민관합동조사단 결과 발표 정보유출 계정 총 3367만개 확인 배송지 목록에 이름·전화번호·주소 포함 공동현관 비번 노출된 목록도 5만회 조회
최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 ‘쿠팡 침해사고 민관합동 조사단 조사결과’를 발표하고 있다. 2026.2.10. 뉴스1
최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 ‘쿠팡 침해사고 민관합동 조사단 조사결과’를 발표하고 있다. 2026.2.10/뉴스1
쿠팡의 개인정보 침해사고 조사 결과 고객의 이름, 전화번호, 주소 등이 포함된 배송지 목록이 1억회 이상 조회된 것으로 확인됐다. 더불어 공동현관 비밀번호가 그대로 노출된 배송목록 수정 페이지도 5만 회 이상 노출된 것으로 나타났다.
과학기술정보통신부는 10일 서울정부청사에서 쿠팡 침해사고에 대한 민관합동조사단의 조사 결과를 발표했다. 다만 이번 결과는 침해사고의 원인과 재발방지 대책에 대한 것으로 개인정보 유출에 대한 처벌은 개인정보보호위원회가, 증거물 분석 등 수사는 경찰청에서 진행하고 있다고 밝혔다.
광고 로드중
조사단의 조사 결과 공격자는 쿠팡의 내정보 수정 페이지에서 이름과 이메일을, 배송지 목록 페이지에서 이름, 전화번호, 주소, 공동현관 비밀번호 정보 등을 유출한 것으로 확인됐다.
조사단이 확인한 유출 계정은 총 3367만3817개였다.
유출 계정은 3300만 여개지만 공격자가 사용자 계정의 배송지 목록 페이지를 조회한 횟수는 1억4805만6502회인 것으로 나타났다. 배송지 목록 페이지에는 계정 소유자 본인 외에도 가족, 친구 등 제3자의 이름과 전화번호, 배송지 주소 등의 정보도 포함돼 있다. 즉 계정 소유주의 지인 정보까지 유출됐을 가능성이 있다는 의미다.
심지어 공동현관 비밀번호가 암호화돼 있지 않고 그대로 노출된 배송지 목록 수정 페이지도 5만474회가 조회됐다. 최근 주문한 상품 목록이 포함된 주문 목록 페이지는 10만2682회가 조회됐다.
광고 로드중
서울시내 한 쿠팡 물류센터에 배송트럭이 주차돼있다. 2025.12.28 ⓒ 뉴스1
이에 따라 정부는 쿠팡이 전자 출입증에 대한 탐지 및 차단 체계를 도입하고, 현재 확인된 보안 취약점에 대한 문제개선 방안을 마련하도록 했다. 이달 내 쿠팡으로부터 대책 이행계획을 받고 6~7월에 이행 여부를 점검한다는 계획이다.
최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 ‘쿠팡 침해사고 민관합동 조사단 조사결과’를 발표하고 있다. 2026.2.10/뉴스1
쿠팡이 정부의 정보 보전 명령의 위반한 건에 대해서는 수사기관에 의뢰한 상태다. 과기정통부는 정보통신망법에 따라 쿠팡에 침해사고 원인 분석을 위해 11월 19일 오후 10시 34분에 자료 보전을 명령했으나, 접속기록의 자동 로그 저장 정책을 그대로 유지해 약 5개월 간의 웹 로그 기록이 삭제됐다.
조사단은 웹 접속기록을 기반으로 유출 규모를 산정한 것으로, 향후 개인정보 유출 규모에 대해서는 개인정보보호위원회에서 확정해 발표할 예정이라고 밝혔다. 유출에 따른 과징금 역시 개보위에서 부과할 예정이다.
광고 로드중
최지원 기자 jwchoi@donga.com