서울 송파구 쿠팡 본사. 2025.12.10. 뉴시스
광고 로드중
지난해 발생한 쿠팡의 개인정보 유출 사건과 관련해 20만여 개 이상의 대만 소재 계정도 포함된 것으로 확인됐다.
쿠팡 모회사 쿠팡Inc는 대만 디지털발전부와 협력해 맨디언트(Mandiant)와 팔로알토네트(Palo Alto Networks) 등 세계적인 보안 업체에 의뢰해 포렌식 조사 결과를 진행했고 25일 결과를 밝혔다. 전체 유출 규모는 기존 조사와 동일했지만, 포렌식 조사 결과 기존에 유출된 계정 중 대만 소재 계정이 포함된 것으로 나타났다.
대만 디지털발전부 산하 디지털산업서는 24일 “2025년 한국에서 발생한 한국 쿠팡 개인정보 유출 사건과 관련해, 쿠팡이 위탁한 제3자 보안업체 Mandiant의 감정 결과, 이번 사건이 20만 명이 넘는 대만 이용자에게 영향을 미친 것으로 확인됐다”고 밝혔다.
광고 로드중
디지털산업서는 “지난해 11월 한국에서 쿠팡 개인정보 유출 사건이 보도된 직후, 즉시 쿠팡 대만 측에 사건 경위 설명과 조사 진행 상황 보고, 대만 이용자 영향 여부를 명확히 밝힐 것을 요구했다”며 “당시 쿠팡 대만은 여러 차례 “대만 이용자의 개인정보는 포함되지 않았다”고 설명했으며, 제3자 보안업체에 조사를 의뢰해 감식을 진행 중이라고만 밝혔다“고 했다.
대만 디지털산업서는 이후에도 조사 상황을 지속적으로 주시해왔으며, 2025년 12월 24일에는 정보보안 및 개인정보 전문가를 초청해 현장 행정 점검을 실시하고 쿠팡 대만의 개인정보 보호 실태를 점검했다. 아울러 본 사건과 관련해 한국 측 및 제3자 보안업체의 조사 진척 상황을 2주마다 보고하도록 요구했다.
쿠팡 대만은 Mandiant의 조사 결과를 확보한 뒤 관련 규정에 따라 디지털산업서에 통보했다. 조사 결과, 대만 이용자 총 20만 4552명의 이름, 이메일 주소, 전화번호, 배송지 주소, 최근 5건의 주문 기록 등이 불법 열람된 것으로 확인됐다.
다만 쿠팡Inc는 금융 정보나 결제 카드 정보, 로그인 자격 증명(비밀번호) 또는 정부 발행 신분증은 접근하지 않았다며 “전 직원이 공격에 사용했던 모든 기기를 회수해 포렌식 분석을 거쳤고, 맨디언트는 저장된 데이터는 모두 삭제했다고 결론 내렸다. 또 고객 데이터가 제3자에게 공유됐거나 탈취·전송된 증거도 찾지 못했다”고 했다.
광고 로드중
아울러 대만 디지털산업서는 자국 쿠팡 이용자들에게 개인정보 유출이 사기 범죄에 악용될 가능성이 높다고 경고하고 ‘할부 결제 해지’, ‘택배 이상’, ‘고객 사후 서비스’ 등을 사칭한 사기 수법에 주의할 것을 당부했다. 또 의심스러운 메시지는 반드시 확인하고, 출처가 불분명한 링크를 클릭하지 말 것과, 비밀번호·인증번호·주민등록번호 등을 함부로 제공하지 말 것을 강조했다.송치훈 기자 sch53@donga.com