3370만건 초대형 정보 유출 ‘쿠팡사태’…오늘 질의 열린다

by김현아 기자
2025.12.02 07:15:30

[이데일리 김현아 기자]쿠팡의 대규모 개인정보 유출 사태가 국회로 번졌다. 국회 과학기술정보방송통신위원회는 2일 박대준 쿠팡 대표와 배경훈 부총리 겸 과학기술정보통신부 장관 등을 출석시켜 긴급 현안 질의를 진행한다.

초기 보고 피해 규모 4500명과 실제 확인된 유출 규모 3370만 명의 괴리, 내부 직원의 인증키 관리 부실 등 핵심 쟁점을 놓고 여야의 공세가 이어질 전망이다. 내일은 국회 정무위원회도 ‘쿠팡사태’ 후속 질의에 나선다.

[이데일리 김정훈 기자]

초기 쿠팡은 고객 4500명에게만 유출 사실을 통보했으나, 개인정보보호위원회 현장 조사에서 실제 유출 건수는 3370만 건으로 대폭 늘어났다.

경찰은 유출 규모와 범위는 물론, 16일 고객에게 발송된 메일과 25일 쿠팡 측에 도착한 공격자의 협박 이메일이 동일 인물에 의해 발송됐는지 여부를 조사하고 있는 것으로 전해졌다. 범행에 이용된 IP 추적과 국제 공조 수사도 병행 중이다.

이번 사태의 핵심 문제로 ‘액세스 토큰 서명키 관리 부실’이 지적됐다.

주요 용의자로 특정된 전직 직원 A씨는 쿠팡 내부에서 고객정보 접근 권한을 검증하는 업무를 맡았던 인물로 파악됐다.

그러나 A씨가 퇴사한 뒤에도 내부 서명키가 폐기되지 않은 채 유효한 상태로 남아 있었던 사실이 드러났다. 이 서명키는 내부 시스템 접근의 진위 여부를 판단하는 필수 인증 정보로, 전문가들은 “갱신·삭제되지 않은 키가 정보 탈취 통로로 활용됐을 가능성이 크다”고 분석했다.



내부 이상 접근을 감지하고 차단해야 하는 시스템도 제 역할을 하지 못한 것으로 알려졌다.

피해 확산에 대한 우려도 커지고 있다. 일부 피해자들은 이미 집단소송에 착수했으며, 자동결제 해지나 비밀번호 변경 등 개인 보안 조치에 나서는 사례도 증가하고 있다.

최근 유출 사실을 통보받은 50대 여성은 ‘보낸사람·받는사람’ 이름이 모두 본인 명의로 된 테팔 후라이팬 세트가 집으로 배송되는 일을 겪었다.

송장번호는 조회되지 않았고, 고객센터 문의 결과 ‘없는 번호’로 확인됐다. 보낸이 주소는 테팔 총판으로 검색됐지만 정황이 이상해 112에 신고했다.

분당경찰서 수사관은 “새로운 유형의 보이스피싱 가능성이 있다”며 “업체에 직접 전화하지 말고 물품은 반송 처리하라”고 안내했다.

해당 여성은 “집주소, 휴대전화, 이름까지 모두 어떻게 알고 보낸 것인지, 쿠팡 정보유출 때문에 다 털린 것 같다”며 불안을 호소했다.

국회 정무위원회는 내일 유출 정보 관리 책임, 내부자 검증 시스템, 신고 대응 절차, 재발 방지 대책 등을 중심으로 쿠팡 사태에 대한 후속 질의를 이어갈 예정이다.

[이데일리 김정훈 기자]