국회 과학기술정보방송통신위원회(과방위)에 2일 출석한 쿠팡 대표와 최고정보보안책임자는 3370만명 수준의 개인정보 유출 경위를 구체적으로 설명하지 못했다. 기업 측은 내부 서명키 유출을 일부 인정했고 공동현관 비밀번호 포함 사실도 확인했으나, 피해 확산 우려를 잠재우기에는 답변이 부족했다. 정부는 공격이 2025년 6월 24일부터 11월 8일까지 약 5개월간 지속됐다고 공식 확인했고, 과기부는 징벌적 손해배상 도입을 포함한 제재 방안을 검토하겠다고 밝혔다.
- 유출 규모: 약 3370만명(33,700,000명)의 개인정보가 외부로 유출된 것으로 파악됐다.
- 공격 기간: 정부는 공격이 2025년 6월 24일부터 11월 8일까지 진행됐다고 발표했다(약 5개월).
- 국회 출석: 박대준 쿠팡 대표와 브랫 매티스(CISO)가 2025년 12월 2일 과방위 긴급 질의에 증인으로 출석했다.
- 유출 항목: 이름·전화번호·주소 등 식별 정보와 함께 공동현관 비밀번호가 포함된 사실을 쿠팡 측이 인정했다.
- 원인 일부 인정: 쿠팡 측은 내부 ‘서명키’ 보안 소홀로 공격자가 인증 토큰을 위조할 수 있었다고 설명했다.
- 2차 피해 우려: 의원들은 전화번호·주소 노출로 인한 스미싱·피싱·신변 침해 등 2차 피해 우려를 제기했다.
- 정부 대응 방향: 배경훈 부총리 겸 과기정통부 장관은 징벌적 손해배상과 영업정지 등 강력한 제재를 관계부처와 논의하겠다고 밝혔다.
사건 배경
쿠팡은 국내 전자상거래 시장에서 대규모 이용자층을 보유한 기업으로, 방대한 고객 데이터와 물류·결제 정보를 운영하고 있다. 이런 특성 때문에 개인정보 관리·보안 실패는 곧 대규모 피해로 연결될 수 있다는 지적이 지속돼 왔다. 최근 몇 년간 국내외에서 대형 정보유출 사례가 잇따르며 개인정보 보호 규범과 기업 책임을 강화하려는 공론화가 진행돼 왔다. 이번 사건은 그간 제기된 보안·감독의 취약성이 실제 피해로 드러났다는 점에서 사회적 파장이 크다.
국회 질의에서는 기업의 보고·대응 체계와 최고경영진의 책임, 외부 침해 감지 및 차단 시스템의 실효성 등이 쟁점으로 떠올랐다. 특히 유출된 항목의 범위와 최초 침해 시점, 내부 통보 체계의 적정성에 대해 여야를 막론하고 엄중한 문제 제기가 이어졌다. 기업의 설명 부족은 규제 강화와 손해배상 제도 재검토로 이어질 가능성이 크다. 또한 다국적 지배구조를 가진 기업의 경영책임 문제도 정치권의 관심사가 됐다.
주요 사건 전개
2일 열린 과방위 회의에서 박대준 대표는 3370만명 유출과 관련해 ‘노출 표현은 생각이 부족했다’며 사과했으나, 구체적 유출 경위에 대해서는 답변을 회피하거나 ‘조사 중’이라는 표현을 반복했다. 브랫 매티스 CISO는 공격자가 내부 서명키를 획득해 로그인 시 발급되는 토큰을 위조했다고 설명해 기술적 원인 일부를 시인했다. 다만 서명키가 어떻게 외부로 유출됐는지, 내부 접근 통제가 어떻게 뚫렸는지에 대해서는 명확한 설명을 제시하지 못했다.
의원들은 쿠팡의 초기 대응과 정보 공개 시점을 문제 삼았다. 일부 의원은 기업이 ‘유출’ 대신 ‘노출’이라는 표현을 선택한 점을 두고 고의적 축소 의도가 있는지 추궁했다. 또 퇴직 직원의 국적을 강조하는 언론 흐름에 대해 논점을 흐리는 전략이라는 비판도 제기됐다. 기업 측은 피해자 보호와 2차 피해 방지 조치를 병행하고 있다고 답변했으나, 피해 통지의 상세성(예: 공동현관 비밀번호 포함 여부)에 대한 불만이 남았다.
정부 발표에 따르면 공격은 6월 24일경 시작돼 11월 8일경까지 지속됐으며, 이번 조사 과정에서 일부 데이터의 유통 정황이 포착된 것으로 알려졌다. 과기부는 피해 규모와 침해 방식, 이용자 피해 가능성 등을 검증 중이며 필요 시 수사 의뢰 및 행정·민사적 제재를 병행하겠다고 밝혔다.
