쿠팡, 사고 인지 이틀 후 신고…5개월치 기록도 사라져

관리 허술·은폐 정황 드러나 정부, 재발 방지 대책 계획 지시 공무집행 방해 과태료 부과 예고 쿠팡이 지난해 중국인 퇴사 직원에 의한 개인정보 유출 사고를 인지하고도 이를 법정 기한 내에 신고하지 않은 것으로 드러났다. 사고 원인 규명을 위해 조사 당국이 보전을 요구한 자료가 삭제되도록 방치한 사실 또한 확인돼 수사 의뢰 가능성도 제기된다. 쿠팡 침해 사고를 조사 중인 민관합동조사단은 10일 “쿠팡이 침해 사고를 인지한 뒤 24시간 이내 신고해야 한다는 규정을 위반했다”고 밝혔다. 중국인 전 직원은 지난해 11월 16일 쿠팡에 자신이 정보를 유출했다는 내용의 메일을 발송했다. 이 같은 내용은 하루가 지난 17일 오후 4시가 돼서야 정보보호최고책임자(CISO)에게 보고됐다. 정보통신망법 제48조의 3에 따르면 기업은 침해 사고를 인지하면 24시간 이내에 과학기술정보통신부 또는 한국인터넷진흥원(KISA)에 신고해야 한다. 그러나 쿠팡은 19일 오후 9시 35분 KISA에 신고했다. 이는 법 위반에 해당하며 3000만 원 이하 과태료 부과 대상이다. 쿠팡은 정부의 자료 보전 요구도 이행하지 않았다. 정부는 19일 오후 10시 34분, 침해 사고 원인 분석을 위해 관련 자료 보전을 명령했다. 하지만 쿠팡이 자사 시스템의 자동 로그 저장 정책을 조정하지 않으면서 2024년 7월부터 11월까지 약 5개월 치 웹 접속 기록이 자동 삭제되도록 방치했다. 쿠팡 앱 접속 기록 역시 2025년 5월 23일부터 6월 2일까지의 데이터가 삭제됐다. 정보 은폐 및 폐기는 공무집행 방해 행위에 해당한다. 민관합조단은 “자료 보전 명령 위반과 관련해 쿠팡 역시 수사기관에 수사를 의뢰했다”며 “쿠팡에 재발 방지 대책과 구체적인 이행 계획을 제출하도록 하고 6~7월 중 이행 여부를 점검할 예정”이라고 밝혔다. 쿠팡은 “공격자 진술에 근거해 3000개 계정만 공격자 하드드라이브에 저장됐고 해당 정보들이 삭제됐다”며 “개인정보 유출을 부정한 바 없으며 3370만 명에 대해 이를 통지하고 보상안을 지급했다”는 입장을 밝혔다.