3370만 명의 개인정보가 털렸다? 쿠팡 해킹 사태의 기술적 원인과 2차 피해 예방

단 하나의 ‘열쇠’로 뚫린 3,370만 명의 쿠팡 개인정보, 내 폰은 안전할까?

최근 대한민국을 강타한 대형 보안 사고가 발생했습니다. 초기에는 단순한 소규모 유출로 알려졌으나, 조사 결과 전 국민의 대다수에 해당하는 3,370만 명의 정보가 유출된 것으로 밝혀진 ‘쿠팡 해킹 사태’입니다. 도대체 어떻게 보안이 뚫린 것인지, 그리고 우리에게 닥칠 진짜 위험은 무엇인지 팩트를 기반으로 분석해 드립니다.

사건의 전말: 4,500명인 줄 알았는데 3,370만 명?

2025년 11월 중순, 일부 쿠팡 고객들에게 “당신의 정보를 알고 있으니 돈을 보내라”는 협박 메일이 발송되면서 사건이 수면 위로 떠올랐습니다. 초기 쿠팡 측의 조사 결과는 약 4,500명의 정보 유출로 발표되었으나, 정밀 조사 결과 3,370만 건이라는 충격적인 수치로 정정되었습니다.

이는 대한민국 인구 5천만 명 중, 인터넷을 사용하지 않는 영유아나 고령층을 제외하면 사실상 전 국민의 정보가 뚫렸다고 봐도 무방한 수치입니다. 특히 이번 유출은 단발성 사고가 아니라, 이미 2025년 6월부터 약 5개월간 지속적으로 정보가 빠져나가고 있었음이 밝혀져 충격을 더하고 있습니다.

도대체 어떻게 뚫렸나? : ‘프리패스 입장권’의 비밀

가장 큰 의문은 “아이디와 비밀번호를 몰라도 어떻게 로그인이 되었는가?”입니다. 해커는 정상적인 로그인 과정 없이 서버에 침투했습니다. 이를 이해하기 위해서는 **’인증 토큰(Access Token)’**과 **’서명키(Signature Key)’**의 개념을 알아야 합니다.

1. 인증 토큰 (입장권)

사용자가 로그인을 하면 서버는 ‘입장권’과 같은 토큰을 발급해 줍니다. 이 토큰만 있으면 매번 아이디/비번을 입력하지 않아도 로그인 상태가 유지됩니다.

2. 서명키 (위조 방지 도장)

이 입장권이 가짜가 아님을 증명하기 위해 서버는 ‘서명키’라는 도장을 찍어 발급합니다. 그런데 이 ‘도장(서명키)’ 자체가 유출된 것으로 추정됩니다.

즉, 해커는 굳이 비밀번호를 알아낼 필요가 없었습니다. 훔친 도장(서명키)을 이용해 가짜 입장권을 무제한으로 발행했고, 이를 통해 3,370만 명의 계정에 마치 주인인 것처럼 자유롭게 드나들며 정보를 빼낸 것입니다. 현재 퇴사한 전 직원이 이 서명키를 유출했을 가능성이 높게 제기되고 있습니다.

유출된 정보와 2차 피해의 진실

이번 사태로 유출된 정보는 다음과 같습니다.

• 이름, 이메일, 주소, 전화번호, 배송지 주소록, 주문 내역

딥페이크 범죄 악용 가능성?

일각에서는 유출된 정보로 딥페이크 범죄를 우려하지만, 전문가들은 가능성을 낮게 봅니다. 딥페이크는 이미지나 영상 소스가 필요한데, 이번에 유출된 정보는 텍스트 데이터에 국한되어 있기 때문입니다. 과도한 공포보다는 현실적인 위험에 대비해야 합니다.

개인통관고유부호 유출 여부

공식 발표에는 포함되지 않았으나, 주문 내역이 유출되었기에 해외 직구 이력이 있는 사용자의 경우 개인통관고유부호까지 유출되었을 가능성이 매우 높습니다.

우리가 진짜 조심해야 할 ‘피싱 시나리오’

정보 유출 자체보다 무서운 것은 이를 활용한 사회공학적 피싱 범죄입니다. 해커들은 3,370만 명의 정확한 주문 데이터를 가지고 있습니다.

• 가짜 집단 소송 모집: “피해보상 소송에 참여하세요”라며 링크 클릭 유도

• 보안 점검 사칭: “해킹 의심 기기입니다. 백신을 설치하세요”라며 악성 앱 설치 유도

• 잘못된 주문 내역 확인: 실제 구매하지 않은 물품 내역을 보내 확인을 유도하며 피싱 사이트 접속 유도

이전보다 훨씬 정교하고, 내 실제 정보를 기반으로 한 사기 문자가 급증할 것이므로 각별한 주의가 필요합니다.

지금 당장 해야 할 대처 방안

1. 비밀번호 변경: 토큰 방식이라 비밀번호가 직접 뚫린 것은 아니지만, 혹시 모를 상황에 대비해 동일한 비밀번호를 사용하는 타 사이트까지 변경을 권장합니다.

2. 개인통관고유부호 재발급: 관세청 유니패스 사이트를 통해 기존 부호를 폐기하고 재발급받는 것이 가장 안전합니다.

3. 문자/메일 링크 주의: ‘쿠팡’, ‘보안’, ‘소송’ 등의 키워드가 포함된 문자 속 링크는 절대 클릭하지 말고, 공식 앱이나 사이트를 통해 직접 확인해야 합니다.

향후 전망

현재 피해자들의 집단 소송 움직임이 활발하며, 관련법에 따라 쿠팡은 매출액의 3%인 최대 1조 2천억 원의 과징금을 부과받을 가능성도 열려 있습니다. 하지만 금전적 보상보다 중요한 것은 내 개인정보가 범죄에 악용되지 않도록 스스로 ‘방어 태세’를 갖추는 것입니다. 이미 내 정보는 공공재가 되었다는 경각심을 가지고, 날아오는 문자 한 통도 의심해 봐야 할 때입니다.