제22대 제429회 제18차 과학기술정보방송통신위원회 (2025년 12월 02일)

의사일정 제1항 현안질의를 상정합니다. 오늘 우리 위원회는 최근 발생한 쿠팡 침해사고와 관련하여 사건경위와 더불어 정부 대응과 기업의 명확한 책임소재를 확인하기 위해 현안질의를 실시합니다. 이번 사고는 국내 대표 전자상거래 플랫폼에서 대규모 개인정보가 무단 유출되었을 가 능성이 있는 사고입니다. 국민의 디지털 안전과 신뢰를 크게 훼손할 수 있는 중대한 사 2 제429회-과학기술정보방송통신제18차(2025년12월2일) 안입니다. 특히 거래 기반 플랫폼 사업자의 서비스 규모와 영향력을 고려할 때 단순한 기술적 문제를 넘어 기업의 보안 거버넌스와 정부의 감독체계 전반을 되돌아보아야만 하 게 만드는 사안입니다. 오늘 현안질의에서 쿠팡의 사전 보안관리 부실 여부, 사고 대응 과정의 문제점, 정부 감독 미비 등에 대해 집중적으로 점검할 수 있도록 하겠습니다. 오늘 현안질의가 국민의 디지털 안전을 강화하고 우리 사회의 개인정보 보호체계를 한 단계 더 발전시키는 계기가 되기를 바라며 아울러 오늘 현안질의에서 하는 답변들은 내 일 있을 정무위 위원들께서 이어서 심화 질문을 하게 될 것이라는 점을 말씀드립니다. 그러니까 답변을 사실에 기초해서 정확하게 해 달라는 당부말씀입니다. 오늘 현안질의에는 과기정통부와 한국인터넷진흥원 등 관계기관 담당자들이 참석하였 습니다. 또한 개인정보보호위원회 담당자와 쿠팡 관계자, 민간 전문가께서 자발적으로 참 석해 주셨습니다. 참고로 부총리는 국무회의가 있는 관계로 국무회의 이후에 참석하는 것으로 위원장과 양당 간사 간의 합의가 있었다는 점을 말씀드립니다. 오늘 현안질의에 출석하신 관계부처 및 일반 참석자를 소개해 드리겠습니다. 소개받으 신 분은 잠시 일어서서 인사하시고 앉아 주시기 바랍니다. 이정렬 개인정보보호위원회 부위원장이십니다. 박대준 쿠팡 대표이사이십니다. 브랫 매티스 쿠팡 정보보호최고책임자이십니다. 김승주 고려대학교 교수이십니다. (인사) 자발적으로 참석해 주신 모든 분들께 감사드립니다. 질의에 들어가기에 앞서 쿠팡 침해사고와 관련한 주요 경과와 현재 대응상황에 대한 보고를 받도록 하겠습니다. 류제명 과기정통부제2차관 나오셔서 보고해 주시기 바랍니다.

과기정통부2차관입니다. 쿠팡 침해사고 및 개인정보 유출과 관련한 대응 현황 및 향후 계획을 보고드리겠습니 다. 먼저 금년 통신사·금융사에 이어 국민들께서 많이 이용하시는 플랫폼사까지 침해사고 및 개인정보 유출로 국민들께 불편을 끼치게 된 점에 대해 송구하다는 말씀을 드립니다. 1쪽, 침해사고 대응 경과입니다. 지난 11월 19일 21시 35분 쿠팡으로부터 침해사고 신고가 최초 접수된 이후 과기정통 부는 22시 34분 침해사고 원인분석을 위한 자료 보전 및 제출을 요구하였습니다. 최초 신고 당시 유출 규모는 4536개 계정의 고객명, 이메일, 주소 등이었습니다. 한국 인터넷진흥원은 11월 21일부터 29일까지 현장조사를 통해 추가 피해여부를 파악하였습 니다. 지난 24년 7월부터 25년 11월까지 전수 로그 분석 결과 3000만 개 이상의 계정에서 정보가 유출된 것으로 판단되어 11월 29일 과기정통부·개인정보보호위원회 합동으로 대 응방안 긴급 언론보도와 2차 피해 방지를 위한 긴급 보안공지 등을 추진하였습니다. 제429회-과학기술정보방송통신제18차(2025년12월2일) 3 11월 30일 과학기술정보통신부는 침해 규모 및 국민 피해 발생 등을 고려하여 민관합 동조사단을 구성하는 한편 과기정통부, 국무조정실, 개인정보위 등 관계부처 간 긴급 장 관회의를 개최하고 대응방향을 논의하였습니다. 2쪽입니다. 현재까지의 조사 상황 및 향후 계획입니다. 공격자는 쿠팡 서버의 인증 취약점을 악용하여 정상적인 로그인 없이 고객 정보를 수 차례 비정상으로 접속하여 유출하였습니다. 이 과정에서 쿠팡 서버 접속 시 이용되는 인 증용 토큰을 전자서명하는 암호키가 악용되었습니다. 현재까지 공격이 식별된 기간은 25년 6월 24일부터 11월 8일까지이며 해당 기간에 무 단 조회된 피해 계정은 3000만 개 이상이며 유출된 정보는 고객명, 이메일, 배송지 전화 번호, 실제 주소 등으로 확인되었습니다. 다만 정밀조사를 통해 실제 피해 계정 숫자는 변동이 발생할 수 있습니다. 확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3000만 건의 개인 정보 유출을 주장하였습니다. 다만 현재 언론 등에서 언급되고 있는 공격자의 신상에 대 한 정보는 경찰 수사로 확인이 필요한 사항입니다. 앞으로 민관합동조사단을 통해 사고경위 및 쿠팡의 보안 문제점에 대해 면밀히 조사하 고 그 결과를 국민들께 투명하게 공개하겠습니다. 또한 유출 정보 등을 악용하여 스미싱 등의 2차 피해가 발생할 우려가 있어 2차 피해 발생 여부에 대한 모니터링을 강화하고 개인정보위·경찰청 등 유관기관과 공조하여 2차 피해를 방지해 나가겠습니다. 이상으로 보고를 마치겠습니다. 감사합니다.

