쿠팡 3,370만 명 개인정보 유출 사태: 팩트체크 및 관련 보도 모음

사건 핵심 요약

“대한민국 국민 대다수가 포함된 역대급 개인정보 유출”

  • 피해 규모: 약 3,370만 개 계정 (초기 발표 4,500개 대비 7,500배 증가)
  • 유출 정보: 이름, 이메일, 배송지 주소록(수령인 이름, 전화번호, 주소), 일부 주문 정보
  • 유출 기간: 2025년 6월 24일 ~ 11월 (약 5개월간 지속된 것으로 추정)
  • 원인 (Update):
    • 관리적 실패: 퇴사한 중국인 직원(인증 담당)이 방치된 액세스 토큰 서명키를 악용해 접근함에 따라, 「정보보호조치에 관한 지침」 및 「표준 개인정보 보호지침」상 퇴직 시 접근 권한 즉시 제거 의무 위반 확인.
    • 기술적 실패: 범인이 프록시 서버로 IP를 변조하고 아주 천천히 데이터를 긁어모으는 로 앤드 슬로(Low and Slow) 방식을 사용하여, 쿠팡 보안 관제 시스템이 147일간 이를 정상 접속으로 오인 및 방치.

주요 언론 보도 및 정부 발표 (타임라인순)

이 사건과 관련하여 반드시 확인해야 할 핵심 뉴스와 정부 보도자료를 최신순으로 정리했습니다. 링크를 클릭하면 원문으로 이동합니다.

🗝️ [12.01] 핵심 원인 분석: 내부 통제 실패와 기술적 허점

前직원, 재직때 작정하고 ‘백도어 키’ 확보?… ‘로 앤드 슬로’ 공격했나 (문화일보, 2025.12.01)

  • 내용: 쿠팡이 147일간 유출을 감지하지 못한 이유는 범인이 ‘프록시 서버’를 이용해 IP 대역을 계속 바꿔가며 감시망을 무력화했기 때문으로 분석됩니다. 또한, 쿠팡 내부 직원이 “신규 개발자의 80%가 중국인”이라고 증언하는 등 인력 편중과 내부 통제 부실 의혹이 제기되었습니다.
  • 기사 원문 보기 >

퇴사자 ‘정보접근 열쇠’ 미회수…보안의 기본 안 지킨 쿠팡 (한겨레, 2025.12.01)

  • 내용: 이번 사태의 직접적 원인은 쿠팡이 퇴사자의 ‘액세스 토큰 서명키’를 갱신하거나 폐기하지 않은 데 있습니다. 전문가들은 이를 두고 “가장 기본적인 보안 절차조차 작동하지 않은 것”이라며, 단순 해킹이 아닌 인증 체계 관리의 총체적 실패라고 지적했습니다.
  • 기사 원문 보기 >

쿠팡 중국인 직원은 ‘인증 업무 담당자’…’액세스 토큰 서명키’ 장기 방치가 화근 (JTBC, 2025.12.01)

  • 내용: 경찰 수사 결과 유출 주범인 전 직원 A씨는 내부 ‘인증 업무 담당자’였습니다. 최민희 과방위원장은 이를 “단순 일탈이 아닌 인증체계를 방치한 조직적·구조적 문제”라고 질타했으나, 쿠팡 측은 “업계 통상 기준”이라 해명하여 논란이 되고 있습니다.
  • 기사 원문 보기 >

쿠팡 대규모 개인정보유출로 ISMS-P 실효성 또 도마 (ZDNet Korea, 2025.12.01)

  • 내용: 쿠팡이 정부의 정보보호 인증(ISMS-P)을 획득·갱신했음에도 퇴사자 권한 관리조차 되지 않았다는 사실이 드러나며, 현행 인증 제도가 허울뿐인 ‘보안 극장(Security Theater)’에 불과하다는 비판이 나옵니다.
  • 기사 원문 보기 >

🚨 [11.30] 사건의 발단과 경찰 수사

쿠팡, “‘개인정보 유출’ 사안 알리겠다” 협박 메일 받아‥경찰 수사 중 (MBC, 2025.11.30)

  • 내용: 쿠팡이 해커(또는 내부자)로부터 협박성 이메일을 받은 정황이 포착되었습니다. 경찰은 이메일 발송자와 정보 유출자가 동일인인지, 특히 중국 국적의 전 직원이 연루되었는지 수사하고 있습니다.
  • 기사 원문 보기 >

“유출 아니고 노출입니다”…쿠팡은 피해 축소 급급했다 (한겨레, 2025.11.30)

  • 내용: 쿠팡이 이번 사고를 ‘유출’이 아닌 ‘노출’이라고 표현하는 것에 대한 비판 보도입니다. 내/외부자의 악의적 행위로 정보가 넘어갔음에도 책임을 축소하려 한다는 지적입니다.
  • 기사 원문 보기 >

[보도자료] 정부, 쿠팡 침해사고 및 개인정보 유출 관련 관계부처 긴급 대책회의 개최 (과학기술정보통신부, 2025.11.30)

  • 내용: 정부는 쿠팡 사칭 피싱·스미싱 등 2차 피해 방지를 당부하며, 다크웹 등에서의 개인정보 불법유통 모니터링을 강화하기로 했습니다.
  • 보도자료 보기 >

📈 [11.29] 피해 규모 폭증 및 정부 대응

4500개 계정 해킹 당했다더니… 쿠팡, 뒤늦게 “3370만개 유출” (조선일보, 2025.11.29)

  • 내용: 최초 인지 당시(4,500개)보다 7,500배 늘어난 3,370만 개 계정이 유출된 것으로 최종 확인되었습니다.
  • 기사 원문 보기 >

쿠팡 해킹으로 3370만 고객 정보 유출…”결제정보는 안전” (아시아경제, 2025.11.29)

  • 내용: 쿠팡 측은 결제·로그인 정보는 안전하다고 밝혔으나, 5개월간 무단 접근을 허용한 점에 대한 비판이 거셉니다.
  • 기사 원문 보기 >

[보도자료] 정부, 쿠팡 침해사고 및 개인정보 유출 관련 철저한 조사 추진 (과학기술정보통신부, 2025.11.29)

  • 내용: 민관합동조사단을 구성하여 정보 유출 경위와 보호법상 안전조치의무 위반 여부를 조사 중입니다.
  • 보도자료 보기 >

심층 분석 및 대응

단순한 뉴스 보도를 넘어, 이번 사태의 법적 쟁점피해자 대응 방안에 대한 상세한 분석이 필요하신가요? 아래 링크를 통해 확인하세요.

쿠팡 개인정보 유출, 피해 규모 3,370만 명… “노출 아닌 유출입니다”
공동소송 사전 의향서 접수하기
Post Views: 7,835