TTESays

1.7억회 조회의 의미 : 쿠팡 개인정보 유출 사고 정부 발표를 다시 읽다

Donghwi Shin

Published: 08:00, 19 Feb 2026 (Updated: 07:10, 20 Feb 2026)

💡

Editor Pick
- 쿠팡 침해 사고에 대한 정부 조사 발표
- 정부 발표에서 확인한 내용 기반의 분석 그리고 새로운 시선
- 우리는 무엇을 어떻게 바꾸어야 할지...

정부가 발표한 쿠팡 개인정보 유출 사고 조사 결과는 분명하고 단호했다. 1억 7천만 회가 넘는 조회, 2천 개가 넘는 IP, 수개월에 걸친 공격, 그리고 관리 미흡. 숫자는 충분히 충격적이다. 그러나 이 숫자들이 무엇을 의미하는지, 그리고 그 구조가 무엇을 말해주는지는 별개의 문제다. 이번 사고를 단순한 “대규모 유출 사건”으로만 정리할 것인지, 아니면 “탐지 실패의 구조”로 읽어낼 것인지에 따라 우리가 얻는 교훈은 달라진다.

three round analog clocks and round gray mats — Photo by Karim MANJRA / Unsplash

사고의 경과: 신고는 11월, 공격은 4월

정부 발표에 따르면 사고는 2025년 11월 16일 접수된 개인정보 유출 의심 이메일에서 시작됐다. 쿠팡은 다음 날 침해사고를 인지했고, 11월 19일 4,536건의 유출 사실을 신고했다. 이후 KISA 현장 조사 과정에서 3천만 개 이상의 계정 정보 유출이 확인됐고, 11월 30일 민관합동조사단이 구성됐다. 정부 발표에서 공격의 시작 시점은 2025년 4월 14일로 특정됐다. 즉, 신고 시점과 실제 공격 시작 시점 사이에는 약 7개월의 간극이 존재한다.

또한 조사 과정에서 공격자는 이미 2025년 1월 퇴사한 상태였으며, 1월 초 공격 테스트 정황이 확인됐다. 재직 당시 사용하던 노트북에서 공격 스크립트가 작성된 것으로 추정되었고, 해당 스크립트에는 해외 클라우드 서버로 정보를 전송하는 기능이 포함된 것으로 분석됐다. 다만 실제 실행 여부는 확인되지 않았다.

이 대목에서 남는 질문은 단순하다. 우리는 언제 사고를 인지했는가가 아니라, 언제부터 이상 징후가 발생했는가이다.

assorted numbers photography — Photo by Nick Hillier / Unsplash

1억 4,800만 회 조회라는 숫자를 어떻게 읽어야 할까?

정부가 공개한 수치 가운데 가장 눈에 띄는 것은 배송지 목록 페이지의 조회 횟수다. 해당 페이지에서148,056,502회의 정보 조회가 발생했다. 여기에 내정보 수정 페이지 33,673,817회, 기타 페이지 조회 수를 더하면 전체 조회 수는 1억 7천만 회를 넘는다. 이 숫자는 단순히 “1억 7천만 건 유출”을 의미하지 않는다. 조회수가 유출 개인정보 개수와 일치하지 않기 때문이다. 여기서는 개인정보 유출 규모는 잠시 미루어두고 다른 구조를 들여다본다. 정부 발표에 의하면 공격 기간은 2025년 4월 14일부터 11월 8일까지, 총 209일로 특정됐다. 지금부터 배송지 목록 페이지 조회수와 시간의 관계를 살펴보려고 한다.

배송지 목록 페이지 조회 수 148,056,502회를 공격 기간 209일로 나누면 148,056,502 ÷ 209 ≈ 708,404, 하루 평균 약 70만 8천 건의 조회가 발생한 셈이다. 이를 시간 단위로 다시 환산하면 이해가 더 쉬워진다. 하루 708,404건, 이를 24시간으로 나누면 708,404 ÷ 24 ≈ 29,516건, 1시간에 약 3만 건의 개인정보 조회가 발생한 셈이다. 이를 다시 분 단위로 나누면, 29,516 ÷ 60 ≈ 492건, 평균적으로 1분에 약 500건 가까운 조회가 7개월 동안 지속된 구조다. 이 계산은 과장도, 추정도 아니다. 정부가 발표한 숫자를 시간 단위로 나눈 단순 산술이다.