과기정통부2차관입니다. 쿠팡 침해사고 및 개인정보 유출과 관련한 대응 현황 및 향후 계획을 보고드리겠습니 다. 먼저 금년 통신사·금융사에 이어 국민들께서 많이 이용하시는 플랫폼사까지 침해사고 및 개인정보 유출로 국민들께 불편을 끼치게 된 점에 대해 송구하다는 말씀을 드립니다. 1쪽, 침해사고 대응 경과입니다. 지난 11월 19일 21시 35분 쿠팡으로부터 침해사고 신고가 최초 접수된 이후 과기정통 부는 22시 34분 침해사고 원인분석을 위한 자료 보전 및 제출을 요구하였습니다. 최초 신고 당시 유출 규모는 4536개 계정의 고객명, 이메일, 주소 등이었습니다. 한국 인터넷진흥원은 11월 21일부터 29일까지 현장조사를 통해 추가 피해여부를 파악하였습 니다. 지난 24년 7월부터 25년 11월까지 전수 로그 분석 결과 3000만 개 이상의 계정에서 정보가 유출된 것으로 판단되어 11월 29일 과기정통부·개인정보보호위원회 합동으로 대 응방안 긴급 언론보도와 2차 피해 방지를 위한 긴급 보안공지 등을 추진하였습니다. 제429회-과학기술정보방송통신제18차(2025년12월2일) 3 11월 30일 과학기술정보통신부는 침해 규모 및 국민 피해 발생 등을 고려하여 민관합 동조사단을 구성하는 한편 과기정통부, 국무조정실, 개인정보위 등 관계부처 간 긴급 장 관회의를 개최하고 대응방향을 논의하였습니다. 2쪽입니다. 현재까지의 조사 상황 및 향후 계획입니다. 공격자는 쿠팡 서버의 인증 취약점을 악용하여 정상적인 로그인 없이 고객 정보를 수 차례 비정상으로 접속하여 유출하였습니다. 이 과정에서 쿠팡 서버 접속 시 이용되는 인 증용 토큰을 전자서명하는 암호키가 악용되었습니다. 현재까지 공격이 식별된 기간은 25년 6월 24일부터 11월 8일까지이며 해당 기간에 무 단 조회된 피해 계정은 3000만 개 이상이며 유출된 정보는 고객명, 이메일, 배송지 전화 번호, 실제 주소 등으로 확인되었습니다. 다만 정밀조사를 통해 실제 피해 계정 숫자는 변동이 발생할 수 있습니다. 확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3000만 건의 개인 정보 유출을 주장하였습니다. 다만 현재 언론 등에서 언급되고 있는 공격자의 신상에 대 한 정보는 경찰 수사로 확인이 필요한 사항입니다. 앞으로 민관합동조사단을 통해 사고경위 및 쿠팡의 보안 문제점에 대해 면밀히 조사하 고 그 결과를 국민들께 투명하게 공개하겠습니다. 또한 유출 정보 등을 악용하여 스미싱 등의 2차 피해가 발생할 우려가 있어 2차 피해 발생 여부에 대한 모니터링을 강화하고 개인정보위·경찰청 등 유관기관과 공조하여 2차 피해를 방지해 나가겠습니다. 이상으로 보고를 마치겠습니다. 감사합니다.

수고하셨습니다. 이제부터 본격적인 현안질의에 들어가도록 하겠습니다. 질의 시간은 7분으로 하겠습니다. 간사님, 7분으로 하겠습니다.

수고하셨습니다. 이제부터 본격적인 현안질의에 들어가도록 하겠습니다. 질의 시간은 7분으로 하겠습니다. 간사님, 7분으로 하겠습니다.

예.

예.

질의 시간에는 답변 시간도 포함됩니다. 배부해 드린 질의 순서에 따라 이훈기 위원님 질의해 주십시오.

질의 시간에는 답변 시간도 포함됩니다. 배부해 드린 질의 순서에 따라 이훈기 위원님 질의해 주십시오.

인천 남동을의 이훈기 위원입니다. 유통 공룡 쿠팡에서 사상 초유의 정보유출사고가 일어났습니다. 무려 3300만 개 계정 정보가 유출이 됐습니다. 아마 국내 사상 초유의 유출사고가 아닌가 싶습니다. (영상자료를 보며) 그리고 이 유출사고로 많은 분들이 보이스피싱, 스미싱 등 범죄에 그대로 노출돼 있습 니다. 우리 국민 성인의 대부분이 불안해하고 있고 어떠한 범죄에 자신이 이용될 수 있 을까 불안해하고 있습니다. 그런데 저는 이 유출사고를 보면서 외연만 확장한 쿠팡이 보안에 얼마나 소홀하고 무 책임했는가를 모든 국민이 느끼셨을 줄 압니다. 쿠팡은 지난 6월 24일 해외서버를 통한 무단 개인정보 접근 시작을 추정했지만 5개월 동안 전혀 탐지도 차단하지도 못했습니다. 매출액이 무려 40조 원이 넘는 공룡 기업에서 이렇게 허술한 보안을 유지해 왔습니다. 다음 PPT 보겠습니다. 4 제429회-과학기술정보방송통신제18차(2025년12월2일) 이번 유출사고는 전형적인 보안사고 패턴을 답습하고 있습니다. 뒤늦은 인지, 서버 인 증 취약점, 피해 발표 이런 보안사고의 패턴을 답습하고 있고. 그리고 더 심각한 문제는 원래 로그인 시스템 토큰은 생성 즉시 폐기되는 구조인데 쿠팡은 서명키 갱신 삭제하지 않고 방치해서 이러한 대규모 정보 유출사고를 냈습니다. KT의 펨토셀 관리 부실 사태 와 같은 구조라고 봅니다. 과기부차관님, 이런 사고하고 펨토셀 관리 부실 사태하고 같은 구조라고 제가 말씀을 드렸는데 어떻게 판단하세요?

