쿠팡 개인정보 유출 사건 개요
2026년 2월 10일, 과학기술정보통신부 민관합동조사단이 쿠팡 개인정보 유출 사건에 대한 공식 조사 결과를 발표했습니다. 이번 조사는 지난해 11월부터 약 3개월간 웹 접속기록 25.6TB, 총 6,642억 건의 데이터를 분석한 결과입니다.
| 항목 | 내용 |
|---|---|
| 발표일 | 2026년 2월 10일 |
| 발표 기관 | 과학기술정보통신부 민관합동조사단 |
| 사건 발생 기간 | 2025년 4월 14일 ~ 11월 8일 |
| 분석 데이터 | 웹 접속기록 25.6TB, 총 6,642억 건 |
조사 결과 핵심 요약
접근과 저장의 구분
이번 쿠팡 개인정보 유출 조사에서 가장 중요한 점은 접근한 정보와 실제 저장한 정보를 구분해야 한다는 것입니다.
| 구분 | 규모 | 설명 |
|---|---|---|
| 접근(조회)한 개인정보 | 3,367만여 건 | 내 정보 수정 페이지를 통해 접근 |
| 실제 기기에 저장한 정보 | 약 3,000건 | 공격자가 자신의 기기에 저장한 것으로 확인 |
공격자가 시스템에 접근해 조회한 개인정보는 3,367만여 건이지만, 실제로 공격자의 기기에 저장된 것으로 확인된 정보는 약 3,000건입니다.
배송지 정보 조회 현황
| 조회 경로 | 조회 횟수 |
|---|---|
| 배송지 목록 페이지 | 약 1억 4,800만 회 |
| 배송지 목록 수정 페이지 | 5만 474회 |
| 주문 목록 페이지 | 10만 2,682회 |
배송지 목록 페이지에서는 이름, 전화번호, 배송지 주소, 비식별화된 공동현관 비밀번호 등이 조회되었습니다.
2차 피해 현황: 확인된 피해 없음
다크웹 유통 여부
민관합동조사단은 현재까지 쿠팡 개인정보 유출로 인한 2차 피해가 확인되지 않았다고 공식 발표했습니다.
| 확인 항목 | 결과 |
|---|---|
| 2차 피해 발생 | 없음 |
| 다크웹 유통 | 확인되지 않음 |
| 외부 유출 정황 | 발견되지 않음 |
조사단은 다크웹 등 불법 거래 채널에서 이번 사건과 관련된 개인정보가 유통되는 정황을 발견하지 못했다고 밝혔습니다. 이는 실제 저장된 정보가 약 3,000건에 그친 점과 연관이 있는 것으로 보입니다.
유출되지 않은 정보
다음 정보들은 이번 사건에서 유출되지 않은 것으로 확인되었습니다.
| 미유출 정보 |
|---|
| 결제정보 (카드번호, 계좌번호 등) |
| 로그인 정보 (비밀번호) |
| 개인통관고유번호 |
사건 경위
발생 및 인지 과정
| 일시 | 내용 |
|---|---|
| 2025년 6월 24일 | 부정 접속 시작 |
| 2025년 11월 8일 | 부정 접속 종료 |
| 2025년 11월 16일 | 공격자 협박 메일 발송 |
| 2025년 11월 17일 | 쿠팡 침해사고 인지 |
| 2025년 11월 18일 | 고객 민원으로 비인가 접근 발견 |
| 2025년 11월 19일 | 경찰 신고 |
| 2025년 11월 20일 | 공식 발표 |
공격자 정보
이번 쿠팡 개인정보 유출 사건의 공격자는 쿠팡에서 백엔드 엔지니어로 근무했던 전직 직원으로 확인되었습니다.
| 항목 | 내용 |
|---|---|
| 신분 | 쿠팡 전직 직원 |
| 직책 | 백엔드 엔지니어 |
| 접근 방법 | 인증 취약점 활용 |
신고 및 자료보전 관련 사항
신고 경과
정보통신망법은 침해사고 인지 후 24시간 이내 신고를 규정하고 있습니다. 쿠팡은 법정 기한을 초과하여 신고했습니다.
