‘3000만건’ vs ‘3000개 계정’…쿠팡 개인정보 유출 규모 논란의 배경
입력 2026.01.26 17:50
수정 2026.01.26 17:50
ⓒ쿠팡 홈페이지
쿠팡의 개인정보 유출 규모를 둘러싼 논란이 재점화되고 있다. 정부와 경찰이 “3000만건 이상이 유출됐다”는 취지의 입장을 내놓으면서다.
일각에서는 용어 해석에서 비롯된 혼선이라는 지적도 제기된다.
앞서 쿠팡은 지난해 말 조사 경과를 설명하며 전체 3300만여개 계정 가운데 실제로 외부 저장매체에 저장된 정보는 약 3000개 계정 분량에 불과하다고 밝힌 바 있다.
다만 이 설명이 새해 들어서도 쿠팡이 주장하는 ‘전체 유출 규모’로 받아들여지면서 논란이 계속되고 있다는 분석이 제기된다.
26일 업계에 따르면, 이날 경찰은 쿠팡에서 유출된 개인정보가 계정 기준 3000만건 이상으로 파악했다고 밝혔다.
박정보 서울경찰청장은 이날 정례 기자간담회에서 “성명이나 이메일 등이 포함된 자료가 나간 건수가 계정 기준 3000만건 이상”이라며 “쿠팡은 3000건만 유출됐다고 하는데, 우리가 봤을 때 훨씬 더 많은 자료가 유출됐다”고 설명했다.
지난 21일 쿠팡 정보유출 사건을 조사중인 송경희 개인정보보호위원장도 “현재까지 3000만명 이상의 개인정보가 유출된 사실이 확인됐다”라고 말했다.
지난달 말 쿠팡 연석 청문회에서 범정부 TF를 이끄는 배경훈 부총리도 “쿠팡 유출은 3000건이 아닌 3300만 건 이상”이라고 밝혔다.
이에 일각에선 “쿠팡이 주장하는 개인정보 유출 건수인 3000건보다 1만배 가량 개인정보가 유출된 것 아니냐”는 지적이 나온다. 쿠팡이 사안을 축소하는 것 아니냐는 것이다.
정부측이 잇따라 비슷한 목소리를 내는 이유는 쿠팡이 지난 12월 25일 낸 자료에 있다.
쿠팡이 중국 국적의 전 직원 진술과 포렌식 조사를 토대로 “유출자가 3300만 고객 정보에 접근했지만, 약 3000개 계정만 자신의 PC 하드 드라이브에 저장했다”는 대목이 논란을 사고 있기 때문이다.
당시 쿠팡측은 “공동현관 비밀번호 2609개를 포함해 3000개 계정만 피의자가 자신의 하드 드라이브에 저장했지만 이를 삭제했다”고 했다. 피의자의 진술 주장과 포렌식 조사 결과라고도 했다.
◇쿠팡, 작년 12월 초 3370만명에 ‘개인정보 유출’로 재공지…”오해 소지 없어야”
업계에서는 쿠팡이 외부 하드드라이브 기준으로 ‘저장’했다는 대목이 외부 정치권과 정부에서 ‘유출의 기준’으로 와전 해석되고 있는 것 아니냐는 분석이 나온다.
쿠팡의 지난해 말 발표 내용엔 “3370만명이 아니라 ‘3000명 계정만 유출됐다”는 대목이 없다.
업계 관계자는 “당시만 해도 수천만명의 개인정보 유출에 대한 2차 피해 우려가 컸고, 이를 불식해야 한다는 주문이 컸다”며 “이용자들의 ‘2차 피해’가 없다는 주장이 담긴 입장문으로, 소비자 피해 측면에서 우려를 잠재우고 향후 조사나 과징금 발표 등에 대응하기 위한 포석 아니겠느냐”고 설명했다.
개인정보보호위원회 고시(25조)에 따르면, 개인정보의 유출은 개인정보가 해당 개인정보처리자의 관리와 통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것이라 설명한다.
정보 보안업계에선 쿠팡이 이미 3370만명에 대해 개인정보 ‘유출’ 통지를 재통지 한 상황에 주목한다.
쿠팡은 당초 지난 11월 29일 3370만명에 대해 “고객의 소중한 개인정보가 일부 노출되는 사고가 발생했다”고 공지했다.
하지만 국회와 정부에서 “정보가 유출이 됐는데 ‘노출’이란 표현을 바꿔야 한다”는 목소리가 나왔다.
이에 개보위는 시정조치를 통해 쿠팡에 ‘개인정보 유출’로 재공지하라고 주문했다.
쿠팡은 12월 6일부터 3370만 고객들에게 ‘개인정보 유출사고 재안내’란 제목으로 “쿠팡은 이번 유출을 인지한 즉시 관련 당국에 신속하게 신고했고, 조사에 적극 협력하고 있다”는 내용의 문자를 보내고 앱에도 공지했다. 이메일이나, 성명, 전화번호 등 개인정보가 단지 ‘노출’된 것이 아니라 ‘유출’됐다라는 점을 공식적으로 밝힌 것이다.
다만 보안업계 관계자는 “애당초 쿠팡이 명확히 ‘유출’과 ‘접근’ 등의 개념 정의에 대해 분명하게 발표했어야 한다”며 “애매모호한 표현이 부적절하게 확대 해석될 수 있다”고 말했다.
한편, 쿠팡에는 정보유출 사고를 조사중인 개인정보보호위원회·민관합동조사단을 비롯, 공정거래위원회와 고용노동부, 서울본부세관 등 10개 이상 부처들이 수백여명의 조사인력을 투입한 것으로 알려졌다.
업계 관계자는 “단일 기업의 개인정보 유출 사안을 두고 이처럼 다수의 관계 기관이 동시에 현장 조사를 벌이는 것은 이례적”이라며 “고강도 조사가 동시다발적으로 이뤄지는 상황에서 가장 중요한 정보 유출 사고에 대한 결과 발표에 관심이 쏠리고 있다”고 했다.
