한국에서 발생한 유출 사건과 같은 건으로 쿠팡 대만 고객 20만 명의 개인정보가 유출된 사실이 뒤늦게 확인됐습니다. 지난해 11월 국내 대규모 유출 직후 쿠팡은 “대만에는 유출이 없다”고 밝혔지만, 석 달 가까이 지난 시점에서 전체 유출 규모 3,367만여 건 중 약 20만 건이 대만 계정이었던 것으로 드러났습니다.
지난해 보안 이슈의 중심이었던 쿠팡 개인정보 유출 사고는 국내 전자상거래 플랫폼 중 가장 큰 규모로 기록됐는데요. 그리고 2월 정부 조사 결과 발표 이후, 단순 해킹이 아닌 내부 인증 구조와 권한 관리 문제로 사건의 성격이 보다 구체화됐습니다.
그렇다면 2월 조사에서 드러난 쿠팡 개인정보 유출의 핵심 원인은 무엇이었을까요?
정부 조사에 따르면 전직 개발자의 서명키 악용과 퇴사자 권한 관리 부실이 복합적으로 작용한 것으로 확인됐습니다.
쿠팡 개인정보 유출, 2월 기준 무엇이 밝혀졌나
2월 정부 조사 결과를 기준으로 현재까지 확인된 핵심만 정리하면 다음과 같습니다.
주요 타임라인 요약
- 2025년 4월~11월: 전직 개발자에 의한 장기 침투 및 정보 유출
- 11월 17일: 침해사고 내부 인지
- 11월 19일: KISA 신고(법정 24시간 초과)
- 11월 말: 피해 규모 3,370만 계정으로 정정
- 2026년 2월 10일: 정부 최종 조사 결과 발표
2월 정부 조사 결과 핵심 수치
이미지 모두 과기정통부 제공
- 3367만3817건 이용자 정보 유출 확인
- 배송지·주문 관련 페이지 포함 총 1억8193만 회 열람 기록 확인
- 유출 정보: 성명, 이메일, 전화번호, 주소, 공동현관 비밀번호(비식별 처리), 최근 주문 정보 등
- 배송지 목록에는 가족·지인 등 제3자의 개인정보도 포함돼 피해 범위 확대 가능성 제기
쿠팡 유출, 내부 인증 체계 취약점 확인
- 전직 개발자가 시스템 서명키 탈취
- 전자 출입증 위·변조로 로그인 절차 우회
- 약 7개월간 침투, 2313개 IP 사용
- 키 관리 부실·접속 기록 관리 미흡·신고 지연 확인
보안 규정상 달리 서명키가 개발자 개인의 PC에 저장돼 있었고, 키 발급·사용 이력 관리 체계가 미흡했던 점도 드러났습니다. 침해 사실 인지 후 신고 지연과 접속기록 관리 문제도 함께 확인됐습니다.
쿠팡 개인정보 유출 원인은? 퇴사자 권한 관리 실패
이번 쿠팡 개인정보 유출 사건은 외부 해커가 시스템을 침투한 사례라기보다 퇴사자의 권한이 제대로 통제되지 않았을 때 어떤 일이 발생하는지를 보여준 사건에 가깝습니다. 인증 체계를 설계했던 전직 개발자가 서명키를 활용해 정상 로그인 절차를 우회했고, 그 결과 수개월간 대량 열람이 이어졌습니다.
문제는 ‘계정 삭제’만으로는 권한이 완전히 사라지지 않는다는 점입니다. 퇴사자가 재직 중 접근했던 인증키, 서버 접근 권한, 내부 시스템 구조에 대한 이해는 퇴사와 동시에 자동 소멸되지 않습니다. 특히 키 관리 체계와 접근 로그 관리가 분리돼 있거나, 개발·운영 권한이 명확히 구분되지 않았다면 위험은 더 커집니다.
많은 기업이 퇴사자를 인사 절차로만 처리합니다. 이메일 계정 비활성화, 사원증 회수 정도에서 끝나는 경우도 적지 않습니다. 그러나 실제 보안 리스크는 그 이후에 남아 있는 접근 권한, 공유 폴더, API 키, 클라우드 자격 증명에서 발생합니다.