인천 남동을의 이훈기 위원입니다. 유통 공룡 쿠팡에서 사상 초유의 정보유출사고가 일어났습니다. 무려 3300만 개 계정 정보가 유출이 됐습니다. 아마 국내 사상 초유의 유출사고가 아닌가 싶습니다. (영상자료를 보며) 그리고 이 유출사고로 많은 분들이 보이스피싱, 스미싱 등 범죄에 그대로 노출돼 있습 니다. 우리 국민 성인의 대부분이 불안해하고 있고 어떠한 범죄에 자신이 이용될 수 있 을까 불안해하고 있습니다. 그런데 저는 이 유출사고를 보면서 외연만 확장한 쿠팡이 보안에 얼마나 소홀하고 무 책임했는가를 모든 국민이 느끼셨을 줄 압니다. 쿠팡은 지난 6월 24일 해외서버를 통한 무단 개인정보 접근 시작을 추정했지만 5개월 동안 전혀 탐지도 차단하지도 못했습니다. 매출액이 무려 40조 원이 넘는 공룡 기업에서 이렇게 허술한 보안을 유지해 왔습니다. 다음 PPT 보겠습니다. 4 제429회-과학기술정보방송통신제18차(2025년12월2일) 이번 유출사고는 전형적인 보안사고 패턴을 답습하고 있습니다. 뒤늦은 인지, 서버 인 증 취약점, 피해 발표 이런 보안사고의 패턴을 답습하고 있고. 그리고 더 심각한 문제는 원래 로그인 시스템 토큰은 생성 즉시 폐기되는 구조인데 쿠팡은 서명키 갱신 삭제하지 않고 방치해서 이러한 대규모 정보 유출사고를 냈습니다. KT의 펨토셀 관리 부실 사태 와 같은 구조라고 봅니다. 과기부차관님, 이런 사고하고 펨토셀 관리 부실 사태하고 같은 구조라고 제가 말씀을 드렸는데 어떻게 판단하세요?

기술적인 동일성은 차별성이 있습니다만 전반적 으로 인증 관리 부실은 위원님 지적하신 대로 그런 문제점들이 공통적으로 보였습니다.

기술적인 동일성은 차별성이 있습니다만 전반적 으로 인증 관리 부실은 위원님 지적하신 대로 그런 문제점들이 공통적으로 보였습니다.

저는 더 놀라운 게 쿠팡이 사고 후에 가입자들, 이용자들한테 보낸 문자 를 보면 개인정보 유출이 아니고 노출이라는 표현을 했어요. 나중에 과징금이나 이런 걸 생각해서 이런 표현을 했는지 모르겠지만 이건 완전 국민들을 기만하는 거예요. 그렇게 많은 정보가 유출됐는데 노출이라는 표현을 썼다? 쿠팡 대표님, 왜 이런 표현을 썼어요?

저는 더 놀라운 게 쿠팡이 사고 후에 가입자들, 이용자들한테 보낸 문자 를 보면 개인정보 유출이 아니고 노출이라는 표현을 했어요. 나중에 과징금이나 이런 걸 생각해서 이런 표현을 했는지 모르겠지만 이건 완전 국민들을 기만하는 거예요. 그렇게 많은 정보가 유출됐는데 노출이라는 표현을 썼다? 쿠팡 대표님, 왜 이런 표현을 썼어요?

어떤 책임을 모면하고자 하는 그런 의미는 아니었고요. 지금 위원님 지적처럼 다른 의도는 없었습니다.

어떤 책임을 모면하고자 하는 그런 의미는 아니었고요. 지금 위원님 지적처럼 다른 의도는 없었습니다.

아니, 이런 큰 사고가 나고 가입자들한테 안내나 사과를 하려면 명확히 반성을 하고 해야지 아무 생각 없이 유출이 아니고 노출이라는 표현을 써요?

아니, 이런 큰 사고가 나고 가입자들한테 안내나 사과를 하려면 명확히 반성을 하고 해야지 아무 생각 없이 유출이 아니고 노출이라는 표현을 써요?

저희가 생각이 좀 부족했었던 것 같습니다.

저희가 생각이 좀 부족했었던 것 같습니다.

그리고 여기에 대해서 김범석 의장이 직접 사과할 의향은 없나요?

그리고 여기에 대해서 김범석 의장이 직접 사과할 의향은 없나요?

지금 한국법인에서 벌어진 일이고 제 책임하에 있기 때문에 제가 다시 한번 사과말씀을 드리고 싶습니다.

지금 한국법인에서 벌어진 일이고 제 책임하에 있기 때문에 제가 다시 한번 사과말씀을 드리고 싶습니다.