| 시점 | 내용 |
|---|---|
| 11월 17일 오후 4시경 | 침해사고 인지 |
| 11월 19일 오후 9시 35분 | 신고 완료 (약 53시간 후) |
| 법정 기한 | 24시간 이내 |
접속기록 관련
과기정통부는 11월 19일 자료보전 명령을 내렸으나, 이후 일부 접속기록이 삭제된 것으로 확인되었습니다. 쿠팡의 자동 로그 저장 정책에 따른 것으로 알려졌습니다.
| 항목 | 내용 |
|---|---|
| 자료보전 명령일 | 2025년 11월 19일 |
| 웹 접속기록 | 일부 삭제 |
| 앱 접속기록 | 일부 삭제 |
정부 조치 현황
과기정통부 조치
| 조치 내용 | 상세 |
|---|---|
| 과태료 | 3,000만원 이하 부과 예정 |
| 수사 의뢰 | 관련 사항 수사기관 이첩 |
개인정보보호위원회
개인정보보호위원회는 별도로 개인정보보호법에 따른 유출 규모 및 법 위반 여부를 조사 중입니다.
쿠팡의 대응
경영진 변화
| 일시 | 내용 |
|---|---|
| 2025년 12월 10일 | 박대준 대표이사 사임 |
| 이후 | 해롤드 로저스 임시 대표 선임 |
고객 보상안
쿠팡 개인정보 유출 피해자에 대해 쿠팡은 1인당 5만원 규모의 구매이용권 지급을 발표했습니다.
| 구분 | 금액 |
|---|---|
| 쿠팡 전 상품 | 5,000원 |
| 쿠팡 이츠 | 5,000원 |
| 쿠팡트래블 | 20,000원 |
| 알럭스 | 20,000원 |
| 총액 | 50,000원 |
2026년 1월 15일부터 쿠팡 와우 회원, 일반 회원, 탈퇴 고객 순으로 순차 지급이 진행되고 있습니다.
이용자 권장 조치
계정 보안 점검
쿠팡 개인정보 유출 관련하여 이용자들은 다음 사항을 점검하는 것이 권장됩니다.
| 순서 | 조치 내용 |
|---|---|
| 1 | 마이쿠팡에서 개인정보 확인 |
| 2 | 다른 사이트와 동일한 비밀번호 사용 시 변경 권장 |
| 3 | 마이쿠팡 > 보안 및 로그인에서 접속 기록 확인 |
주의사항
일반적인 보안 수칙으로 출처가 불분명한 문자나 전화에 주의하는 것이 좋습니다. 다만 현재까지 이번 사건과 관련된 2차 피해 사례는 보고되지 않았습니다.
피해 구제 방법
쿠팡 보상 수령
쿠팡 앱 또는 웹사이트에서 자동으로 지급되는 구매이용권을 확인할 수 있습니다.
추가 구제 절차
추가적인 피해 구제를 원하는 경우 다음 방법을 이용할 수 있습니다.
| 방법 | 설명 |
|---|---|
| 집단분쟁조정 | 시민단체를 통한 분쟁조정 신청 가능 |
| 집단소송 | 법무법인을 통한 소송 참여 가능 |
조사 결과 정리
이번 민관합동조사단의 쿠팡 개인정보 유출 조사 결과를 정리하면 다음과 같습니다.
| 항목 | 내용 |
|---|---|
| 접근된 개인정보 | 3,367만여 건 |
| 실제 저장된 정보 | 약 3,000건 |
| 배송지 조회 횟수 | 약 1억 4,800만 회 |
| 2차 피해 | 없음 |
| 다크웹 유통 | 확인되지 않음 |
| 결제정보 유출 | 없음 |
향후 전망
개인정보보호위원회의 추가 조사가 진행 중이며, 결과에 따라 추가 조치가 있을 수 있습니다. 현재까지 2차 피해가 확인되지 않은 점은 긍정적인 요소입니다.
이용자들은 일반적인 보안 수칙을 준수하면서, 쿠팡에서 제공하는 보상을 확인하면 됩니다.