[시사뉴스 이광효 기자] 쿠팡 주식회사 개인정보 유출 사태에 대해 피해계정이 3천만개 이상이고 이름과 전화번호, 주소 등이 유출된 것으로 나타났다.

과학기술정보통신부는 2일 국회 과학기술정보방송통신위원회에 제출한 ‘쿠팡 침해사고·개인정보유출 대응 현황 및 향후 계획’ 자료에서 “공격자는 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 고객 정보를 수차례 비정상 접속해 유출했다”며 “쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자서명하는 암호키가 악용됐다”고 밝혔다.

이어 “쿠팡 서버는 정상적으로 전자서명된 인증용 토큰으로 판단해 접속을 허용했다”며 “현재까지 공격이 식별된 기간은 2025년 6월 24일∼11월 8일이며 해당 기간에 무단 조회된 피해 계정은 3천만개 이상으로 확인됐다”고 설명했다.

과학기술정보통신부에 따르면 유출된 정보는 고객명과 이메일, 배송지 전화번호, 실제주소 등이다.

쿠팡으로부터 침해사고 신고가 최초로 접수된 것은 11월 19일이었고 최초 신고 당시 유출 규모는 4536개 계정의 고객명, 이메일, 주소 등이었다.

쿠팡과 KISA(Korea Internet & Security Agency, 한국인터넷진흥원)는 전수 로그(2024년 7월∼2025년 11월) 분석을 통해 3000만개 이상의 계정에서 정보가 유출된 것으로 판단했다.

쿠팡은 이번 사태에 대해 “2025년 11월 18일 쿠팡은 약 4500명의 고객 계정과 관련된 개인정보 무단 접근 사실을 인지했다"며 "후속 조사 결과 3370만건의 계정 정보가 노출됐다는 것을 알게 됐다”고 밝혔다.