[기술사토픽] 쿠팡 개인정보 유출 사고 완벽 정리 - 한장정리
2025년 쿠팡 3,370만 건 개인정보 유출 사고의 원인(내부자 위협·인증키 미폐기·순차적 PK 구조), 공격 메커니즘, 교훈까지 완벽 정리합니다.
Ⅰ.사고 개요 및 타임라인
2025년 11월 발생한 쿠팡 개인정보 유출 사고는 중국인으로 추정되는 전직 내부 직원에 의해 약 3,370만 건의 고객 정보가 유출된 사건으로, 역대 국내 최대 규모의 개인정보 유출입니다.
유출 건수: 약 3,370만 건 (사실상 전체 고객 데이터)
유출 정보: 이름·이메일·전화번호·배송주소·최근 주문 5건 이력·공동현관 비밀번호 등
미유출: 결제정보·신용카드 번호 (별도 시스템 보관)
Ⅱ.공격 메커니즘 분석 — 3중 취약점
보안업계는 이번 사고를 단일 취약점이 아닌 3가지 구조적 결함의 복합 작용으로 분석합니다.
인증 토큰 서명키는 액세스 토큰을 발급하는 "원본 도장"으로, 보유자는 정상 사용자처럼 보이는 토큰을 무제한 생성할 수 있습니다.
| 정상 액세스 토큰 | 인증키(서명키) |
|---|---|
| 수분~수시간 유효 | 수개월~수년 유효 (쿠팡 2년 주기) |
| 토큰 만료 시 무효화 | 키 미폐기 시 퇴직 후에도 유효 |
| 로그인 시 발급 | 서버에서 별도 관리 |
| 보안 위험 낮음 | 유출 시 무한 토큰 생성 가능 → 고위험 |
쿠팡 시스템의 사용자 식별자(PK)가 1번부터 순차 증가하는 단순 정수값이었습니다. 공격자는 이메일을 몰라도 숫자를 1씩 증가시켜 모든 계정에 접근 가능했습니다.
| 취약한 PK 구조 | 안전한 PK 구조 |
|---|---|
| 1, 2, 3, 4 ... 33,700,000 | UUID: 550e8400-e29b-41d4-a716-... |
| 순차 예측 가능 | 완전 랜덤. 예측 불가 |
| API 자동화로 전체 계정 접근 | 무작위 대입 사실상 불가 |
| 열거 공격(Enumeration Attack) 취약 | 열거 공격 차단 |
대량 데이터 조회를 수행할 수 있는 내부 API에 Rate Limiting(속도 제한)·이상 탐지가 없었습니다. 수천만 건 순차 조회가 약 5개월간 탐지되지 않았습니다.
① 서명키 보유 → ② 임의 PK로 토큰 생성 → ③ API 호출로 계정 정보 조회 → ④ PK+1 반복
= "1번 서랍부터 3,370만 번 서랍까지 마스터키로 차례로 열기"
Ⅲ.구조적 문제 & 비교 분석
| 문제 유형 | 쿠팡 사례 | 올바른 대응 |
|---|---|---|
| 퇴직자 접근 권한 관리 | 퇴직 후에도 인증키 미폐기. 접근 가능 | 퇴직 즉시 모든 자격 증명·토큰·키 폐기 |
| 취약한 식별자 설계 | 순차 정수 PK 사용 | UUID·난수 기반 식별자 사용 |
| 내부 API 보안 | Rate Limiting·이상 탐지 부재 | API 호출 임계치 설정·이상 패턴 실시간 탐지 |
| 탐지 시스템 | 고객 민원으로 12일 후 인지 | UEBA(사용자·개체 행위 분석)로 즉시 탐지 |
| 로그 관리 | 6개월간 이상 접근 미탐지 | 접근 로그 실시간 분석·장기 보관·감사 |
| 초기 대응 | 4,536건으로 축소 발표 후 3,370만 건으로 정정 | 투명하고 신속한 피해 규모 파악·공개 |
