쿠팡 대규모 개인정보 유출 사건 유력 용의자로 지목된 전 직원이 중국인이라는 의혹이 제기된 가운데, 경찰은 "수사가 필요하다"는 입장이다. 쿠팡 IT 인력의 절반 이상이 중국인이라는 의혹에 대해 회사 측은 이를 전면 부인했다.
2일 관련업계에 따르면 쿠팡은 지난달 18일 경찰에 개인정보 유출 피해를 확인했다는 신고를 접수했다. 당시 쿠팡은 4천500개의 고객 정보가 유출된 것으로 파악했으나, 후속 조사 결과 약 3천370만개가 무단 유출된 것으로 확인됐다.
이 과정에서 쿠팡이 밝힌 유출 정보는 이름, 이메일 주소, 배송지 주소록(입력한 이름, 전화번호, 주소), 일부 주문정보다. 회사는 어떤한 결제 정보, 신용카드 번호, 로그인 정보도 유출되지 않았다며 이용고객에게 계정 관련 조치를 취할 필요가 없다고 주장했다.
쿠팡 개인정보 유출 사고를 둘러싸고 제기된 의혹과 정부·경찰·회사 측 입장을 문답으로 정리했다.
Q. 쿠팡 대규모 개인정보 유출 사건에서 정보가 유출된 기간은 얼마인가?
A. 류제명 과학기술정보통신부 2차관: 공격식별 기간은 지난 6월 24일부터 11월 8일까지다.
Q. 개인정보 유출 시점과 인지 시점 간 5개월의 간극이 있다. 뒤늦게 파악한 것인가? 개인정보 유출을 은폐한 것인가?
A. 쿠팡 : 지난달 18일 약 4천500개 계정의 개인정보 유출 사실을 인지했다. 후속 조사 결과 고객 계정 약 3천370만개가 유출됐다는 것을 확인했다.
경찰: (개인정보 유출 사태 은폐, 축소 의혹과 관련해) 필요하면 수사하겠다.
Q. 유출된 것으로 추정되는 3천370만개의 계정은 모두 현재 활동 중인가?
A. 박대준 쿠팡 대표: 3천370만개의 계정에는 휴면, 탈퇴 회원 정보도 포함됐다.
Q. 이번 사건의 발단이 된 개인정보 유출은 내부 소행인가?
A. 쿠팡: 회사 시스템과 내부 네트워크망의 외부 침입 흔적은 없는 것으로 확인했다. 현재까지 조사에 따르면 해외 서버를 통해 무단으로 개인정보에 접근한 것으로 추정하고 있다.
Q. 이번 사건의 유력 용의자(공격자)는 중국인인가?
A. 류 차관: 현재 언급되는 공격자의 신상에 대한 정보는 경찰 수사로 확인이 필요하다. 확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3천만건의 개인정보 유출을 주장했다.
경찰 : 유력 용의자의 국적 등은 아직 확인할 수 없다.
Q. 쿠팡이 받은 개인정보 유출 관련 협박 메일에는 어떤 내용이 담겼나?
A. 박 대표: 용의자가 '자기가 이걸 어떻게 입수했고 취약점을 빨리 보완해라. 그렇지 않으면 폭로하겠다'라는 내용으로 메일을 보냈다.
브랜 메티스 쿠팡 정보보호최고책임자(CISO): 데이터를 자기가 취득해서 가지고 있다고 이메일로 이야기했다. 또 이 정보가 악용되지 않을 거라고 했다.
Q. 대규모 개인정보를 유출한 직원은 쿠팡에서 인증 업무를 담당하던 담당자인가?
A. 박 대표: (개인정보 유출 용의자로 지목된 직원은)인증 업무를 맡은 것이 아니라 인증 시스템을 개발하는 개발자였다.
Q. 쿠팡 IT 인력 절반 이상이 중국이라는 의혹은 사실인가? 또 매니저의 90% 이상은 중국인으로 구성돼 있는가?
A. 박 대표: 사실이 아니다. 한국인 비율이 압도적으로 많다.
Q. 개인정보를 유출한 것으로 추정되는 직원은 개인인가? 팀인가?
A. 박 대표: 단수나 복수라고 단정할 수는 없다. 수사 중이라 말할 수 없다.
Q. 개인정보 유출 용의자로 지목된 직원은 어떤 방식으로 정보를 유출했나?
A. 류 차관: 공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했다. 이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 사용됐다.
Q. 이번 사건 용의자로 지목된 퇴직 직원의 권한은 어떻게 했나?
A. 박 대표: 용의자 퇴직 후 권한을 말소했다.
Q. 개인정보 유출 범위에 결제 정보, 신용카드 번호, 로그인 정보가 포함되지 않은 것이 맞는가?
A. 과기정통부: 개인정보 유출 범위는 개인정보보호위원회가 확정한다.
개보위: 아직 쿠팡에서 개인정보가 무단으로 노출됐다는 사실을 신고한 정도로 인지하고 수사 중이다.
Q. 결제 정보 등이 유출되지 않았다는데, 카드 정보 등을 바꾸지 않아도 되는가?
A. 김승주 고려대 정보보호대학원 교수: 피해가 확산할 수 있기 때문에 결제 카드를 삭제하고, 카드와 쿠팡 로그인 비밀번호를 변경하는 게 좋다.
관련기사
- 박대준 쿠팡 "수사선상 오른 중국 직원은 인증 시스템 개발자"2025.12.02
- 쿠팡, 개인정보 노출 3천370만개 확인..."진심으로 사과"2025.11.29
- 박대준 쿠팡 대표 "해킹 사태 끝까지 책임 다 하겠다"2025.12.02
- 쿠팡 대규모 개인정보유출로 ISMS-P 실효성 또 도마2025.12.01
Q. 개인통관고유부호(통관번호)와 공동 현관 출입문 비밀번호는 유출됐나?
쿠팡 : 현재까지 확인된 바로는 통관번호와 출입문 비밀번호는 노출되지 않았다.
