사이버위협분석/해킹 및 개인정보 유출사고 동향

[쿠팡] 고객 개인정보 3,370만명 유출 정황_2025년 11월

경험한사람 2025. 11. 21. 22:17

쿠팡은 2025년 11월 후속 조사 결과, 초기 4,500건으로 파악되던 개인정보 비인가 조회 규모가 약 3,370만 계정으로 확대된 정황을 확인했다.
결제·로그인 정보는 포함되지 않은 것으로 발표됐으며, 해외 서버를 통한 무단 접근이 추정되고 있다.





  개요  

     쿠팡은 2025년 11월 29일, 11월 18일 최초 신고 당시 약 4,500건으로 파악되던 개인정보 비인가 조회 규모가 추가 조사 결과 약 3,370만 고객 계정에 이르는 것으로 확인됐다고 발표했다.
노출 항목은 이름, 이메일 주소, 배송지 주소록(이름·전화번호·주소), 일부 주문 정보이며, 결제 정보·신용카드 정보·로그인 정보 등 금융·인증 정보는 포함되지 않았다고 밝혔다.
    쿠팡은 이번 사고의 원인을 해외 서버를 통한 무단 접근 정황으로 보고 있으며, 최초 접근 시점을 2025년 6월 24일로 특정했다.
관계사 출신 중국 국적 전 직원 연루 의혹이 일부 언론에서 제기되었으나, 쿠팡은 “확인할 수 없다”고 밝혔다.
쿠팡은 무단 접근 경로 차단, 내부 모니터링 강화, 외부 보안 전문가 영입, 관계기관 신고 및 협력을 진행하고 있다고 설명했다.

 

  사고내용 요약  

    1. 기관명 : 쿠팡(Coupang)
    2. 사고유형 : 고객 개인정보 비인가 조회 정황 (대규모)

    3. 유출규모
       - 약 3,370만 계정 (후속 조사 기준)
       -  초기 신고(4,500건) 대비 약 7500배 증가
    4. 유출항목 : 이름, 이메일 주소, 전화번호, 배송지 주소, 일부 주문 정보
         ※ 결제 정보·신용카드·로그인 정보는 유출 없음(회사 공식 발표)

    5. 특이사항
       - 최초 접근 시점 : 2025년 6월 24일(쿠팡 발표)
       -  인지 시점 : 2025년 11월 18일
       -  해외 서버를 통한 무단 접근 추정
       -  내부 전 직원 연루설 보도(쿠팡은 “확인 불가” 입장)

  해킹방법 및 경로   
     현재까지 확인된 내용으로 분석된 유출 방식(추정)은 아래와 같다.

  ① 전직 개발자(중국인)가 로그인 인증 관련 서명키를 무단 반출

  ② 해당 서명키로 임의 사용자 로그인 토큰을 생성(정상 사용자처럼 위조)
       토큰 내 회원 식별번호(변수)를 서비스 규칙에 맞게 구성한 뒤, 유출된 서명키로 정상 토큰처럼 서명하여 생성

  ③ 생성된 토큰을 사용해 쿠팡 > '회원정보 페이지'로 반복 로그인하며 정보수집
     - 이름, 이메일, 배송지 주소록(수취인 이름 전화번호 - 주소), 일부 주문정보 등 현재까지 공개된 유출 범위 조회


 
  해킹사고 타임라인  

    -  2025년 06월 24일 : 해외 서버를 통한 최초 무단 접근 발생(쿠팡 발표·추정)
    -  2025년 11월 06일 18:38 : 계정 프로필 무단 접근 기록(KISA 신고서)
    -  2025년 11월 18일 22:52 : 쿠팡, 개인정보 비인가 조회 인지
    -  2025년 11월 18~20일 : 약 4,500건 규모로 당국 신고
    -  2025년 11월 29일 : 후속 조사 결과, 약 3,370만 계정 개인정보 노출 정황 발표(쿠팡 공지)
          .  노출 항목: 이름, 이메일, 배송지 주소록(이름·전화번호·주소), 일부 주문정보
          .  결제정보·로그인정보·비밀번호·카드번호 등 민감 정보는 제외

    -  2025년 11월 29일 이후

          .  무단 접근 경로 즉시 차단

          .  해외 IP 기반 우회접속 차단 및 계정 보호 조치 강화

          .  외부 보안전문가·포렌식팀 투입

          . 경찰청·KISA·개인정보위와 합동 조사 진행
          .  내부 인증체계·토큰 관리체계 전수점검(언론·업계 분석 기준)