이번 쿠팡 개인정보 유출은 한 명의 전직 개발자가 장기간 침투했다는 점에서 퇴사자 권한 관리가 단순 행정 절차가 아니라 기업 보안 체계의 핵심 요소임을 보여준 사례입니다.
접근 로그 기록은 보안 대응의 출발점입니다
정부 조사 결과 쿠팡은 침해사고 인지 후 24시간 이내 신고 의무를 지키지 않아 정보통신망법 위반에 해당하는 것으로 확인됐습니다. 또한 과기정통부의 자료 보전 명령 이후에도 접속기록 자동 로그 정책을 조정하지 않아, 약 5개월치 웹 접속기록과 일부 애플리케이션 접속기록이 삭제된 사실이 드러났습니다. 그 결과 특정 기간의 접근 이력을 완전히 복원하지 못했고, 피해 범위 산정과 원인 분석에도 제약이 발생했습니다.
누가, 언제, 어떤 정보에 접근했는지 기록이 남아 있지 않다면 사고 이후의 대응은 물론 재발 방지도 어렵습니다. 접근 로그 보존은 사후 책임 문제가 아니라 사고 대응과 원인 복원을 위한 최소 조건입니다.
기업이 지금 점검해야 할 퇴사자 권한 관리 체크리스트
쿠팡 개인정보 유출 사건은 퇴사자 권한 관리가 단순 인사 절차가 아니라 보안 통제의 핵심이라는 점을 보여줬습니다. 다음 항목은 기업이 반드시 확인해야 할 퇴사자 보안 체크리스트입니다.
1. 계정 비활성화만으로 끝나지 않았는가
- 이메일·사내 계정 외 클라우드·공유 폴더 접근 권한은 모두 회수됐는가
- API 키·인증 토큰·서명키 등 별도 자격 증명은 삭제됐는가
- 외부 협업 툴(드라이브·메신저·SaaS) 접근은 정리됐는가
퇴사자 계정 삭제 ≠ 모든 접근 권한 종료입니다.
2. 인증키와 접근 권한은 중앙 통제되고 있는가
- 키가 개인 PC에 저장되지 않도록 관리되는가
- 키 발급·사용 이력이 로그로 남는가
- 권한 변경 이력이 추적 가능한가
키 관리 체계가 없다면 인증 체계는 무의미해질 수 있습니다.
3. 파일 접근 기록은 남고, 이상 행위를 탐지할 수 있는가
- 누가 어떤 파일을 열람·다운로드했는지 확인 가능한가
- 외부 공유 링크에 만료 기한이 설정돼 있는가
- 대량 열람·반복 접근을 자동 탐지할 수 있는가
대부분의 개인정보 유출은 ‘파일 접근’ 단계에서 발생합니다.
4. 오프보딩이 프로세스로 작동하는가
- 퇴사 시 권한 점검 절차가 문서화돼 있는가
- 인사·IT·보안이 함께 확인하는 구조인가
- 수동 점검이 아닌 시스템 기반 통제인가
퇴사자 권한 관리가 체크리스트로 운영되지 않는다면, 동일한 위험은 반복됩니다.
고객 정보를 다루는 기업이라면 외부 공격 대비보다 먼저 내부 접근 통제 구조를 점검해야 합니다. 이번 쿠팡 개인정보 유출 사례가 보여준 것은, 보안 사고의 시작이 외부가 아니라 내부 권한과 기록 관리의 빈틈일 수 있다는 점입니다.
파일이 저장되는 공간과 접근 권한, 그리고 로그 기록이 분리돼 있다면 위험은 반복됩니다. 이제는 파일 저장부터 권한 설정, 접근 이력 관리까지 하나의 체계 안에서 운영할 수 있는 기업용 클라우드 스토리지 환경을 점검할 시점입니다.
클라우다이크는 클라우드 기반 스토리지에서 파일 접근 권한 세분화, 링크 만료 설정, 다운로드 제한, 접속 로그 기록 기능을 통해 기업의 데이터 통제 체계를 지원합니다.
지금 무료체험으로 실제 보안 구조를 직접 확인해 보세요.
