정부, 쿠팡 해킹에 징벌적 손배·영업정지 등 강력 추진

과기정통부 유관기관과 상의해 쿠팡 영업정지 협의
배경훈 부총리 "카드 삭제·비밀번호 변경 등 피해 확산 방지 조치"
개인정보보호위원회, 최대 매출 3% 과징금 검토…최소 1조원 이상 벌금 예상

박대준 쿠팡 대표이사왼쪽가 2일 오전 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 쿠팡 침해사고 관련 현안 질의에 출석해 의원질의에 답하고 있다 20251202사진유대길 기자 dbeorlf123ajunewscom — 박대준 쿠팡 대표이사(왼쪽)가 2일 오전 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 쿠팡 침해사고 관련 현안 질의에 출석해 의원질의에 답하고 있다. 2025.12.02[사진=유대길 기자 dbeorlf123@ajunews.com ]

정부가 쿠팡 개인정보 유출 사고와 관련해 민관 합동조사단을 구성하고, 징벌적 손해배상 제도 확대와 영업정지 검토 등 강력한 대응책을 추진한다.

과학기술정보통신부는 2일 국회 과학기술정보방송통신위원회는 쿠팡 해킹 관련 현안질의에서 지난 6월 24일부터 11월 8일까지 공격이 이어지며, 전수 로그 분석 결과 3000만 개 이상 계정에서 개인정보가 유출됐다고 보고했다.

류제명 과기정통부 2차관은 “공격자가 정상 로그인 없이 고객 정보에 여러 차례 비정상 접속했으며, 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 사용됐다”며 스미싱 등 2차 피해 우려에 모니터링을 강화하겠다고 밝혔다. 퇴사한 중국인 인증 담당자 연루 의혹에 대해서는 “공격자의 신상은 경찰 수사로 확인해야 한다”며 미상자가 쿠팡에 3000만 건 유출을 주장하는 메일을 보낸 사실을 언급했다.

관련기사

이번 사고는 3000만 개가 넘는 계정에서 개인정보가 대거 유출된 중대 사건으로, 정부는 국민 피해 최소화와 재발 방지를 위해 조사를 면밀히 하고 엄중 대처하겠다고 거듭 강조했다.

이재명 대통령은 2일 국무회의에서 “쿠팡 때문에 국민들 걱정이 많다"며 “과징금을 강화하고 징벌적 손해배상을 현실화하는 등 실질적이고 실효성 있는 대책을 마련해달라”고 지시했다.

배경훈 부총리 겸 과기정통부 장관도 이날 오후 질의에 참석해 “국민 피해를 최소화하고 불안을 해소하기 위해 민관 합동조사를 신속히 진행하고 엄정한 조치를 취하겠다”며 징벌적 손해배상을 통해 재발 방지가 중요하다고 강조했다.

그는 카드 삭제·비밀번호 변경 등 피해 확산 방지 조치를 개별 보안 기관과 협의해 즉시 시행하고, 지난 10월 발표한 종합 대책에 이어 연내 2차 발표안을 마련해 강화된 대응책을 내놓겠다고 밝혔다.

쿠팡의 천문학적인 과징금과 함께 영업정지도 거론된다. 전자상거래법상 통신판매로 재산상 피해 발생 시 영업정지가 가능하다는 국회의 지적에 대해 류 차관은 "유관기관과 협의해보겠다"고 답했다.

개인정보보호위원회는 쿠팡의 접근통제·접근권한 관리·암호화 등 안전조치 의무 위반 여부를 조사 중이며, 개인정보보호법에 따라 전체 매출의 최대 3%에 달하는 과징금(쿠팡 작년 매출 기준 약 1조4000억원 규모)을 부과할 수 있는 엄정 제재를 살펴보고 있다.

퇴사자의 소행으로 밝혀진 이번 해킹 사태와 관련해 해커가 프라이빗 서명 키를 탈취해 가짜 인증토큰을 생성하고 이를 통해 로그인한 것으로 분석된다.

브랫 매티스 쿠팡 최고정보책임자(CISO)는 “현재 확인된 바로는 공격자가 탈취한 프라이빗 서명키를 활용해 다른 사용자로 위장했고, 그 가짜 토큰을 이용해 서버 접근을 시도한 것으로 보인다”며 “쿠팡의 모든 인증토큰은 프라이빗 키로 서명돼 검증되는데, 제3자가 해당 키를 이용해 동일한 형태의 토큰을 생성한 것”이라고 설명했다.

매티스 CISO는 “지금까지 조사된 로그에 따르면 공격자는 제한적인 정보에만 접근할 수 있는 일부 API만 조작해 사용했다”며 “사용자 패스워드를 재설정하거나 더 민감한 시스템에 접근한 흔적은 없다”고 말했다. 이어 “공격자가 외부 API만 활용했기 때문에 쿠팡 내부 서버의 로우 데이터에는 접근하지 못한 것으로 본다”고 덧붙였다.

다만 그는 “이 사람이 실제 사건과 연계된 인물이라면 쿠팡 재직 당시 프리빌리지드 엑세스, 즉 중요한 시스템과 데이터에 접근할 수 있는 높은 권한을 갖고 있었던 것으로 추정된다”고 밝혔다.

이날 박대준 쿠팡 대표를 비롯한 쿠팡 임원들이 "경찰 수사 중"이라며 답변을 피하는 장면이 반복되자 최민희 과방위원장은 청문회를 열고 김범석 쿠팡 이사회 의장을 부르겠다고 예고했다. 김 의장은 한국 쿠팡 지분 100%를 갖고 있는 쿠팡Inc의 의결권 74.3%를 보유한 최대주주다.

박대준 쿠팡 대표는 "한국 법인 대표로서 끝까지 책임을 지고 사태가 수습될 수 있도록 최선의 노력을 다하겠다"고 선을 그었다.