‘외부 유출 없다’는 쿠팡, 정부는 왜 반박했나

3300만 명. 쿠팡이 내부 유출자가 접근한 고객 계정 수다.

하지만 실제 저장된 정보는 약 3,000건, 게다가 유출자는 이를 모두 삭제했다고 한다.

쿠팡은 지난 12월 25일, 자사 보안 사고에 대한 발표에서 “외부 유출은 없었다”고 결론을 내렸다.

그러나 정부는 이 발표를 ‘공식 확인된 바 없다’며 즉각 반박했다.

정보 공개의 타이밍과 방식, 그리고 신뢰 주체를 둘러싼 이 긴장은 단순한 보안 사고를 넘어 플랫폼 시대 기업과 정부의 위기 대응 구조를 들여다보게 만든다.

쿠팡 배송 차량 옆을 지나가는 시민. 보안 이슈는 기업 이미지와 신뢰에 직결된다. 출처: 한겨레신문

쿠팡이 먼저 발표했다... 사건의 흐름

쿠팡은 2025년 12월 25일 자사 뉴스룸을 통해 내부 직원에 의한 고객정보 유출 사건의 경과와 조사 결과를 발표했다.

핵심 내용은 다음과 같다.

• 유출자는 내부 보안 키를 활용해 약 3,300만 고객 정보에 접근했다.
• 실제 저장된 정보는 이름, 이메일, 주소, 전화번호 등 3,000여 건이다.
• 공동현관 출입번호 2,609건도 포함됐지만, 결제 정보나 로그인 정보, 통관번호 등은 포함되지 않았다.
• 유출자는 외부로 데이터를 전송하지 않았으며, 모든 정보를 삭제했다고 진술했다.
• 해당 직원은 자진 진술했고, 사용된 장비는 쿠팡과 정부가 모두 확보한 상태다.

쿠팡은 자체 조사를 위해 글로벌 보안 기업 세 곳(맨디언트, 팔로알토 네트웍스, 언스트앤영)에 의뢰했으며, 포렌식 결과는 유출자의 진술과 일치했다고 밝혔다. 발표는 매우 구체적이었고, 자료도 풍부했다.

정부는 왜 반박했나

쿠팡의 발표 직후, 과학기술정보통신부와 경찰은 모두 '조사 중인 사안이며 공식적으로 확인된 바 없다'고 선을 그었다.

즉, 쿠팡의 결론은 정부의 조사 발표보다 앞선 '단독 발표'였던 셈이다.

과기부는 유출자에 대한 수사, 포렌식 분석, 정보 저장 여부 및 유출 경로 확인이 아직 진행 중이라고 밝혔다.

또한 쿠팡이 발표한 정보들이 민관합동조사단과 협의되지 않았으며, 공식 결과로 오인될 소지가 있다고 지적했다.

이는 단순한 ‘정보 차이’ 문제가 아니다.

기업이 사안의 심각도를 스스로 판단하고, 정부보다 먼저 결론을 제시하는 구조 자체가 문제의 본질이다.

정부와 협의 없는 정보 발표는 자칫 공공 신뢰의 혼란과 사회적 갈등을 유발할 수 있기 때문이다.

정보 유출의 실질적 범위는?

현재까지 공개된 정보에 따르면, 실제 저장된 개인정보는 약 3,000건이며, 그 중 공동현관 출입번호가 2,609건이다.

이는 물리적 보안 위협 가능성을 내포하고 있어, 단순한 ‘이름·주소’ 유출보다 민감한 사안으로 평가된다.

다만 다음과 같은 점은 긍정적으로 평가된다.

• 결제 정보, 로그인 정보, 통관번호 등 민감정보는 유출되지 않았다.
• 저장된 정보는 외부 전송 없이, 유출자의 장비에만 일시적으로 저장된 것으로 추정된다.
• 유출 장비는 자진 제출되어 포렌식 분석이 가능했고, 데이터 삭제 여부도 확인되었다.

그러나 유출자가 스스로 파기한 MacBook Air의 존재나 진술 기반 접근 경로 등은 여전히 정부 수사 결과로 확인이 필요한 부분이다.

정보공개 vs 조사완료... 누가 책임지는가

이번 사건이 유독 이슈가 된 이유는, '무엇이 유출됐는가'보다 '누가 먼저 발표했는가'에 더 있다.

정보 공개는 사전 확인과 검증이 필수적이다. 하지만 기업이 먼저, 스스로의 데이터를 바탕으로 유출을 설명하는 것은 투명성인지, 면죄부인지 판단이 갈린다.

• 쿠팡은 사용자 보호를 위한 조기 대응이라고 주장한다.
• 정부는 공적 조사의 공신력 훼손과 정보의 객관성 부재를 문제 삼는다.

이는 단순한 보안 이슈가 아닌, 공공기관과 플랫폼 기업 간 위기 대응 구조의 시험대다.

이 사건을 통해 기업 발표의 적절성, 정부와의 소통 구조, 유출 사실의 판단 주체 등 디지털 시대 신뢰 구조 전반에 대한 재검토가 필요하다.

관련 Nysight

• 해외주식 팔고 국내주식 사면? 최대 660만원 양도세 감면 조건 정리
• 쿠팡 특별 세무조사, 국세청이 본 건 '자회사 거래 구조'였다
• 롯데백화점 분당점, 왜 27년 만에 문을 닫는가
• 미국 11월 CPI 2.7%... 인플레이션 둔화, 금리 인하 신호일까
• 전기차 보조금 폐지 후폭풍... 포드, LG엔솔 배터리 계약 취소 배경은?

결론: 보안은 데이터만이 아니다

이번 쿠팡 유출 사태는 '정보가 얼마나 유출되었는가'보다, '누가 정보를 어떻게 발표했는가'에 초점이 맞춰졌다.

3300만 접근, 3000건 저장, 외부 유출 없음이라는 수치는 아직 정부의 공식 확인을 거치지 않았다.

그럼에도 기업이 단독으로 발표를 강행한 구조는, 디지털 플랫폼 시대의 정보 주도권 문제를 상징한다.

보안은 기술만으로 완성되지 않는다.

정보 공개의 시기, 커뮤니케이션의 방식, 책임 주체의 명확성까지 포함해야 한다.

이번 사건은 단순한 개인정보 유출을 넘어, 정보 시대의 위기 대응 프로토콜이 어떤 기준 위에서 작동해야 하는지를 묻고 있다.

📌 참고자료

• 쿠팡뉴스룸 - 쿠팡은 유출자를 특정하였고, 고객 정보 유출에 사용된 모든 장치가 회수되었음을 확인하였습니다. 현재까지 조사에 의하면, 유출자는 약 3,000개 계정의 제한된 고객 정보만 저장했고, 이후 이를 모두 삭제하였습니다.
• 조선일보 - 쿠팡 "정보 유출자 장치 회수, 외부 유출 없다" 발표
• 한겨레신문 - 쿠팡 “정보 유출자 확인... 외부 유출 안 돼” 일방 발표
• 뉴스1 - 쿠팡 "유출 피해 제한적" 발표에... 정부·경찰 "조사 중인 사안"(종합2보)
• 중앙일보 - "제3자 유출 없다" 쿠팡 셀프 면죄부... 정부·경찰 "확인 안돼" 강력 항의

면책 문구:

본 글은 사회·경제적 현상 해설을 위한 일반 정보 제공을 목적으로 작성되었습니다. 정부 발표, 수사 결과 등은 향후 변경될 수 있으며, 최종 확인은 공식 기관의 안내를 참고하시기 바랍니다.