국민들은 김범석 의장이 직접 국민께 정중히 사과하기를 원하고 있어요. 그분은 항상 뒤에 숨어 있나요? 그러면 사과할 의향이 없는 겁니까, 김범석 의장은?

국민들은 김범석 의장이 직접 국민께 정중히 사과하기를 원하고 있어요. 그분은 항상 뒤에 숨어 있나요? 그러면 사과할 의향이 없는 겁니까, 김범석 의장은?

제가 지금 현재 이 사건에 대해서 전체 책임을 지고 있고 한 국법인의 대표로서 끝까지 책임을 지고 사태가 조기에 수습될 수 있도록 최선의 노력을 다하겠습니다.

제가 지금 현재 이 사건에 대해서 전체 책임을 지고 있고 한 국법인의 대표로서 끝까지 책임을 지고 사태가 조기에 수습될 수 있도록 최선의 노력을 다하겠습니다.

쿠팡이 급성장하면서 공룡 기업으로 성장했는데 사회적 책무는 상당히 소홀히 해 왔어요. 한번 볼게요. 쿠팡 물류·배송 노동자 8명이나 사망했어요. 그러니까 쿠팡은 죽음의 사업장이라고 불 려요, 지금. 그리고 알고리즘 조작, 검색순위 조작, 소상공인·입점업체 갑질 논란, 덕평 물류센터 대형 화재로 소방관 순직 그리고 급기야 퇴직금 미지급 외압 의혹으로 상설특 검의 수사 대상이 됐어요. 맞지요?

쿠팡이 급성장하면서 공룡 기업으로 성장했는데 사회적 책무는 상당히 소홀히 해 왔어요. 한번 볼게요. 쿠팡 물류·배송 노동자 8명이나 사망했어요. 그러니까 쿠팡은 죽음의 사업장이라고 불 려요, 지금. 그리고 알고리즘 조작, 검색순위 조작, 소상공인·입점업체 갑질 논란, 덕평 물류센터 대형 화재로 소방관 순직 그리고 급기야 퇴직금 미지급 외압 의혹으로 상설특 검의 수사 대상이 됐어요. 맞지요?

예, 맞습니다.

예, 맞습니다.

이게 매출액 40조 원이 넘는 기업의 경영이 이런 형태예요. 이걸 이해하 겠어요? 대한민국 국민들 뭘로 보고 이렇게 기업경영을 하고 있습니까? 왜 쿠팡에서만 계속 이런 일이 일어나지요? 기업 규모나 이런 것에 비해서 사회적 책 무 이런 거에는 관심이 전혀 없어 보여요, 쿠팡은. 뭐가 문제입니까? 제429회-과학기술정보방송통신제18차(2025년12월2일) 5

이게 매출액 40조 원이 넘는 기업의 경영이 이런 형태예요. 이걸 이해하 겠어요? 대한민국 국민들 뭘로 보고 이렇게 기업경영을 하고 있습니까? 왜 쿠팡에서만 계속 이런 일이 일어나지요? 기업 규모나 이런 것에 비해서 사회적 책 무 이런 거에는 관심이 전혀 없어 보여요, 쿠팡은. 뭐가 문제입니까? 제429회-과학기술정보방송통신제18차(2025년12월2일) 5

저희가 더 많이 노력을 하고 그다음에 이해관계자들과도 그 분들의 의견을 더 많이……

저희가 더 많이 노력을 하고 그다음에 이해관계자들과도 그 분들의 의견을 더 많이……

알겠습니다. 쿠팡은 그동안 계속 개인정보 유출사고가 났는데 솜방망이 처벌을 했어요. 그리고 SKT 해킹사고가 났는데 SKT 2300만 명 개인정보가 유출돼서 지금 1348억 원의 과징금 을 맞았어요. 그런데 쿠팡은 지금 3300만 개의 개인정보가 유출됐고 상당히 심각한 2차 피해가 우려 되고 있어요. 지금 개인정보보호법에 따르면 매출액의 3%까지 과징금을 물게 돼 있는데 쿠팡의 매출액이 지난해 41조, 그래서 쿠팡의 과징금은 1조 2000억 원이에요, 3%. 저는 쿠팡이 과징금 물고 기업이 잘못하면 망할 수도 있다는 걸 이번에 확실하게 보여 줘야 된다고 생각을 합니다. 1조 2000억 과징금 물어야겠지요, 법대로? 법대로 1조 2000억 물어야 되겠지요, 쿠팡에 서?

알겠습니다. 쿠팡은 그동안 계속 개인정보 유출사고가 났는데 솜방망이 처벌을 했어요. 그리고 SKT 해킹사고가 났는데 SKT 2300만 명 개인정보가 유출돼서 지금 1348억 원의 과징금 을 맞았어요. 그런데 쿠팡은 지금 3300만 개의 개인정보가 유출됐고 상당히 심각한 2차 피해가 우려 되고 있어요. 지금 개인정보보호법에 따르면 매출액의 3%까지 과징금을 물게 돼 있는데 쿠팡의 매출액이 지난해 41조, 그래서 쿠팡의 과징금은 1조 2000억 원이에요, 3%. 저는 쿠팡이 과징금 물고 기업이 잘못하면 망할 수도 있다는 걸 이번에 확실하게 보여 줘야 된다고 생각을 합니다. 1조 2000억 과징금 물어야겠지요, 법대로? 법대로 1조 2000억 물어야 되겠지요, 쿠팡에 서?

저희의 책임을 회피할 생각은 없습니다, 위원님.

저희의 책임을 회피할 생각은 없습니다, 위원님.

이상입니다.

이상입니다.

