쿠팡 미국 본사가 민관합동조사단의 개인정보 접근 사건 조사 발표 이후 공식 입장문을 내고, 2차 피해는 없었다는 사실을 분명히 했다. 그러면서 약 3300만 개 계정에 대한 접근이 있었지만 실제 저장된 정보는 약 3000건에 그쳤고, 공용현관 출입 코드가 포함된 접근 사례는 2609건이라고 했다.
10일 쿠팡 Inc 입장문에 따르면, 지난해 중국 국적의 퇴사한 직원 1명이 자체 작성한 소프트웨어 프로그램을 이용해 약 1억4천만 회의 자동화 조회를 수행했고, 이 과정에서 약 3300만 명의 사용자 데이터에 접근했다.
다만 실제로 저장된 정보는 약 3000개 계정에 한정됐으며, 해당 데이터는 모두 삭제됐다고 밝혔다. 쿠팡은 해당 데이터가 제3자에 의해 열람되거나 활용된 정황은 확인되지 않았다고 설명했다.
쿠팡은 퇴사한 직원이 공격에 사용한 모든 기기를 회수했으며, 확보된 포렌식 증거 전체가 ‘약 3000개 계정의 데이터를 저장한 뒤 이를 삭제했다’는 전 직원의 선서 자백 진술과 일치한다고 주장했다.
해당 기기들은 2025년 12월 23일 이후 민관합동조사단과 개인정보보호위원회가 보유하고 있으며, 회수된 기기 내에 한국 이용자의 개인정보가 저장돼 있지 않다는 포렌식 분석 결과도 확인됐다고 설명했다.
접근 정보의 범위와 관련해서는 결제 정보, 금융 정보, 사용자 ID 및 비밀번호, 정부 발급 신분증 등 고도 민감 고객 정보에는 접근하지 않았다고 강조했다.
퇴사한 직원이 접근한 정보는 이름, 이메일 주소, 전화번호, 배송지 주소, 제한적인 주문 내역, 제한적인 수의 공용현관 출입 코드였으며, 이 같은 내용은 클라우드 플랫폼 제공 업체 아카마이(Akamai)의 보안 로그를 통해 검증돼 2025년 12월 8일 규제 당국에 전달됐다고 했다.
공용현관 출입 코드와 관련해 쿠팡은 퇴사한 직원이 접근한 계정 중 해당 코드가 포함된 사례는 2609건이라고 밝혔다.
이 수치는 아카마이 보안 로그와 사용자 데이터 분석을 통해 확인됐으며, 해당 결과는 2025년 12월 23일 개인정보보호위원회와 민관합동조사단에 공유됐다고 설명했다.
쿠팡은 이날 공개된 민관합동조사단 보고서에 공용현관 출입 코드 조회가 5만 건으로 기재돼 있으나, 실제 접근이 이뤄진 계정이 2609건에 한정된다는 검증 결과는 포함되지 않았다고 억울함을 표했다.
2차 피해 여부와 관련해서는 독립 보안 전문 기업의 분석과 다수의 외부 보안 업체 모니터링 결과를 근거로, 데이터 유출과 연관된 2차 피해 정황은 확인되지 않았다고 밝혔다. 쿠팡은 다크웹, 딥웹, 텔레그램, 중국 메신저 플랫폼 등에 대한 지속적인 모니터링 결과에서도 관련 활동이 확인되지 않았다고 설명했다.
또 쿠팡은 2025년 12월 5일 경찰청 수사본부가 SMS 피싱, 보이스피싱 등 사이버 범죄 신고와 강력 범죄 전수 점검을 실시한 결과, 배송지 정보와 주문 정보 등 쿠팡에서 유출된 정보 유형이 악용된 2차 피해 사례는 확인되지 않았다고 발표한 점도 함께 언급했다.
관련기사
- [쿠팡 사태①] 내부 보안망, 누구한테·어떻게 뚫렸나2026.02.10
- [쿠팡 사태②] 늑장 신고·로그 삭제, 처벌 수위는2026.02.10
- [쿠팡 사태③] 대규모 유출 후, 2차 피해 없었나2026.02.10
- [쿠팡 사태④] 3367만건 유출·1억4천만건 조회…유출-조회 차이는2026.02.10
이후 같은 달 15일 경찰이 “현 단계에서는 2차 피해 발생 여부를 단정하기 어렵다”고 밝힌 이후에도, 현재까지 경찰이 확인해 발표한 2차 피해 사례는 없다고 덧붙였다.
쿠팡은 “고객 데이터 보호와 투명한 정보 공개에 대한 약속을 변함없이 지켜나가겠다”며 “앞으로도 정부 조사에 전면 협조하고, 추가 피해를 막기 위한 모든 조치를 취하며 재발 방지를 위한 보호 체계를 지속적으로 강화해 나가겠다”고 밝혔다.
