과학기술정보통신부(과기정통부)는 2026년 2월 10일 쿠팡 개인정보 침해사고 민관 합동조사단의 조사 결과를 발표하며, **총 3367만 건의 개인정보 유출**과 **배송지 목록(성명·전화번호·주소 등) 1억 4800만 회 조회** 사실을 확인했습니다.

조사 주요 내용은 다음과 같습니다: - **유출 세부 사항**: 공격자는 쿠팡의 이용자 인증 취약점을 악용해 정상 로그인 없이 내정보 수정 페이지(성명·이메일), 배송지 목록 페이지(성명·전화번호·주소·공동현관 비밀번호), 주문 목록 페이지 정보를 무단 접속·유출했습니다. 이는 최초 신고(4536개 계정) 규모의 7배 이상으로, 국내 전자상거래 플랫폼 침해사고 중 **최대 규모**입니다. - **공격 주체**: 쿠팡 **전 직원(인증 시스템 개발자)**이 서버 취약점을 이용해 정보를 빼돌린 것으로 확인됐으나, 제3자로의 유출 여부는 확인되지 않았습니다. - **쿠팡 법 위반**: - 침해사고 인지 후 24시간 내 신고 의무(정보통신망법 제48조 3항)를 위반해 53시간 만에 KISA에 신고(3000만 원 이하 과태료 대상). - 과기정통부의 자료 보전 명령에도 웹·모바일 접속 기록(로그)을 자동 삭제 정책으로 방치해 수사 의뢰. - **조사 배경**: 지난해 말 발생한 사고로, 11월 30일 민관 합동조사단 구성 후 2개월 여 조사. 전체 유출 규모는 개인정보보호위원회에서 최종 확정 예정입니다.

과기정통부는 쿠팡의 정보보호 관리체계 점검을 통해 추가 대책을 강화할 방침입니다.