이 지점에서 이번 사고의 성격이 분명해진다. 이것은 어느 날 갑자기 발생한 사건이 아니라는 것이다. 하루 수십만 건, 시간당 수만 건의 조회가 209일 동안 반복적으로 일어나 누적된 결과이다.

이 숫자를 기반으로 살펴야 할 부분은 “얼마나 많은 정보가 유출되었는가”의 문제가 아닌 “이 정도 속도의 반복 조회가 왜 이상 징후로 감지되지 않았는가”라는 질문으로 이어진다. 1억 4,800만 회라는 숫자는 그 자체로 충격적이지만, 이를 일·시간·분 단위로 환산하는 순간, 사건의 구조가 훨씬 선명하게 드러난다. 그리고 바로 그 지점이 이번 사고를 다시 읽어야 하는 이유다. 정부는 “쿠팡은 2025년 11월 16일 이메일 수신 이전에 유출 사실을 인지할 수 없었는가?”, “쿠팡은 공격자에게 주어진 209일의 시간을 줄일 없었는가?”, “쿠팡은 209일이라는 시간 동안 한 번이라도 인지할 수 있는 순간이 없었는가?”와 같은 질문을 기업에 하고 이에 대한 답변을 들어야 할 것이다. 그리고 그 답변을 다시 서비스 이용자들에게 알려주며 보다 안전한 서비스를 이용할 수 있도록 해야 한다.

black and white striped textile — Photo by BP Miller / Unsplash

IP 2,313개라는 숫자의 착시와 탐지 가능성

정부 발표에 따르면 공격자는 탈취한 서명키로 전자출입증을 반복 생성했고, 총 2,313개의 IP를 사용했다. 이 숫자만 보면 분산된 공격이 장기간 이어진 것으로 보일 수 있다. 숫자를 놓고 단순하게 계산한다면 더욱 그렇다.

앞서 계산한 것처럼 배송지 목록 페이지에서는 하루 평균 약 708,404건의 조회가 발생했다. 이를 전체 사용 IP 2,313개로 나누면 다음과 같다.

708,404 ÷ 2,313 ≈ 약 306건, 즉, “IP 하나당 하루 평균 300건 정도 조회했다”는 계산이 나온다.

이 수치만 보면 하루 평균 IP당 발생 트래픽이 비교적 낮아 보이고, 자동화 공격이라 하더라도 탐지가 쉽지 않았을 것처럼 보일 수 있다. 하지만 위와 같은 계산의 근거에는 중요한 전제가 숨어 있는데, 이는 공격자가 2,313개의 IP가 매일 동일하게 사용되었다는 가정이다. 정부 발표 자료에 따르면 이와 같은 정보는 확인할 수 없으나 사실 현실적으로 공격자가 매일 2,313개의 IP를 사용했다 보기는 어렵다.

약간 현실적인 접근을 하기 위해 방향을 바꿔보면, 공격 기간이 총 209일이므로 2,313개의 IP를 209일로 나누면, 2,313 ÷ 209 ≈ 하루 평균 약 11개 IP를 사용했다고 볼 수 있다. 이와 같은 계산의 이유는 공격자가 기간 전체에 걸쳐 IP를 교체하며 사용했을 가능성이 더 현실적이기 때문이다. 이 가정을 적용해 다시 계산해 보면 구조는 완전히 달라진다. 하루 평균 조회 수 약 708,404건을 하루 평균 사용 IP 개수 약 11개로 나누면 708,404 ÷ 11 ≈ 약 64,000건으로 즉, IP 하나당 하루 6만 건 이상의 조회가 발생하는 구조가 된다. 이를 시간 단위로 다시 나누면, 64,000 ÷ 24 ≈ 약 2,600건/시간으로 IP 하나에서 시간당 2,600건의 개인정보 조회가 발생한 것이다.

바로 평균값이 만들어 내는 착시 같은 것인데, 같은 숫자라도 어떻게 나누느냐에 따라 전혀 다른 상황으로 보이기 시작한다. 전체 IP로 단순 평균 → IP당 하루 300건, 공격 기간 기준 평균 IP 가정 → IP당 하루 수만 건 전자는 탐지가 어려워 보이고, 후자는 명백한 이상 트래픽에 가깝다.

