국회입법조사처가 쿠팡 개인정보 유출 사태를 두고 단순 해킹 사고를 넘어 기업의 내부 통제와 사고 대응 전반에서 구조적 취약성이 드러났다고 지적했다. 권한 없는 자가 약 3,370만 개 계정에 접근했다는 사실만으로도 국민의 약 65%에 해당하는 개인정보가 위험에 노출될 수 있었던 중대한 사안이며, 국가 안보와 사회 안전에 연쇄적 영향을 미칠 수 있다고 평가했다.

입법조사처는 보고서에서 이번 사안을 ‘국정조사에서 무엇을 묻고 무엇을 확인해야 하는지’에 대한 사실상 점검표로 정리해 제시했다. 내부 보안체계의 결함 가능성, 유출 정보의 광범성과 민감성, 정보주체 보호를 충분히 구현하지 못한 통지 과정, 수사 진행 중 진행된 자체조사의 정당성, 그리고 계열사 이용을 전제로 한 ‘구매이용권’ 중심 보상 방식의 적절성 등이 핵심 쟁점으로 적시됐다. 국회에는 쿠팡을 대상으로 사업운영 전반을 점검하는 안과, 통신·공공부문 등 사이버 침해사고 전반과 함께 국가 차원의 보안·개인정보 체계를 점검하는 안 등 국정조사 요구서가 2건 제출된 상태다.

반복된 침해, 내부통제 실패 의혹

입법조사처는 쿠팡이 2020년, 21년, 23년에도 개인정보 침해 사고를 겪었는데도 다시 대규모 침해가 발생했다는 점을 들어 내부 보안 관리와 대응 체계가 근본적으로 개선되지 않았을 가능성을 문제 삼았다. 특히 내부자 전용 토큰 인증 서명키는 회사 외부로 반출돼서는 안 되는 핵심 보안 자산인데, 퇴사 등 인사 변동 시 즉시 폐기하거나 재발급하는 것이 일반적 관리 기준임에도 장기간 외부 노출 정황이 있었다는 점이 쟁점으로 지목됐다.

보고서는 해외에서 쿠팡 시스템에 대한 비정상적 접근이 2025년 6월 24일 무렵부터 시작된 것으로 추정된다고 정리했다. 2025년 12월 2일 국회 과학기술정보방송통신위원회 현안질의에서 쿠팡 최고정보보호책임자(CISO)는 퇴사자인 용의자가 내부자 전용 토큰 인증 서명키를 외부로 유출했고, 이를 이용해 가짜 토큰을 만들어 API를 통해 시스템에 접근한 것으로 보인다는 취지로 답변했다.

입법조사처는 이러한 정황이 사실이라면 최소 권한 원칙과 이상 징후 탐지 설계가 제대로 작동하지 않았을 수 있다고 봤다. 퇴사자 접근권한 회수 절차가 적정했는지, 실시간 탐지·차단이 어느 단계에서 멈췄는지, 유사한 무단 접근이 추가로 있었는지 등 전사적 내부 통제 프로세스 전반에 대한 확인이 필요하다고 강조했다.

민감정보·탈퇴정보까지 ... 정보주체 보호가 뒷전

입법조사처는 권한 없는 자가 약 3,370만 계정 정보에 접근한 정황 자체가 ‘피해 규모를 축소할 수 없는 사건’이라고 봤다. 이름·이메일·주소뿐 아니라 배송지 주소록, 일부 주문정보 등 민감정보가 포함된 것으로 전해지고, 배송지 주소록 특성상 이용자 본인뿐 아니라 제3자 정보까지 함께 노출됐을 가능성이 거론된다고 정리했다. 활성 회원은 물론 탈퇴 회원 정보까지 포함됐다는 전언이 사실이라면, 파기·분리보관 원칙이 현장에서 제대로 작동했는지부터 국정조사에서 확인해야 한다는 취지다.

통지 과정도 문제로 지목됐다. 입법조사처는 초기 안내가 팝업이 아닌 작은 배너 형태였고 노출 기간도 짧았으며, 피해 최소화 안내와 유출 항목 공지가 충분했는지 논란이 제기됐다고 정리했다. 특히 ‘유출’ 대신 ‘노출’·‘무단 접근’ 표현을 사용한 판단을 두고, 대규모 침해 가능성을 인지한 뒤에도 정보주체 보호를 최우선으로 두지 않았다는 의구심이 커졌다고 했다. 개인정보보호위원회가 2025년 12월 3일 ‘유출’로의 표현 변경과 팝업 공지 등을 촉구한 뒤에야 재통지가 이뤄졌다는 점까지 포함해, 누가 어떤 기준으로 통지의 수위와 형식을 결정했는지 국정조사에서 책임 구조를 따져야 한다고 강조했다.