박정훈 위원님 질의하십시오.

박정훈 위원님 질의하십시오.

박정훈입니다. 박대준 대표님, 지금 약간 얼이 나가신 것 같은데 정신 똑바로 차리고 대답하세요. 이 거 국민들이 굉장히 관심을 갖고 지켜보고 있기 때문에 저희가 질문하는 것에 명확히 답 을 주세요. 현재 쿠팡 이용 고객이 몇 명입니까?

박정훈입니다. 박대준 대표님, 지금 약간 얼이 나가신 것 같은데 정신 똑바로 차리고 대답하세요. 이 거 국민들이 굉장히 관심을 갖고 지켜보고 있기 때문에 저희가 질문하는 것에 명확히 답 을 주세요. 현재 쿠팡 이용 고객이 몇 명입니까?

이용 고객보다는 저희가 계정 수로 관리를 하고 있습니다.

이용 고객보다는 저희가 계정 수로 관리를 하고 있습니다.

계정이 몇 개예요?

계정이 몇 개예요?

지금 전체 이용 계정 수는 6000만 개가 넘는 숫자 정도로 제 가 알고 있습니다.

지금 전체 이용 계정 수는 6000만 개가 넘는 숫자 정도로 제 가 알고 있습니다.

그러면 3370만 개면 애들 빼고 이용하는 사람들 명의가 다 나갔다―애 들은 이용을 잘 안 할 테니까―그 정도로 봐도 되지요? 쿠팡 이용하는 모든 사람 게 다 나갔다 이렇게 보면 되는 거지요?

그러면 3370만 개면 애들 빼고 이용하는 사람들 명의가 다 나갔다―애 들은 이용을 잘 안 할 테니까―그 정도로 봐도 되지요? 쿠팡 이용하는 모든 사람 게 다 나갔다 이렇게 보면 되는 거지요?

상당히 많은 분들이……

상당히 많은 분들이……

지금 중국인이 유출했다는데 조선족입니까, 아니면 중국 사람입니까?

지금 중국인이 유출했다는데 조선족입니까, 아니면 중국 사람입니까?

현재 수사가 진행 중이고 저희가……

현재 수사가 진행 중이고 저희가……

아니, 그 사람들이 이걸 범죄조직에 팔았는지 여부를 알기 위해서 여쭤 보는 거잖아요. 국민들이 궁금해해서 여쭤보는 거예요.

아니, 그 사람들이 이걸 범죄조직에 팔았는지 여부를 알기 위해서 여쭤 보는 거잖아요. 국민들이 궁금해해서 여쭤보는 거예요.

그 부분에 대해서는 지금 수사가 진행 중인 것으로 알고 있 고요, 위원님. 그다음에 2차 피해 예방을 위해서 지금……

그 부분에 대해서는 지금 수사가 진행 중인 것으로 알고 있 고요, 위원님. 그다음에 2차 피해 예방을 위해서 지금……

아니, 알았으니까요 그거는 열심히 하고 계시고요. 그리고 규정이 어떻게 됩니까? 나간 사람에 대해서 보안규정을 어떻게 하고 있어요? 나간 사람이 키를 그대로 쓸 수 있게 만들어 놔서 방치된 상태였기 때문에 이 정보가 유 출이 된 거잖아요. 규정이 어떻게 돼 있습니까? 6 제429회-과학기술정보방송통신제18차(2025년12월2일)

아니, 알았으니까요 그거는 열심히 하고 계시고요. 그리고 규정이 어떻게 됩니까? 나간 사람에 대해서 보안규정을 어떻게 하고 있어요? 나간 사람이 키를 그대로 쓸 수 있게 만들어 놔서 방치된 상태였기 때문에 이 정보가 유 출이 된 거잖아요. 규정이 어떻게 돼 있습니까? 6 제429회-과학기술정보방송통신제18차(2025년12월2일)

퇴직 직원들은 회사 시스템으로 접근할 수는 없고요.

퇴직 직원들은 회사 시스템으로 접근할 수는 없고요.

그런데 어떻게 접근이 된 거예요?

그런데 어떻게 접근이 된 거예요?

그런 부분들이 수사 과정에서 정확히 밝혀져야 된다고 생각 을 하고 있습니다.

그런 부분들이 수사 과정에서 정확히 밝혀져야 된다고 생각 을 하고 있습니다.

아니, 그러니까 회사는 조치를 다 취했는데 이 사람이 특별한 기술을 써 서 빼간 건지 아니면 회사의 규정이나 관리체계가 허술해서 빼간 건지 이런 게 중요한 거잖아요.

아니, 그러니까 회사는 조치를 다 취했는데 이 사람이 특별한 기술을 써 서 빼간 건지 아니면 회사의 규정이나 관리체계가 허술해서 빼간 건지 이런 게 중요한 거잖아요.

위원님 말씀에 동의합니다만 제가 지금 이 자리에서 어떤 방 식으로 됐는지를 정확하게 다 알지는 못하고요. 지금 여러 방면으로 경찰이나 정부기관 이 조사를 같이 하고 있습니다.

위원님 말씀에 동의합니다만 제가 지금 이 자리에서 어떤 방 식으로 됐는지를 정확하게 다 알지는 못하고요. 지금 여러 방면으로 경찰이나 정부기관 이 조사를 같이 하고 있습니다.

그러니까 이게 범죄조직으로 넘어갔다고 볼 만한 근거가 지금 현재 있 습니까? 피해 사례 보고된 것 있어요?

그러니까 이게 범죄조직으로 넘어갔다고 볼 만한 근거가 지금 현재 있 습니까? 피해 사례 보고된 것 있어요?