두 번째 계산이 합리적이라는 가정에 기반한 해석이며, 정확한 일별 IP 사용 패턴이 공개된 것은 아니다. 그러나 공격자가 하루에 2,313개 IP를 모두 그리고 매일 사용하는 것은 현실적으로 어렵다. 그렇다면 두 번째 계산까지는 아니겠으나 실제 IP 단위 트래픽은 단순 평균보다 훨씬 높았을 가능성이 크다고 할 수 있다.

결국 계산의 결과가 던지는 질문은 분명하다. IP 하나에서 하루 수만 건의 개인정보 조회가 발생했을 가능성이 있다면, 왜 이상 행위로 탐지되지 않았는가? 이 부분에 대한 답을 들어보고 싶다.

a tall stone cross — Photo by Irina Enasoiu / Unsplash

발표된 숫자와 실제 유출 규모의 간극

정부 발표에는 또 하나의 중요한 정보가 하나 있는데, 공격자가 보유하고 있다고 주장한 데이터 규모다. 정부 발표 자료에 따르면 공격자는 배송 주소 데이터 1억 2천만 건 이상 그리고 주문 데이터 5억 6천만 건 이상 보유하고 있다고 주장하고 있다. 그리고 두 데이터를 단순히 합산하면 6억 8천만 건 이상이다. 정부가 공개한 페이지별 조회 수를 모두 더해도 약 1억 5천만 회 수준으로 수치상으로는 공격자가 언급한 데이터 규모와 큰 차이를 보인다. 이 차이를 어떻게 이해해야 할까?

여기서 먼저 짚어야 할 것은 “조회”라는 단위다. 정부 발표는 “페이지 조회 횟수”를 공개했다. 그러나 한 번의 페이지 조회가 단 하나의 개인정보만을 의미하지는 않는다. 특히 배송지 목록 페이지의 경우, 정부 발표 자료에 다음과 같은 설명이 있다.

“배송지 목록 페이지에는 계정 소유자 본인 외에도 가족, 친구 등 제3자의 성명, 전화번호, 배송지 주소 등 정보가 다수 포함되어 있다.”

이 문장이 상황을 설명하는 기초가 될 수 있다. 예를 들어 한 계정에 배송지가 3개 등록되어 있고, 각 배송지에 이름·전화번호·주소 정보가 포함되어 있다면, 한 번의 조회는 최소 3건 이상의 개인정보 세트 노출을 의미한다. 만약 평균 배송지 수가 2~3개 수준이라고 가정하더라도, 1억 4,800만 회 조회는 단순히 1억 4,800만 “건”이 아니라 그 이상의 정보 단위 노출을 포함할 수 있다. 즉, 조회 횟수 ≠ 개인정보 건수라는 것을 구분해야 한다. 주문 데이터 역시 마찬가지다. 주문 1건에는 단순히 상품명만 있는지 기타 정보가 함께 있는지 알 수 없다. 하지만 여러 정보를 포함하고 있을 것이라는 예상은 가능하다. 또한 한 계정이 여러 차례 주문했을 경우, 주문 목록 페이지 조회 1회로 복수의 과거 주문 이력이 한 번에 노출될 수 있다. 따라서 공격자가 “주문 데이터 5억 6천만 건”을 보유하고 있다고 언급한 것이 단순 과장인지, 아니면 조회 1회당 복수 레코드 노출 구조를 반영한 표현인지 단정하기는 어렵다.

그러나 분명한 것은, 정부가 발표한 “조회 수”와 공격자가 언급한 “데이터 건수”는 단위 자체가 다르다는 점이다. 이 부분은 정부 발표에서 “개인정보 유출 규모는 개인정보보호위원회에서 확정”한다는 내용에서 현재 우리가 알고 있는 규모와 상이할 수 있다는 것을 예상할 수 있다. 그리고 그 예상의 방향성은 감소보다는 증가 쪽을 향할 가능성이 높다. 조회 수는 공격 행위의 빈도와 탐지 실패의 구조를 보여주고, 개인정보 건수는 사회적 파장과 피해 범위를 보여준다. 조회 수는 공격의 리듬을 설명하고, 개인정보 건수는 그 리듬이 남긴 결과를 설명한다. 이 둘을 혼동하면 사고의 실체를 과소평가하거나, 반대로 과장할 수 있다. 따라서 지금 우리가 할 일은 단순한 합계가 아닌 어떤 단위를 기준으로 계산된 숫자인가라는 질문을 던지고 결과를 해석하는 것이다.

yellow and white star illustration — Photo by Brands&People / Unsplash

ISMS-P, 실패한 인증인가 잘못 운영된 인증인가

쿠팡은 한국인터넷진흥원 체계 아래에서 운영되는 ISMS-P 인증을 취득한 기업이다.

