쿠팡 사태 결과 발표한 민관합동조사단

쿠팡의 대규모 개인정보 유출 사태에서 새어 나간 개인정보가 3367만 건에 달하는 것으로 드러났어요. 10일 과학기술정보통신부는 정부서울청사에서 이런 내용을 담은 민관합동조사 결과를 발표했는데요. 발표에 따르면 유출자는 배송지 주소 등 개인정보를 1억 5000만 번 가까이 들여다봤다고. 정부는 쿠팡을 상대로 재발 방지책을 제출하도록 하고 오는 7월까지 점검하겠다고 밝혔어요.

쿠팡 개인정보 유출 민관합동조사: 무슨 일이 있었더라?

지난해 11월 29일 이커머스 시장 1위 쿠팡에서 고객 3370만 명의 정보가 유출된 사실이 알려지자, 과기정통부는 같은 달 30일 민관합동조사단을 구성해 본격적으로 조사에 나섰어요. 그때부터 지금까지 벌어진 일을 순서대로 살펴보면: 

• 2025년 11월 29일: 쿠팡이 3370만 개의 고객 계정이 유출됐다고 밝혔어요. 사실상 쿠팡에 가입한 모든 회원의 개인정보가 유출된 것으로 추정되면서 “최악의 유출 사고야!”라는 비판이 쏟아졌어요.
• 11월 30일: 과학기술정보통신부가 민관합동조사단을 꾸리며 정부가 본격적으로 ‘쿠팡 사태’ 조사에 나섰어요.
• 12월 18일: 정부가 과기정통부・개인정보보호위원회・방송미디어통신위원회・금융위원회・공정거래위원회・국가정보원・경찰청 등을 모아 쿠팡 사태 대응을 위한 범부처 태스크포스(TF)를 구성했어요.
• 12월 25일: 쿠팡이 전직 직원이었던 개인정보 유출자를 자체 조사하고 포렌식 검사를 실시했다며 “유출자가 저장한 계정은 3000개뿐이야!”라는 기습 발표를 내놨어요. 개인정보를 개인 PC와 노트북에만 저장한 후, 외부로 전송하지 않고 모두 삭제했다는 공격자의 진술도 덧붙였고요.
• 2026년 1월 15일: 쿠팡이 회원 3370만 명을 대상으로 쿠팡트래블·쿠팡이츠 등에 사용할 수 있는 5만 원짜리 이용권을 피해 보상으로 제공하기 시작했어요.

쿠팡 민관합동조사 결과 발표: 무슨 내용이야?

민관합동조사단은 25.6테라바이트에 달하는 웹 접속기록(로그)을 위주로 조사했다고 이날 밝혔어요. 무려 데이터 6천642억 건에 달하는 규모라고. 조사단은 범행에 쓰인 PC 저장장치 4대와 재직 중인 쿠팡 직원의 노트북 등을 포렌식한 것으로 전해졌어요. 이번에 발표된 내용을 정리하자면:

• 이름부터 공동현관 비밀번호까지🚪: ‘내 정보 수정’ 페이지’에서 쿠팡 이용자의 이름・전화번호 3367만여 건이 유출됐어요. ‘배송지 목록’ 페이지에선 주소・공동현관 비밀번호 1억 4800만여 건, ‘주문 목록 페이지’에서 최근 주문한 상품 목록이 10만여 건 조회됐고요.
• 퇴사 전 사전 테스트 실시💥: 이번 사태의 유출자는 지난해 1월 전까지 쿠팡에서 일하면서 퇴사 전까지 몇 차례 사전 공격 테스트를 실시했어요. 퇴사 이후 7개월 간 본격적으로 개인정보를 유출했다고. 유출자는 재직 당시 발급받은 서명키로 위·변조 ‘전자출입증’을 발급받았고 특별한 제재 없이 서버에 접속할 수 있었던 것으로 알려졌어요. 정상 발급 절차를 거치지 않은 ‘전자 출입증’은 사이버 공격에 악용될 수 있지만 쿠팡은 이 부분을 개선하지 않았다는 사실도 드러났고요.
• 뒤늦게 정보 삭제한 쿠팡🙅: 정부는 최초 사태가 발생한 직후 쿠팡에 “자료 그대로 놔둬!”라는 지시를 내렸는데요. 확인해 봤더니 쿠팡에선 2024년 7월부터 약 5개월 분량의 웹 접속 기록이 삭제됐다고 정부는 이에 대해 수사를 의뢰해 놓은 상태예요. 

이밖에 쿠팡이 개인정보 유출 사고를 인지한 지 24시간이 지나서 신고한 것에 대한 과태료 처분도 있을 예정이고요.

쿠팡 개인정보 유출 전망: 피해 규모가 커질 수도 있다?

이날 발표에선 굵직한 개인정보 유출 규모와 범행 수법이 공개됐는데요. 아직도 범인의 신상과 세부적인 유출 내역은 알려지지 않아 혼란도 커지고 있어요. “피해 규모가 더 커지는 거 아니야?”라는 의문도 이어지는데요. 정부는 정확한 개인정보 유출 규모에 대해 향후 개인정보보호위원회가 확정 지은 뒤 발표할 예정이라고 밝혔어요.

과기정통부는 쿠팡에게  이달 중으로 ‘재발 방지 대책에 따른 이행계획’을 제출하라고 지시한 상황이에요. 공동현관 비밀번호가 포함된 배송지 정보가 다수 유출되면서 2차 범죄에 악용될 거라는 걱정도 커지고 있고요 . 또한 계정을 소유한 이용자뿐 아니라 가족·지인 등 제3자의 이름·전화번호·주소도 유출 범위에 포함될 수 있어피해 규모 또한 커질 거라는 전망이 나와요.