| 구분 | SKT 해킹 (2025.04) | 쿠팡 유출 (2025.11) |
|---|---|---|
| 공격 주체 | 외부 APT (중국계 추정) | 내부자 (퇴직 직원) |
| 공격 기법 | BPFDoor 스텔스 악성코드 | 인증키 남용 + 순차 PK 열거 |
| 침해 대상 | HSS (통신 핵심 인프라) | 고객 데이터베이스·API |
| 유출 규모 | 2,500만 명 유심 정보 | 3,370만 건 개인정보 |
| 탐지 방법 | 내부 이상 트래픽 감지 | 고객 민원 (선제 탐지 실패) |
| 핵심 취약점 | 스텔스 악성코드·EDR 부재 | 퇴직자 권한 미폐기·PK 구조 |
| 주요 위협 | 심 스와핑·금융 인증 탈취 | 스미싱·피싱·2차 범죄 악용 |
| 과징금 전망 | 최대 5,382억 원 | 최소 1,500억~최대 1조 2,000억 원 |
Ⅳ.재발 방지 대책 & 기술사 교훈
| 대책 | 상세 내용 | 관련 표준·법령 |
|---|---|---|
| 퇴직자 권한 즉시 폐기 | 퇴직 처리 시 모든 계정·토큰·API 키·인증서 자동 폐기 | ISO 27001 접근통제 |
| 최소 권한 원칙 | 업무에 필요한 최소 데이터만 접근 가능하도록 설계 | 개인정보보호법 3조 |
| PK 난수화 | UUID·암호화 해시 기반 식별자 사용 | 보안 설계 원칙 |
| API Rate Limiting | 시간당 조회 임계치 설정. 초과 시 자동 차단·경보 | OWASP API Security |
| UEBA 도입 | 사용자·개체 행위 분석으로 이상 접근 실시간 탐지 | ISMS-P |
| 로그 관리 강화 | 전체 API 접근 로그 실시간 수집·분석·6개월+ 보관 | 개인정보보호법 29조 |
| 내부자 위협 프로그램 | 퇴직 예정자 모니터링·데이터 반출 차단 | DLP 솔루션 |
내부자 위협(Insider Threat): 퇴직자·권한 남용·의도치 않은 실수 3가지 유형
열거 공격(Enumeration Attack): 순차 ID를 이용한 대량 데이터 수집. UUID·KSUID로 방어
과징금: 개정 개인정보보호법 → 매출 3% (이론상 최대 1조 2천억 원)
쿠팡 사건은 외부 해킹이 아닌 내부자 위협과 설계 취약점이 역대 최대 규모 유출을 일으킬 수 있음을 보여줍니다.
퇴직자 권한 즉시 폐기·난수 PK 설계·API 이상 탐지는 모든 플랫폼 기업의 필수 보안 요건입니다.
"보안은 보안팀만의 문제가 아니다. 개발자가 설계부터 보안을 고려해야 한다. PK 하나가 3,370만 명을 위험에 빠뜨렸다."
블로그: 기술사 학습노트 · imt-log.tistory.com
'네트워크보안' 카테고리의 다른 글
| 랜섬웨어 대응 전략과 Zero Trust 보안 모델 총정리 (사전·사후 대응까지) (0) | 2026.03.20 |
|---|---|
| 국내외 주요 해킹 사고 사례 분석 (보안 취약점과 대응 전략 정리) (0) | 2026.03.20 |
| SKT 유심 해킹 사고 분석 (SIM 스와핑 원리와 대응 전략) (0) | 2026.03.20 |
| OSI 7계층과 TCP/IP 프로토콜 구조 비교 정리 (네트워크 기본 핵심) (0) | 2026.03.19 |
| 네트워크·보안 완전정복 — 기술사 핵심 토픽 모음 (0) | 2026.03.18 |