아직까지 2차 피해는 없는 것으로 확인되고 있습니다.

아직까지 2차 피해는 없는 것으로 확인되고 있습니다.

아직까지 2차 피해 없어요?

아직까지 2차 피해 없어요?

예.

예.

확실히 없어요?

확실히 없어요?

지금 현재 저희가 알 수 있는 모니터링이나 정보로서는 아직 없는 것으로……

지금 현재 저희가 알 수 있는 모니터링이나 정보로서는 아직 없는 것으로……

사진 하나 띄워 주세요. (영상자료를 보며) 저 사진 같이 보세요. 저게 저희 방의 비서관 휴대전화로 10월 24일 날 온 거예요. 쿠 팡 대표전화로 저게 왔어요. 인증번호를 계속 요구합니다. 그렇지요? 오후 3시 2분에 처 음 왔고 오후 3시 10분에 또 왔어요. 저 인증번호 왜 이렇게 쿠팡에서 보냈다고 보세요? 아이디, 비밀번호 확인하려고 그런 거지요? 그래서 로그인 하려고 그런 것 아닙니까? 그 래서 만약에 저 번호로 우리 비서관한테 전화가 와서 인증번호 알려 달라고 요구를 해서 만약에 알려 줬으면 로그인이 가능하잖아요. 그다음부터는 결제, 배송 다 할 수 있지요? 저것 파악된 내용이에요? 저런 피해 사례 보고된 것 없어요?

사진 하나 띄워 주세요. (영상자료를 보며) 저 사진 같이 보세요. 저게 저희 방의 비서관 휴대전화로 10월 24일 날 온 거예요. 쿠 팡 대표전화로 저게 왔어요. 인증번호를 계속 요구합니다. 그렇지요? 오후 3시 2분에 처 음 왔고 오후 3시 10분에 또 왔어요. 저 인증번호 왜 이렇게 쿠팡에서 보냈다고 보세요? 아이디, 비밀번호 확인하려고 그런 거지요? 그래서 로그인 하려고 그런 것 아닙니까? 그 래서 만약에 저 번호로 우리 비서관한테 전화가 와서 인증번호 알려 달라고 요구를 해서 만약에 알려 줬으면 로그인이 가능하잖아요. 그다음부터는 결제, 배송 다 할 수 있지요? 저것 파악된 내용이에요? 저런 피해 사례 보고된 것 없어요?

현재 이런 방식은 저희한테, 이번 사건과 직접 관련이 있는지 는 제가 현재로서는 알 수 없지만 통상……

현재 이런 방식은 저희한테, 이번 사건과 직접 관련이 있는지 는 제가 현재로서는 알 수 없지만 통상……

저때 저희 비서관이 쿠팡을 쓰지 않을 때예요. 그리고 비밀번호를 바꾸 거나 아이디를 확인하거나 하는 절차가 전혀 없었는데 저런 문자가 온 거니까요. 다시 한번 확인해 보시고요.

저때 저희 비서관이 쿠팡을 쓰지 않을 때예요. 그리고 비밀번호를 바꾸 거나 아이디를 확인하거나 하는 절차가 전혀 없었는데 저런 문자가 온 거니까요. 다시 한번 확인해 보시고요.

예, 알겠습니다.

예, 알겠습니다.

그리고 저희가 지금 자료요구한 것, 보안 관련 규정들 요구한 것들 다 자료제출을 안 해요. 국민들이 걱정하는 부분을 덜어 드리기 위해서라도 자료를 낼 수 있는 건 내서 그런 걱정들을 덜어 드려야 되는 것 아니에요?

그리고 저희가 지금 자료요구한 것, 보안 관련 규정들 요구한 것들 다 자료제출을 안 해요. 국민들이 걱정하는 부분을 덜어 드리기 위해서라도 자료를 낼 수 있는 건 내서 그런 걱정들을 덜어 드려야 되는 것 아니에요?

위원님, 맞습니다. 그렇게 하겠습니다.

위원님, 맞습니다. 그렇게 하겠습니다.

그리고 이게 어떤 범죄에 이용될 수 있는지에 대해서 국민들이 가장 걱 정하는 건데 일단 현관문 뚫고 들어올 수 있잖아요. 그리고 누가 어떤 식으로 사는지 그 제429회-과학기술정보방송통신제18차(2025년12월2일) 7 사는 내역들을 보면 어떤 사람들이 거주하는지까지 정보가 다 들어 있어요. 그러면 얼마 든지 거기에서 범죄를 할 수 있고. 그리고 이름과 전화번호, 주소가 딱 나온 이런 종합세트 같은 정보가 나간 경우는 처 음인 것 같아요. 그렇지요? 그래서 예를 들어 과거에 이한영 씨 피습사건 같은 경우에도 보면 그 사람이 거기 주소에 살고 있다는 걸 알기 때문에 거기에서 기다리다가 범죄를 저지른 거잖아요. 이런 범죄에 악용될 수 있다고 생각하는데 대표님은 어떻게 보세요?

그리고 이게 어떤 범죄에 이용될 수 있는지에 대해서 국민들이 가장 걱 정하는 건데 일단 현관문 뚫고 들어올 수 있잖아요. 그리고 누가 어떤 식으로 사는지 그 제429회-과학기술정보방송통신제18차(2025년12월2일) 7 사는 내역들을 보면 어떤 사람들이 거주하는지까지 정보가 다 들어 있어요. 그러면 얼마 든지 거기에서 범죄를 할 수 있고. 그리고 이름과 전화번호, 주소가 딱 나온 이런 종합세트 같은 정보가 나간 경우는 처 음인 것 같아요. 그렇지요? 그래서 예를 들어 과거에 이한영 씨 피습사건 같은 경우에도 보면 그 사람이 거기 주소에 살고 있다는 걸 알기 때문에 거기에서 기다리다가 범죄를 저지른 거잖아요. 이런 범죄에 악용될 수 있다고 생각하는데 대표님은 어떻게 보세요?