    -  2025년 12월 초(언론 보도 기준)

          .  유출 규모 확대 원인 분석 지속 — “특정 인증 토큰 구조 악용 정황” 보도
          .  개인정보위, 쿠팡 대상 사실 조사 착수
          .  쿠팡, 고객 대상 개별 통지 및 안내 페이지 운영 시작

    -  2025년 12월 11일

          .  관계기관 조사 진행 중, 최종 결과 발표 대기
          .  인증·세션·토큰 전반에 대한 구조적 보안 점검 지속
          .  추가 유출 여부 및 공격 기법 세부 분석은 확인 중 상태
          .  업계에서는 “서명키 유출 가능성·토큰 오남용 여부”에 대해 추가 검증 필요성 제기 (미확정)
    -  2025년 12월 12일
          . 수사 과정에서 전직 직원이 내부 시스템 접근 권한을 보유한 상태에서 개인정보를 유출했을 가능성이 제기됨
          . 전직 직원의 권한 관리·접근 통제 미흡 여부를 중심으로 수사 범위 확대
    -  2025년 12월 15~16일
           . 국회 및 정치권에서 쿠팡 경영진에 대한 출석 요구 및 책임론 제기
           . 개인정보 보호 체계 전반에 대한 경영 책임 논란 확산
    -  2025년 12월 22일
           . 해외 투자자 대상 증권 관련 집단소송 제기 — 개인정보 유출 사실 공시 시점·내용의 적절성 문제 제기
           . 개인정보 유출 사건 이후 국세청 특별 세무조사 착수 발표
    -  2025년 12월 25일
           . 쿠팡, 자체 조사 결과 발표
          · 전체 3,370만 계정 접근 정황 중 실제 외부 유출 확인 계정은 약 3,000개 수준이라는 입장 표명
          · 외부 제3자에게 판매·공유된 정황은 없다고 설명
          . 유출 행위에 사용된 장비 회수 및 관련자 진술 확보 완료 발표
          . 자체 발표 시점과 내용에 대해 관계기관과 일부 이견이 제기되며 논란 지속

동영상 서비스가 종료되어 해당 콘텐츠를 재생할 수 없습니다.


    -  2025년 12월 26일
           . 보안사고 책임을 이유로 CEO 사임 발표 및 경영진 개편
           . 쿠팡의 사고 관련 자체 발표 내용과 정부 조사 결과 간 사실관계 조율 필요성이 언론을 통해 제기
    -  2025년 12월 28일
           . 쿠팡 창립자 겸 이사회 의장 공식 사과 발표
           . 피해 고객 대상 보상 방안 및 재발 방지 대책 추진 계획 공개
           . 국회 청문회 출석 여부를 둘러싼 논란 지속


  홈페이지 보안사고 관련 공지

  피해 고객 안내는 문자 등 개별 통지 중심, 홈페이지 내 공지 여부는 기사 기준 미확인


 
  대응내역  

    - 해외 서버 통한 의심 접근 경로 차단
    - 외부 보안 전문 인력(독립 보안기업) 영입
    - 관계기관(경찰청·KISA·개인정보위) 신고 및 조사 협력
    - 개인정보 조회 및 접근 이력 전수 조사
    - 고객 대상 사칭문자·스미싱 예방 안내
    - 내부 모니터링 체계 고도화 진행 중


 재발방지대책(권고사항)   

    1. 기술적 조치
       - 개인정보 API 접근 통제 고도화(Geo-IP 차단·속도 제한·OTP 기반 검증 강화)
       - 장기 토큰 사용 금지 및 서명 키 로테이션 주기 단축
       - 개인정보 접근 로그 상시 분석 및 이상 탐지 자동화
       - 개인정보 저장구조 암호화·분할 저장 강화
       - 해외 의심 IP 기반 접근 룰 추가 및 위험지역 차단 강화


    2. 관리적 조치
       -  내부 직원·퇴직자 계정 및 접근권한 재점검
       -  침해 발생–인지–보고 SLA 전면 재정비
       -  개인정보 처리 시스템 관리감독 절차 강화
       -  외부 전문기관 정기 평가 및 모의침해테스트 수행
       -  사고 경과·조사결과 투명 공개 및 고객 보호 강화 정책 수립


  관련기사(출처)  

 

감사합니다.