 해당 콘텐츠를 재생할 수 없습니다.
- 2025년 12월 26일
. 보안사고 책임을 이유로 CEO 사임 발표 및 경영진 개편
. 쿠팡의 사고 관련 자체 발표 내용과 정부 조사 결과 간 사실관계 조율 필요성이 언론을 통해 제기
- 2025년 12월 28일
. 쿠팡 창립자 겸 이사회 의장 공식 사과 발표
. 피해 고객 대상 보상 방안 및 재발 방지 대책 추진 계획 공개
. 국회 청문회 출석 여부를 둘러싼 논란 지속
□ 홈페이지 보안사고 관련 공지
피해 고객 안내는 문자 등 개별 통지 중심, 홈페이지 내 공지 여부는 기사 기준 미확인

□ 대응내역
- 해외 서버 통한 의심 접근 경로 차단
- 외부 보안 전문 인력(독립 보안기업) 영입
- 관계기관(경찰청·KISA·개인정보위) 신고 및 조사 협력
- 개인정보 조회 및 접근 이력 전수 조사
- 고객 대상 사칭문자·스미싱 예방 안내
- 내부 모니터링 체계 고도화 진행 중
□ 재발방지대책(권고사항)
1. 기술적 조치
- 개인정보 API 접근 통제 고도화(Geo-IP 차단·속도 제한·OTP 기반 검증 강화)
- 장기 토큰 사용 금지 및 서명 키 로테이션 주기 단축
- 개인정보 접근 로그 상시 분석 및 이상 탐지 자동화
- 개인정보 저장구조 암호화·분할 저장 강화
- 해외 의심 IP 기반 접근 룰 추가 및 위험지역 차단 강화
2. 관리적 조치
- 내부 직원·퇴직자 계정 및 접근권한 재점검
- 침해 발생–인지–보고 SLA 전면 재정비
- 개인정보 처리 시스템 관리감독 절차 강화
- 외부 전문기관 정기 평가 및 모의침해테스트 수행
- 사고 경과·조사결과 투명 공개 및 고객 보호 강화 정책 수립
□ 관련기사(출처)
감사합니다.
| [넷마블] PC 게임 서비스 대상 611만명 개인정보 유출 사고_2025년 11월 (1) | 2025.11.26 |
|---|---|
| [법무법인 로고스] 소송자료 1.6TB 해킹·유출 사고_2025년 11월 (0) | 2025.11.22 |
| [윈스테크넷] 외부 그룹웨어 해킹으로 직원정보 유출 정황_2025년 11월 (0) | 2025.11.20 |
| [LG에너지솔루션] 아키라 랜섬웨어에 의한 내부자료 1.67TB 유출 정황_2025년 11월 (0) | 2025.11.19 |
| [삼성바이오로직스] 임직원 개인정보 내부 노출 정황_2025년 11월 (0) | 2025.11.16 |