ISMS-P는 정보보호 관리체계(ISMS)와 개인정보보호 관리체계를 통합한 제도로, 키 관리, 접근통제, 계정 권한 관리, 로그 관리, 침해사고 대응 체계 등 기업이 갖추어야 할 최소한의 보안 통제 기준을 요구한다.

그렇다면 자연스럽게, “ISMS-P 인증을 받은 기업에서 왜 서명키 탈취와 전자출입증 위변조가 가능했는가?”라는 질문이 가능하다. 이에 따라 흔히 따라오는 비판은 “인증의 무용지물” 또는 “인증의 한계성”이라는 주장이다. 그러나 이 문제를 그렇게 단순화하면 핵심을 놓치게 된다.

ISMS-P가 요구하는 항목을 보면, 키 관리와 인증 수단 보호에 대한 요구사항은 분명 존재한다. 암호키 보호 정책 수립, 접근 권한 최소화, 로그 기록 및 점검, 이상 행위 탐지 등은 모두 기본 통제 항목에 포함되어 있다. 즉, 제도만 놓고 보면 “필요한 체계”들을 요구하고 있다. 그렇다며 문제는 어디에 있는 것인가? 문제는 바로 인증 심사 과정에 있다고 생각한다. 많은 인증 심사 과정은 다음과 같은 질문에 답을 할 수 있도록 준비하고 답에 해당하는 제도와 문서 등의 근거를 기반으로 진행된다.

관련 정책이 존재하는가?
절차가 문서화되어 있는가?
담당 조직이 지정되어 있는가?
정기 점검 기록이 남아 있는가?

위와 같은 질문들은 대부분 Yes/No로 답할 수 있다. 이 질문과 답이 문제의 시작이라 할 수 있다. 문서로 존재하는 체계와 조직 그리고 기록이 사고를 막아주지 않는다. 사고는 “정상적인 시스템의 작동 여부”에 따라 발생할 수도 그렇지 않을 수도 있다.

이번 사고를 예로 들면, “서명키는 어디에 저장되어 있었는가?”, “키 접근 권한은 어떻게 통제되고 있었는가?”, “키 탈취 시 탐지 시나리오는 존재했는가?”, “하루 평균 70만 건의 반복 조회가 발생할 경우, 어떤 경보가 울리도록 설계되어 있었는가?”와 같은 질문에 답해야 하고 실제 작동했는지 물어야 한다. 키 관리 정책이 존재했지만 실제 접근 통제가 느슨했다면, 로그는 저장하지만 임계값 설정이 없어 알람이 울리지 않았다면, 형식적으로는 인증 기준 만족했을지라도 실질적 방어는 작동하지 않다. 결국 이 질문들은 단순히 “체계가 마련되어 있는가?”가 아닌 “그 체계가 실제 상황에서 작동하는가?”를 묻는 것이다. 이제 ISMS-P에 대한 실효성에 대한 논쟁에서 돌아와 생각해 보면 질문과 방향을 바꾸어야 한다. 문제는 제도의 존재가 아니라, 제도의 검증 방식에 있기 때문이다.

많은 인증 체계는 “요구사항 충족 여부”를 중심으로 평가한다. 하지만 보안은 충족 여부가 아닌 성숙도와 내재화 수준의 문제다. 예를 들어 A 기업은 정책이 존재하지만, 실질적 접근 통제는 형식적이며 B 기업은 정책뿐 아니라 접근 로그를 상시 분석하고 이상 징후 시 자동 차단한다 가정해보자. 다음 두 기업은 모두 “키 관리 정책을 보유하고 있다”라고 답할 수 있으며 서류상 동일한 보안수준을 갖고 있는 것으로 보일 수 있다. 그러나 실제 보안 수준은 전혀 다르다. 이 차이를 구분하지 못한 채 제도를 운영한다면 인증은 단순 기준 확인 수준에 머무르는 것이다.

이와 같은 관점에서 보자면 쿠팡의 사고는 인증 제도의 무의미함을 증명한 사건이라기보다, 형식적 충족과 실질적 작동 사이의 간극을 드러낸 사건으로 바라봐야 한다. 이제부터는 우리는 이 간극을 줄이기 위해 노력해야 하는 상황에 직면해 있다.