여러 우려점에 대해서 죄송하다는 말씀 드리고 그런 피해가 없도록 최선의 노력을 다하도록 하겠습니다.

여러 우려점에 대해서 죄송하다는 말씀 드리고 그런 피해가 없도록 최선의 노력을 다하도록 하겠습니다.

개인통관번호도 유출이 돼서 이게 밀수나 이런 데도 이용될 수 있고 보 이스피싱 이런 것들은 기본이에요, 기본. 이 정보만 있으면 별별 범죄가 다 가능합니다. 엄청난 문제를 일으킨 거예요. 그리고 이정렬 부위원장님, 개인정보보호법 위반 맞지요?

개인통관번호도 유출이 돼서 이게 밀수나 이런 데도 이용될 수 있고 보 이스피싱 이런 것들은 기본이에요, 기본. 이 정보만 있으면 별별 범죄가 다 가능합니다. 엄청난 문제를 일으킨 거예요. 그리고 이정렬 부위원장님, 개인정보보호법 위반 맞지요?

예, 저희 위원회도 아주 심각하게 생각하고 있 고……

예, 저희 위원회도 아주 심각하게 생각하고 있 고……

그러면 최대 매출액의 3%까지 과징금 때릴 수 있지요?

그러면 최대 매출액의 3%까지 과징금 때릴 수 있지요?

법에 매출액의 3%까지로 개정해서 한 것으로 알 고 있습니다.

법에 매출액의 3%까지로 개정해서 한 것으로 알 고 있습니다.

그러면 1조 3000억 정도 되는 거지요?

그러면 1조 3000억 정도 되는 거지요?

그 부분은 저희들이 조사 중입니다.

그 부분은 저희들이 조사 중입니다.

아니, 44조 매출이고 작년이 그렇고 그러면 계산하면 금방 나오는 얘기 잖아요.

아니, 44조 매출이고 작년이 그렇고 그러면 계산하면 금방 나오는 얘기 잖아요.

엄정 조사하겠습니다.

엄정 조사하겠습니다.

엄정하게 대응하세요.

엄정하게 대응하세요.

예, 하고 있습니다.

예, 하고 있습니다.

그리고 차관님, 물론 이거 공정위에서 할 일인데 영업정지 가능 여부는 혹시 체크를 해 보셨어요? 이게 전자상거래법 32조2항을 보면 통신판매로 재산상의 손 해가 났을 경우에 영업정지를 할 수 있어요. 이건 영업정지 정도가 고려되는 사항이라고 저는 보는데 어떻게 보십니까?

그리고 차관님, 물론 이거 공정위에서 할 일인데 영업정지 가능 여부는 혹시 체크를 해 보셨어요? 이게 전자상거래법 32조2항을 보면 통신판매로 재산상의 손 해가 났을 경우에 영업정지를 할 수 있어요. 이건 영업정지 정도가 고려되는 사항이라고 저는 보는데 어떻게 보십니까?

그 부분까지 저희가 판단한 건 아닙니다만 관계 기관하고 한번 협의해 보겠습니다.

그 부분까지 저희가 판단한 건 아닙니다만 관계 기관하고 한번 협의해 보겠습니다.

적극적으로 협의하세요. 그리고 박 대표님, 김범석 의장님 지금 어디 있습니까?

적극적으로 협의하세요. 그리고 박 대표님, 김범석 의장님 지금 어디 있습니까?

제가 지금 현재 정확한 위치는 알고 있지 못합니다.

제가 지금 현재 정확한 위치는 알고 있지 못합니다.

지금 작은 것까지 본사에 다 보고하지요? 본사에서 주로 다 결정하지 요?

지금 작은 것까지 본사에 다 보고하지요? 본사에서 주로 다 결정하지 요?

아니요, 한국법인의 결정은 대부분 제가 최종적으로 승인을 하고 있습니다.

아니요, 한국법인의 결정은 대부분 제가 최종적으로 승인을 하고 있습니다.

미국 이사회하고 협의하는 것 별로 없으세요? 8 제429회-과학기술정보방송통신제18차(2025년12월2일)

미국 이사회하고 협의하는 것 별로 없으세요? 8 제429회-과학기술정보방송통신제18차(2025년12월2일)

당연히 그 규정에 따라서……

당연히 그 규정에 따라서……

중요한 결정들은 미국 이사회에서 많이 하잖아요.

중요한 결정들은 미국 이사회에서 많이 하잖아요.

이사회에 보고해야 될 사항들에 대해서는 당연히 보고를 하 고 있습니다.

이사회에 보고해야 될 사항들에 대해서는 당연히 보고를 하 고 있습니다.

그러면 이 부분에 대해서도 미국…… 이것 미국 회사잖아요. 그렇지요?

그러면 이 부분에 대해서도 미국…… 이것 미국 회사잖아요. 그렇지요?

미국 이사회도 지금 현재 상황을 보고하고 있습니다.

미국 이사회도 지금 현재 상황을 보고하고 있습니다.

그러니까 김범석 의장이 이 문제에 대해서 책임감을 갖고 제대로 대응 을 해서…… 그런 조치가 안 되잖아요? 쿠팡 더 이상 영업 못 해요, 한국에서. 정신 차리 세요.

