쿠팡Inc "유출 공동현관 비번 5만건 아닌 2609건…정부 발표 누락"

[서울=뉴시스]동효정 기자 = 쿠팡의 모회사 쿠팡Inc는 10일 민관합동조사단이 발표한 2025년 11월 개인정보 침해 사건 조사 결과와 관련해 공식 입장을 내고 일부 사실관계가 누락됐다고 밝혔다.

과학기술정보통신부는 이날 정부서울청사에서 쿠팡 침해 사고에 대한 민관합동조사단 최종 조사 결과를 발표했다.

최우혁 과기정통부 정보보호네트워크정책실장은 "쿠팡 전직 직원이 지난해 4월14일부터 11월8일까지 쿠팡 웹페이지에 접속해 이용자 정보를 유출한 것으로 파악됐다"면서 "'내 정보 수정 페이지'에서 성명·이메일 등 3367만3817건의 정보가 유출됐다"고 밝혔다.

조사단은 성명·이메일을 묶은 계정 정보를 1건으로 계산했다. 이번 해킹을 벌인 중국인 전 직원은 쿠팡에서 근무할 때 시스템 장애 등 백업을 위한 이용자 인증 시스템 설계·개발 업무를 수행한 소프트웨어 개발자였다.

이에 대해 쿠팡Inc는 "해당 전 직원이 접근한 정보는 이름, 이메일, 전화번호, 배송지 주소, 제한적 주문 내역과 일부 공용현관 출입 코드에 한정된다"며 "결제 정보, 금융 정보, 사용자 ID·비밀번호, 신분증 등 고도 민감 정보에는 접근하지 않았다"고 설명했다.

또 2609건의 계정에 포함된 공용현관 출입 코드 접근 사례는 포렌식 분석과 아카마이(Akamai) 보안 로그를 통해 검증됐으며 실제로는 5만건이 아닌 2609개 계정에 대한 접근으로 확인됐다.

쿠팡은 이 결과를 민관합동조사단과 개인정보보호위원회에 공유했다고 밝혔다.

쿠팡Inc는 이번 사건으로 인한 2차 피해 사례는 확인되지 않았다고 강조하면서 "민관합동조사단 보고서는 5만건의 조회를 수행했다고 기재하면서도 해당 조회가 실제로는 단 2609개 계정에 대한 접근에 한정된 것이라는 검증 결과는 누락하고 있다"고 주장했다.

쿠팡Inc는 이번 개인정보 사고와 관련해 2차 피해의 증거가 전혀 확인되지 않았다고 밝혔다.

쿠팡Inc는 다수의 독립 인터넷 보안 전문 업체가 다크웹·딥웹·텔레그램·중국 메신저 플랫폼 등을 지속적으로 모니터링하고 있으며, 그 결과를 주간 단위로 쿠팡Inc 측에서 모니터링 하고 있다는 입장이다.

데이터 유출 발생 시점부터 현재까지 이들 모니터링에서 2차 피해와 관련된 다크웹 활동은 단 한 건도 발견되지 않았다는 입장이다.

쿠팡은 조사 과정 전반에 걸쳐 대한민국 정부에 관련 분석 결과를 제공해 왔으며, 앞으로도 지속적으로 모니터링하고 업데이트를 제공할 계획이다.

쿠팡Inc 관계자는 "정부 조사에 전면 협조하고 있으며, 추가 피해 방지와 재발 방지를 위한 보호 체계를 지속적으로 강화할 것"이라며 "모든 사실이 명확히 밝혀지기를 기대하며 국민께 불안과 우려를 끼친 점에 깊이 사과드린다"고 말했다.

그러면서 "쿠팡은 고객 데이터 보호와 투명한 정보 공개에 대한 약속을 변함없이 지켜나가고 있다"며 "대한민국 국민은 진실을 알 권리가 있다"고 강조했다.

◎공감언론 뉴시스 [email protected]