과학기술정보통신부가 쿠팡 개인정보 유출 사고에서 개인정보 총 3367만건 유출이 확인됐다고 발표했다. 쿠팡이 자료 보전 명령에도 불구하고 웹·모바일 접속 기록을 삭제한 데 대해서는 수사를 의뢰했다. 다만 정보를 해킹한 전 쿠팡 직원이 개인정보를 외부로 유출했는지에 대해서는 "확인하지 못했다"고 밝혔다.
과기정통부는 쿠팡 해킹 사고 민관 합동조사단의 조사 결과 3367만건의 개인정보 유출과 1억4800만 건의 주소·전화번호 등 배송지 목록 조회 사실 등을 확인했다고 10일 밝혔다. 전체 개인정보 유출규모는 개인정보보호위원회에서 최종 확정할 예정이다.
다만 유출된 개인정보가 제 3자에게로 흘러들어갔는지는 알아내지 못했다. 조사단은 공격자의 PC 저장장치를 포렌식 분석한 결과 유출 정보를 해외 소재의 클라우드 서버로 전송할 수 있는 기능을 확인했지만 실제로 전송이 이뤄졌는지 여부에 대해서는 기록이 남아있지 않아 확인할 수 없었다고 밝혔다.
조사단은 이번 조사에서 쿠팡의 법 위반 사항도 확인했다. 정보통신망법 제 48조 3항에 따르면 기업은 침해 사고를 인지한 후 24시간 이내에 과기정통부나 KISA에 신고해야 하지만 쿠팡은 정보보호최고책임자에게 보고한 지 53시간이 지난 뒤에야 KISA에 신고했다. 이는 3000만원 이하의 과태료 부과 대상이다.
쿠팡은 과기정통부의 자료 보전 명령을 어긴 혐의도 받는다. 과기정통부는 침해사고 원인 분석을 위해 쿠팡에 자료 보전을 명령했지만 쿠팡은 접속기록 자동 로그 저장 정책을 조정하지 않고 기록을 삭제했다.
이에 따라 2024년 7월부터 11월까지 약 5개월 분량의 웹 접속 기록, 2025년 5월 23일부터 6월 2일까지 열흘 간의 앱 접속 기록이 삭제됐다. 과기정통부는 이 사안에 대해 지난해 12월 31일과 이달 9일 각각 수사를 의뢰했다.
과기정통부는 쿠팡에 비정상 접속행위 탐지 모니터링을 강화하고 사고원인 분석 및 피해규모 식별 등 목적에 맞는 로그 저장관리 정책을 수립하라고 명령했다. 또 자체 보안규정 준수 여부에 대한 정기 점검을 실시하고, 미준수 사항 발생 시 즉각 개선하는 관리체계를 구축할 것을 지시했다.
과기정통부는 이번 조사단의 조사 결과를 토대로 이달 중 쿠팡에 재발방지 대책에 따른 이행계획을 제출하도록 하고 오는 6~7월 중 이행 여부를 점검할 계획이다.
