쿠팡 침해사고 조사 결과에서 3367만여 건 '유출', 1억4천만여 회 '조회'라는 두 가지 수치가 함께 제시되면서 그 차이를 놓고 혼란이 일었다.
조사단은 “조회 역시 유출로 본다”는 입장을 분명히 하면서, 추후 개인정보보호위원회가 개별 정보를 모두 분리해서 유출 규모를 발표할 예정이라고 했다.
10일 과학기술정보통신부는 정부서울청사에서 민관합동조사단 조사 결과를 발표하며 "조회하는 순간 개인정보는 이미 통제권 밖으로 나가기 때문에 조회는 곧 유출"이라고 명확히 했다.
그럼에도 불구하고 조사 결과에는 ‘유출’과 ‘조회’가 나뉘어 제시됐다.
조사단에 따르면 3367만여 건 유출로 명시된 수치는 ‘내정보 수정’ 페이지에서 확인된 성명과 이메일을 기준으로 산정됐다.
해당 페이지는 한 번 접속할 때마다 한 명의 성명과 이메일이 명확하게 노출되며, 접속기록(로그) 상에서도 개별 계정을 식별할 수 있어 정확한 건수 산정이 가능했다는 설명이다.
반면 배송지 목록 페이지의 경우 상황이 다르다. 이 페이지에는 계정 소유자 본인 외에도 가족·지인 등 제3자의 성명, 전화번호, 주소, 마스킹된 공동현관 비밀번호 정보가 함께 포함돼 있다. 한 계정당 최대 20개까지 배송지를 등록할 수 있다.
조사단은 이 페이지가 1억4800만 회 이상 조회된 사실을 확인했지만, 페이지 안에 포함된 개인정보의 정확한 개별 건수를 현 단계에서 산정하기는 어렵다고 말했다.
이에 따라 조사단은 해당 페이지에 몇 번 접근했는지를 기준으로 조회 횟수를 발표했고, 이 조회 역시 개인정보 유출로 본다고 설명했다.
조사단 측은 “배송지 목록 페이지는 한 번 조회될 때마다 유출되는 개인정보의 개수가 사람마다 다르다”며 “이 안에 들어 있는 개별 정보를 모두 분리해 산정하는 작업은 개인정보보호위원회에서 최종적으로 판단할 사안”이라고 말했다.
조사단은 “조회라고 해서 책임이 가벼워지거나, 유출만 처벌 대상이 되는 것은 아니다”라며 “정보통신망법상으로는 조회와 유출을 모두 유출로 보고 있다”고 강조했다.
관련기사
- [쿠팡 사태①] 내부 보안망, 누구한테·어떻게 뚫렸나2026.02.10
- [쿠팡 사태②] 늑장 신고·로그 삭제, 처벌 수위는2026.02.10
- [쿠팡 사태③] 대규모 유출 후, 2차 피해 없었나2026.02.10
- [쿠팡 사태⑤] 조사단 "조회도 유출"…지능형 해킹 아닌 ‘관리 부실’ 결론2026.02.10
다만 개인정보보호법에 따른 유출 규모 확정과 과징금 산정은 개인정보보호위원회 소관이라고 덧붙였다.
조사단은 “조회·유출이라는 표현은 기술적 사실을 설명하기 위한 구분일 뿐, 법적 책임을 나누기 위한 구분은 아니다”라며 “최종적인 개인정보 유출 규모는 개인정보보호위원회의 판단을 기다려야 한다”고 밝혔다.