진상 규명과 피해 구제가 모두 흔들렸다

입법조사처는 쿠팡이 민관합동조사단 조사와 경찰 수사가 진행 중이던 2025년 12월 25일, 전직 직원을 자체 접촉해 확보한 자료를 외부업체에 맡겨 포렌식한 뒤 결과를 공지한 대목을 국정조사의 핵심 확인사항으로 올렸다. 쿠팡은 3,300만 계정에 접근이 있었지만 약 3,000개 정보만 저장됐고 제3자 전송은 없었다는 취지로 밝혔으나, 과학기술정보통신부·경찰·개인정보보호위원회가 잇따라 반박하거나 추가 확인이 필요하다는 취지로 대응했다는 점을 보고서는 함께 적었다. 입법조사처는 수사기관과의 사전 협의 없이 ‘독자 결론’을 내린 경위, 포렌식 범위가 특정 진술을 전제로 제한됐는지, 정부와 수사기관이 동일한 원본 자료를 동일한 상태로 확보했는지 등을 국정조사에서 따져야 한다고 했다.

보상 방식도 같은 맥락에서 쟁점으로 제시됐다. 입법조사처는 쿠팡이 2025년 12월 29일 3,370만 계정 대상 1인당 5만 원 구매이용권 지급을 발표했지만, ‘배상’이 아닌 ‘보상’이라는 표현과 함께 금전이 아닌 이용권으로 설계한 점이 배상 책임을 희석한다는 비판을 낳았다고 정리했다. 계열사 분할 사용, 3개월 사용 기한, 잔액 미환불 등 조건이 붙고, 탈퇴 고객은 재가입해야 받을 수 있는 구조라면 피해 구제라기보다 거래관계 복귀를 유도하는 장치라는 논란이 커질 수 있다는 것이다. 보고서는 개인정보 보호법의 원칙이 금전 배상이며, 금전 외 수단을 택하더라도 피해자의 자유로운 선택이 전제돼야 하는데, 이번 사안에서 그 절차가 있었는지 국정조사에서 확인해야 한다고 강조했다.

‘개인정보 위험의 일상화’ 경계, 국정조사 이후 제도 보완 논의 필요

입법조사처는 쿠팡 사태가 권한 없는 자의 대규모 접근만으로도 국가 차원의 위험을 내포한다고 평가하면서, 대형 침해사고가 반복될수록 사회가 충격에 익숙해지고 경각심이 무뎌지는 현상 자체가 또 다른 위험이라고 경고했다. 쿠팡이 상장된 미국 자본시장에서는 이번 사태가 기업 가치에 미치는 영향이 제한적일 수 있다는 분석과 함께 한국 소비자들이 개인정보 유출 사고에 상대적으로 익숙하다는 언급이 나온다고 정리하면서, 반복된 ‘둔감화’를 끊어내기 위한 제도적 경고와 대응이 필요하다는 취지를 강조했다.

보고서는 국정조사가 성사될 경우 개인정보 침해가 일회성 사고인지, 아니면 플랫폼 기업의 지배구조와 내부 통제, 사고 공시 방식, 피해자 구제 구조의 누적된 취약성이 표면화된 것인지가 핵심 판단 기준이 될 수 있다고 시사한다. 국정조사 과정에서 사실관계와 책임 구조가 정리되면, 대규모 플랫폼 기업의 내부자 위협 대응, 비활성 개인정보 최소화와 분리 보관, 통지 제도의 실효성 강화, 자체조사 공지의 한계와 규율, 금전 배상 원칙의 적용 방식 등 제도 보완 논의로 이어질 가능성이 있다.

입법조사처의 이번 보고서가 ‘쿠팡 사태’에서 국회가 무엇을 바로잡아야 하는지 쟁점을 선명하게 정리했다는 점에서 문제 제기 자체가 의미가 있다. 특히 개인정보 유출, 플랫폼 지배력, 노동·산업안전, 공정거래 등 쿠팡을 둘러싼 복합적 쟁점이 반복적으로 드러났음에도 우리 사회가 불편한 현실을 애써 외면해 온 측면이 있었고, 쿠팡은 그 외면을 들춰내는 하나의 ‘창’이 될 수 있다. 특히 입법조사처가 물류 노동 및 산업안전, 공정거래 쟁점 등 후속 보고서를 순차적으로 내겠다고 밝힌 것도, 국회가 실질적 시정에 나설 수 있도록 쟁점을 단계적으로 정리해 주는 작업으로 읽힌다.