쿠팡 대규모 개인정보 유출 사고 조사 결과에서는 유출 규모뿐 아니라, 사고 인지 이후 쿠팡의 대응 과정도 문제로 지적됐다.
침해사고 신고 시점이 법정 기한을 넘겼고, 자료보전 명령 이후에도 일부 접속기록이 삭제된 사실이 확인되면서 3천만원 과태료 부과와 수사 의뢰가 동시에 이뤄졌다.
침해사고 인지 후 신고 지연…정보통신망법 위반 확인
10일 민관합동조사단에 따르면 쿠팡은 2025년 11월 17일 오후 4시경 침해사고 발생 사실을 인지하고 정보보호 최고책임자(CISO)에게 보고했다.
정보통신망법에 따르면 기업은 침해사고를 인지한 시점으로부터 24시간 이내에 관계 기관에 신고해야 한다. 그러나 쿠팡은 법정 기한이 지난 11월 19일 오후 9시 35분에야 한국인터넷진흥원(KISA)에 침해사고를 신고한 것으로 조사됐다.
조사단은 이 같은 신고 지연이 정보통신망법 제48조의3 위반에 해당한다고 판단했다. 해당 조항을 위반할 경우 3000만원 이하의 과태료가 부과될 수 있으며, 과기정통부는 쿠팡에 대해 관련 절차에 따라 과태료를 부과할 예정이라고 밝혔다.
자료보전 명령에도 로그 삭제…수사 의뢰 조치
자료보전 명령 위반도 지적됐다. 과기정통부는 지난해 해11월19일 오후 10시34분, 침해사고 원인 분석을 위해 쿠팡에 웹·앱 접속기록에 대한 자료보전을 명령했다.
그러나 조사 결과, 쿠팡은 자료보전 명령 이후에도 자동 로그 저장 정책을 조정하지 않아 웹 접속기록 약 5개월 분이 삭제됐고, 애플리케이션 접속기록도 일부 기간 동안 삭제된 사실이 확인됐다.
조사단은 이런 로그 삭제로 인해 사고 원인 분석과 피해 규모 산정에 제약이 발생했다고 판단했다. 이에 따라 과기정통부는 자료보전 명령 위반과 관련해 수사기관에 수사를 의뢰했다. 웹 로그 삭제 건은 2025년 12월31일, 앱 로그 삭제 건은 2026년 2월9일 각각 수사 의뢰가 이뤄졌다.
이번 조사 결과와 별도로 개인정보보호위원회는 개인정보보호법에 따른 개인정보 유출 규모 확정과 법 위반 여부에 대한 조사를 진행 중이다. 경찰청 역시 침해사고와 관련된 증거물 분석과 수사를 이어가고 있다.
관련기사
- [쿠팡 사태①] 내부 보안망, 누구한테·어떻게 뚫렸나2026.02.10
- [쿠팡 사태③] 대규모 유출 후, 2차 피해 없었나2026.02.10
- [쿠팡 사태④] 3367만건 유출·1억4천만건 조회…유출-조회 차이는2026.02.10
- [쿠팡 사태⑤] 조사단 "조회도 유출"…지능형 해킹 아닌 ‘관리 부실’ 결론2026.02.10
최우혁 과기정통부 네트워크정책실장은 이날 정부서울청사에서 진행된 브리핑에서 "쿠팡이 자체적으로 발표한 3천건 유출에 대해서는 피조사기관의 주장일 뿐이다. 법적으로 공식 발표랑 차이가 있다고 해서 처벌하는 규정은 없다"고 말했다.
이어 "정보통신망법에서는 지연신고, 재발방지 대책에 대한 이행에 대해서 적절하지 않거나 문제가 있다고 하면 과태료 처분을 할 수 있고, 침해사고에 대해서는 국회서 관련 법안 입법이 되면 과징금도 물릴 수 있는 제도가 만들어질 것으로 보인다"고 덧붙였다.
