쿠팡 사태의 중심, ‘JWT 키 유출’이란? 기술·법적 쟁점 완벽 해설

▶ 개인정보 포털 공식 홈페이지 https://www.privacy.go.kr (바로가기)

▶ KISA 개인정보침해 신고센터 https://privacy.kisa.or.kr(바로가기)

 

2025년 쿠팡 개인정보 유출 사태의 핵심은 ‘JWT 키 유출’입니다.

이 기술적 키 하나로 3,370만 명의 정보가 외부로 빠져나갔죠.

단순한 해킹이 아닌, 내부 관리 부실이 부른 대형 참사였습니다.

이번 글에서는 JWT가 무엇인지, 왜 유출이 위험한지, 그리고 소송의 핵심 쟁점으로 떠오른 이유를 2025년 12월 기준의 최신 정보로 쉽고 명확하게 분석합니다.

보안·법률 모두 아우르는 ‘JWT 유출 완전 해설서’입니다.

 

[목차]

1.  JWT란 무엇인가? — JSON Web Token의 기본 개념
2.  쿠팡 사건에서 JWT 키가 어떤 역할을 했나
3.  왜 JWT 유출이 ‘디지털 마스터키’라 불리는가
4.  JWT 유출로 실제 어떤 정보가 털렸나
5.  정부와 개인정보위가 주목한 ‘JWT 관리 부실’
6.  소송의 핵심 쟁점: JWT 교체 의무와 쿠팡의 책임
7.  전문가 분석 — “JWT는 단순 키가 아닌 시스템 생명선”
8.  피해자 대응 및 보안 강화 팁

 

쿠팡 사태의 중심, ‘JWT 키 유출’이란? 기술·법적 쟁점 완벽 해설

 

 

1. JWT란 무엇인가? — JSON Web Token의 기본 개념

 

JWT(JSON Web Token)는 인증(Authentication)을 위한 디지털 토큰입니다.

웹 서비스에서는 사용자가 로그인할 때, 서버가 일종의 ‘디지털 신분증’을 발급합니다.

이 토큰에는 사용자의 ID, 로그인 시간, 권한 등이 포함되며 서버와 클라이언트가 서로 신뢰할 수 있도록 비밀 키(secret key)로 서명됩니다.

쉽게 말해 JWT는 “로그인 세션의 열쇠”입니다.

문제는 이 키가 외부로 유출되면, 누구든 ‘진짜 사용자 행세’를 할 수 있다는 점입니다.

 

 

2. 쿠팡 사건에서 JWT 키가 어떤 역할을 했나

보안뉴스와 KISA 조사에 따르면, 쿠팡의 전직 개발자가 퇴사 후에도 JWT 서명키를 보유하고 있었습니다.

이 키는 쿠팡 시스템 접근을 인증하는 ‘루트 서명키’로, 모든 고객의 로그인 토큰을 발급할 수 있는 권한을 갖고 있었습니다.

그는 해당 키를 이용해 2025년 6월 24일부터 11월까지 무단으로 API에 접근했고, 사용자 프로필·배송주소·주문기록 등을 빼냈습니다.

결국 JWT 키 하나가 3,370만 명의 데이터를 탈취하는 백도어가 된 셈입니다.

 

쿠팡 사태의 중심, ‘JWT 키 유출’이란? 기술·법적 쟁점 완벽 해설

3. 왜 JWT 유출이 ‘디지털 마스터키’라 불리는가

JWT는 모든 사용자의 접근을 검증하는 ‘서명(Signature)’ 단계에서 쓰입니다.

이 키가 유출되면 공격자는 다음과 같은 행동이 가능합니다.

•  임의의 사용자 토큰 생성 → 관리자 계정으로 로그인 가능
•  내부 API 무단 호출 → DB 내 개인정보 추출 가능
•  보안 탐지 시스템 회피 → 정상 인증처럼 위장

즉, JWT 키 유출은 단순한 비밀번호 유출보다 1000배 이상 위험합니다.
은행의 금고 비밀번호가 털린 수준의 심각한 보안사고로 평가됩니다.

 

4. JWT 유출로 실제 어떤 정보가 털렸나

개인정보보호위원회 발표에 따르면, 이번 사고로 유출된 항목은 다음과 같습니다.

•  이름, 이메일, 전화번호
•  배송주소, 공동현관 비밀번호
•  주문내역, 결제기록 일부
•  쿠팡페이 계정 식별번호(ID)

다행히 신용카드 번호나 비밀번호는 유출되지 않았지만(조사중),
공동현관 비밀번호 같은 민감한 항목이 포함되어
물리적 보안 위협(주거침입 등)까지 우려되고 있습니다.