분석 및 의미
첫째, 이번 사건은 플랫폼 기업의 보안 거버넌스(관리·감독) 취약성이 곧 국민 안전 문제로 직결된다는 사실을 부각시킨다. 3370만명이라는 대규모 인적 자원 데이터 유출은 금융·사생활 침해로 이어질 가능성이 크고, 정부·규제기관의 개입 요구를 강화할 것이다. 둘째, 기업의 책임성·투명성 문제가 제기되면서 최고경영진의 정보 공개 의무와 내부통제 강화가 법제화 논의로 이어질 가능성이 높다.
셋째, 기술적 관점에서는 ‘서명키’와 같은 민감 인증자산의 관리가 보안의 핵심임을 확인시켰다. 키 관리·회전 정책, 접근 통제·감사 로그의 완전성 확보가 재발방지의 핵심 과제가 될 것이다. 넷째, 징벌적 손해배상 도입 논의는 기업의 사고 비용을 실질적으로 높여 보안 투자를 유도할 수 있으나, 입법 과정에서 과징금·영업정지 등 제재 수준과 적용 범위를 둘러싼 산업계 반발도 예상된다.
마지막으로 국제적 파급을 고려하면, 다국적 지배구조를 가진 기업의 개인정보 책임 소재와 국외 데이터 이전 관행에 대한 재검토가 요구된다. 이번 사건은 국내 소비자 보호 규범을 강화하는 계기가 될 수 있으며, 해외 지배구조를 가진 기업에 대한 국내 규제의 실효성도 시험대에 오르게 될 것이다.
| 항목 | 내용 |
|---|---|
| 유출 규모 | 약 33,700,000명 |
| 공격 기간 | 2025-06-24 ~ 2025-11-08 (약 5개월) |
| 주요 노출 항목 | 이름, 전화번호, 주소, 공동현관 비밀번호 등 |
| 추정 원인(기업 발표) | 내부 서명키 접근권 획득으로 인한 토큰 위조 |
위 표는 정부 발표와 쿠팡 측의 답변을 바탕으로 정리한 핵심 수치·일정을 모아 비교한 것이다. 조사 결과에 따라 세부 항목은 변경될 수 있으며, 특히 어떤 방식으로 서명키 접근이 이뤄졌는지는 추가 조사에서 확인될 필요가 있다.
반응 및 인용
여야 의원들은 기업의 책임 회피와 설명 부족을 강하게 비판했다. 이훈기 의원은 기업 표현 문제를 지적하며 신속하고 명확한 사실 공개를 촉구했다.
“유출을 ‘노출’로 표현한 것은 국민 기만에 가깝다.”
이훈기 의원(국회의원)
과기정통부 장관은 이번 사안을 중대 사안으로 규정하고 징벌적 손해배상 등 강력한 대응을 시사했다. 그는 국민 보호와 재발 방지를 위한 제도 개선 의지를 강조했다.
“징벌적 손해배상을 통해 반복되지 않도록 하는 것이 중요하다.”
배경훈 부총리 겸 과기정통부 장관(정부)
쿠팡 대표는 경미한 표현 선택에 대해 사과했으나, 기술적 세부 설명은 조사 중이라는 점을 반복했다. 기업의 최고정보보안책임자는 서명키 관련 기술적 설명을 제시했지만 전체적인 사건 연루 경로는 여전히 확인 중이라고 밝혔다.
“생각이 부족했다.”
박대준 쿠팡 대표(기업)
불확실한 부분
- 공격의 최종 주체(특정 개인·국가 단위의 배후)는 공식 수사에서 아직 확정되지 않았다.
- 유출 데이터의 2차 유통 경로와 범위는 일부 정황이 포착됐으나 전체 확산 규모는 아직 조사 중이다.
총평
이번 사건은 대형 플랫폼의 보안 관리가 사회적 안정과 직결된다는 점을 다시 한 번 확인시켰다. 기업의 초기 대응과 투명한 정보 제공이 부족하면 피해는 확대되고 규제·제재는 강화될 가능성이 높다. 징벌적 손해배상 도입 논의는 기업의 사고 비용을 현실화해 보안 투자를 촉진할 수 있으나, 입법과정에서 형평성·실효성 논의가 필요하다.
향후 관건은 조사 결과의 투명한 공개와 실효성 있는 제재·보상 체계 마련이다. 이용자 보호를 위한 신속한 피해 통지, 2차 피해 방지 대책, 그리고 기술적 재발 방지 조치가 병행될 때 사회적 불안은 가라앉을 것이다. 독자는 향후 수사 결과와 과기부·국회의 법제화 논의 속도를 주목할 필요가 있다.