![쿠팡의 3370만 건 개인정보 유출 사태가 해킹 사고를 넘어 기업 내부 보안 체계 전반의 구조적 허점을 드러내고 있다. 통관번호·현관 비밀번호 등 생활 인증정보까지 노출되면서 설계 단계의 보안 부재, 운영 관리 실패가 총체적으로 드러났다는 지적이 나온다. [글=유형길 기자, 사진=연합뉴스]](https://i0.wp.com/livingsblog.com/wp-content/uploads/2025/12/415010_218476_1744.jpg?resize=600%2C400)
[유형길 기자 @이코노미톡뉴스] 쿠팡의 3370만 건 개인정보 유출 사태가 해킹 사고를 넘어 기업 내부 보안 체계 전반의 구조적 허점을 드러내고 있다. 통관번호·현관 비밀번호 등 생활 인증정보까지 노출되면서 설계 단계의 보안 부재, 운영 관리 실패가 총체적으로 드러났다는 지적이 나온다.
쿠팡 3370만 건 유출… 인증 취약점 악용 정황?
12월1일 로이터 통신(Reuters)에 따르면 11월30일, 쿠팡에서 대규모 개인정보가 무단 노출된 사실이 확인되면서 사태는 하루 만에 전국적 파장으로 번졌다. 경찰은 쿠팡이 10년 만에 최악의 데이터 유출 사고를 겪었다고 밝히며, IP 추적과 기술 취약점 조사에 착수했다.
이번 침해는 6월24일 해외 서버를 통해 시작된 것으로 추정된다. 3300만 명 이상의 고객 정보가 이미 유출됐음에도 회사가 이를 인지한 시점은 11월18일이었다. 과기정통부는 가해자가 “쿠팡 서버의 인증 취약점을 악용한 것으로 보인다”며 개인정보보호법 위반 여부를 조사 중이라고 밝혔다.
일본 소프트뱅크 그룹이 투자한 쿠팡은 이번 유출로 이름, 이메일, 전화번호, 배송지 주소, 일부 주문 내역이 외부로 유출됐으며 결제 정보나 로그인 비밀번호는 포함되지 않았다고 밝혔다.
기본 보안 통제 부재… “생활 인증정보 노출된 구조적 문제”
엔키화이트햇 관계자는 5일 통관번호·현관 비밀번호까지 유출된 배경에 대해 “기업 내부에서 반복적으로 발견되는 기본 보안 취약점이 여전히 개선되지 않은 결과”라고 평가했다.
관계자는 “접근 통제 미흡, 암호화 기준 누락, 취약점 점검 부재, 퇴사자 계정 미삭제 등의 문제가 겹치면 단일 계정만으로도 광범위한 정보 접근이 가능해진다”라고 설명했다.
또 “생활 인증정보는 법적 보호대상에서 제외되거나 중요도가 낮게 분류되는 일이 많아 암호화와 접근 통제가 느슨하게 적용된다”라고 지적했다. 특히 이런 정보가 다른 개인정보와 함께 저장될 경우 보안 등급 구분이 이뤄지지 않아 유출 위험이 커진다는 점이다.
민감정보 별도 암호화 내용도 언급했다. “사칭·금융사기·계정 탈취 등 2차 피해 가능성이 높은 만큼 민감정보의 별도 암호화와 분리 저장, 최소 권한 접근 원칙을 의무화해야 한다”라며 “사고 이후에야 대책을 논의하는 구조로는 반복되는 대규모 유출을 막기 어렵다”라고 말했다.
이어 “개발 단계에서 취약점 탐지와 위협 모델링을 수행해 보안을 설계 단계부터 내재화해야 한다”라고 조언했다.
설계부터 관리까지… “기업 보안 거버넌스 전면 재정비 필요”
홍준호 성신여대 융합보안학과 교수는 11월30일 이번 사고를 “설계 단계부터 보안이 내재화되지 않은 구조적 문제”로 진단했다. 그는 “접근통제와 암호화 같은 기본 안전조치가 제대로 작동하지 않은 상태에서는 사용자 신뢰가 크게 흔들릴 수밖에 없다”라고 말했다.
홍 교수는 생활 안전 정보까지 유출된 점을 두고서는 “일상적 안전을 직접 위협하는 수준”이라고 평가하며, 기업 보안 거버넌스를 실질적으로 통제할 법적·제도적 장치가 필요하다고 강조했다.
이어 “민감정보 처리 기업에 대한 취약점 점검과 안전성 검증을 강화하고, CISO·CPO의 권한과 보안 예산의 독립성을 확보해야 기업이 보안을 비용이 아닌 핵심 경영 요소로 인식하게 된다”라고 덧붙였다.