 

쿠팡 사태의 중심, ‘JWT 키 유출’이란? 기술·법적 쟁점 완벽 해설

5. 정부와 개인정보위가 주목한 ‘JWT 관리 부실’

11월 27일, 개인정보위원회는 쿠팡에 대해 “퇴사자 접근 권한 회수 미비”와 “JWT 서명키 교체 미이행”을 중대한 과실로 지적했습니다.

쿠팡은 내부 규정상 JWT 키를 90일마다 교체해야 했지만 2024년 말 이후 한 차례도 교체하지 않은 것으로 드러났습니다. 이로 인해 퇴사자의 인증토큰이 5개월 동안 유효하게 유지되었습니다.

개인정보위는 쿠팡에 대해 매출액의 3%에 해당하는 최대 1조원 과징금을 검토 중이며, 11월 말 기준 ‘고의 또는 중대한 과실’ 여부에 대한 조사가 진행 중입니다.

 

6. 소송의 핵심 쟁점: JWT 교체 의무와 쿠팡의 책임

현재 피해자 단체가 제기한 집단소송의 핵심 논점은 JWT 키 관리의 책임 소재입니다.

“JWT 키는 회사 내부의 인증 핵심요소이므로, 교체 및 회수 책임은 100% 기업에 있다.”
법무법인 지향(2025.11 소장 내용)

쿠팡은 “퇴사자의 불법 행위에 의한 해킹”이라고 주장하지만, 법조계는 ‘시스템적 방치’를 더 큰 문제로 보고 있습니다.

소송 결과에 따라 JWT 관리의 법적 책임이 국내 IT기업 전반으로 확대될 전망입니다.

 

쿠팡 사태의 중심, ‘JWT 키 유출’이란? 기술·법적 쟁점 완벽 해설

7. 전문가 분석 — “JWT는 단순 키가 아닌 시스템 생명선”

보안 전문가들은 한목소리로 “JWT 키는 시스템의 심장”이라고 강조합니다.

•  “JWT는 인증의 최종 증표, 한 번 뚫리면 전체가 무너진다.” — KISA 보안분석팀
•  “교체 주기 관리와 키 보관 분리(Secret Vault)가 필수다.” — 한국정보보호학회
•  “OAuth2·OpenID Connect 기반 시스템은 JWT 의존도가 높아 더 취약하다.” — 보안뉴스 인터뷰

결론적으로 JWT 유출은 ‘개인정보 유출’이 아니라 ‘시스템 전체 인증 붕괴’에 가깝습니다.

따라서 대응책도 단순 보안패치 수준이 아닌 루트 키 재발급 + 계정 전면 초기화가 필요합니다.

 

8. 피해자 대응 및 보안 강화 팁

JWT 유출로 인한 2차 피해를 막기 위해 보안 전문가들은 다음의 조치를 권고합니다.

1.  쿠팡 계정 비밀번호 즉시 변경
2.  2단계 인증(OTP, 생체인증) 활성화
3.  공동현관 비밀번호 변경
4.  쿠팡페이·간편결제 연동 해제
5.  쿠팡 메일·문자 내 유출 안내문 확인
6.  개인정보보호위원회(KISA)에 유출 신고

만약 유출 확인 메일을 받지 못했더라도,
KISA의 ‘개인정보 유출 확인 서비스’를 통해 자신의 정보 유출 여부를 조회할 수 있습니다.

 

쿠팡 사태의 중심, ‘JWT 키 유출’이란? 기술·법적 쟁점 완벽 해설

 

JWT 키 유출, 단순 해킹이 아니다

 

2025년 쿠팡 사건은 기술보다 관리의 실패였습니다.

‘JWT 키 하나쯤이야’라는 안일함이 3,000만 명의 개인정보를 위험에 빠뜨린 셈이죠.

 

이번 사건은 국내 모든 IT기업에 다음 교훈을 남겼습니다.

•  퇴사자 접근권한 즉시 회수
•  JWT·API 키 주기적 교체
•  다층 인증(MFA) 및 로그 모니터링 의무화

JWT 유출은 기업의 보안 수준을 넘어, ‘디지털 신뢰’ 자체를 무너뜨리는 사건입니다.
쿠팡의 이번 사태가 한국 기업 보안의 경각심을 높이는 계기가 되기를 바랍니다.