그러니까 김범석 의장이 이 문제에 대해서 책임감을 갖고 제대로 대응 을 해서…… 그런 조치가 안 되잖아요? 쿠팡 더 이상 영업 못 해요, 한국에서. 정신 차리 세요.

예, 그렇게 하도록 하겠습니다.

예, 그렇게 하도록 하겠습니다.

박대준 대표님, 조금 아까 자료 주시겠다고 하셨지요?

박대준 대표님, 조금 아까 자료 주시겠다고 하셨지요?

예, 맞습니다.

예, 맞습니다.

그런데 자료를 안 주고 있거든요, 쿠팡에서. 그래서 구체적으로 요구하겠습니다. 지난 6월부터 가장 최근까지 보안관제 보고서 주십시오. 그리고 시스템 취약점 점검 결과 보고서 및 개인정보 접속기록 점검 결과 주십시오. 그리고 2025년 한 해 동안 침해 사고·해킹 방어 대응 훈련 결과 보고서 주십시오.

그런데 자료를 안 주고 있거든요, 쿠팡에서. 그래서 구체적으로 요구하겠습니다. 지난 6월부터 가장 최근까지 보안관제 보고서 주십시오. 그리고 시스템 취약점 점검 결과 보고서 및 개인정보 접속기록 점검 결과 주십시오. 그리고 2025년 한 해 동안 침해 사고·해킹 방어 대응 훈련 결과 보고서 주십시오.

예.

예.

아까 자료 주신다고 했는데 이 자료 다 요구하셨을 거예요, 위원님들 이. 그런데 ‘회사의 영업비밀에 해당하여 제출 못 하겠다’예요, 이 세 가지에 대해서 다. 이게 무슨 영업비밀입니까? 자료 주세요. 빨리 주세요.

아까 자료 주신다고 했는데 이 자료 다 요구하셨을 거예요, 위원님들 이. 그런데 ‘회사의 영업비밀에 해당하여 제출 못 하겠다’예요, 이 세 가지에 대해서 다. 이게 무슨 영업비밀입니까? 자료 주세요. 빨리 주세요.

위원장님, 잠깐만 말씀드려도 되겠습니까? 자료는 어제 사실 여러 위원님들이 당연히 궁금하신 점이 많고 그래서 한꺼번에 너무 많은 자료 요청이 들어오다 보니까 늦게까지 한다고 했지만 미처 저희가 제출하지 못한 자료가 있는 것 같습니다. 그래서 지금 약간 어떤 의도가 있는 게 아니고 물리적으로 약 간 시간이 좀 걸리는 겁니다. 이 부분 양해해 주시기를 부탁드리겠습니다.

위원장님, 잠깐만 말씀드려도 되겠습니까? 자료는 어제 사실 여러 위원님들이 당연히 궁금하신 점이 많고 그래서 한꺼번에 너무 많은 자료 요청이 들어오다 보니까 늦게까지 한다고 했지만 미처 저희가 제출하지 못한 자료가 있는 것 같습니다. 그래서 지금 약간 어떤 의도가 있는 게 아니고 물리적으로 약 간 시간이 좀 걸리는 겁니다. 이 부분 양해해 주시기를 부탁드리겠습니다.

아니, 양해 못 하지요. 여기 영업비밀이라서 못 준다고 왔다니까요. 제 가 말한 세 가지는 영업비밀이라 못 준대요, 세 가지 다. 이게 뭐가 영업비밀입니까? 주세요.

아니, 양해 못 하지요. 여기 영업비밀이라서 못 준다고 왔다니까요. 제 가 말한 세 가지는 영업비밀이라 못 준대요, 세 가지 다. 이게 뭐가 영업비밀입니까? 주세요.

예, 지금 말씀하신 부분 제가 바로 확인하겠습니다.

예, 지금 말씀하신 부분 제가 바로 확인하겠습니다.

저 의사진행발언하겠습니다.

저 의사진행발언하겠습니다.

예, 2분 드리겠습니다.

예, 2분 드리겠습니다.

어제 쿠팡 국회담당관하고 연락이 두절이 됐다고 하는데요. 무슨 연락을, 자료를 준비했는데 미처 제출을 못 했다고 하는 겁니까? 지금 대관이 몇 명인데, 지금 쿠팡 대관이 언론보도만 보더라도 사오십 명가량 됩니다. 회장이나 사장 출석, 증인 출석 이 될 때는 득달같이 국회로 달려와서 출석 못 하게 막는 역할을 대관이 했는데. 자료 요구하기 위해서 연락을 취했는데 연락이 두절됐는데 자료 요구는…… 누구한테 뭐라도 제429회-과학기술정보방송통신제18차(2025년12월2일) 9 제출된 게 있는지 확인해 주시고요. 저 얘기가 국민들이 분노하고 있는 것에 비해서 쿠팡의 대응이 시간 때우기에 급급한 것 아니냐라고 지적하지 않을 수 없습니다. 그래서 뭘 줬는지 이런 부분에 대해서 다시 한번 확인해 주시기 바랍니다. 연락이 두절돼 가지고 아무것도 요청할 수 없었다는 게 현재 상황입니다.

어제 쿠팡 국회담당관하고 연락이 두절이 됐다고 하는데요. 무슨 연락을, 자료를 준비했는데 미처 제출을 못 했다고 하는 겁니까? 지금 대관이 몇 명인데, 지금 쿠팡 대관이 언론보도만 보더라도 사오십 명가량 됩니다. 회장이나 사장 출석, 증인 출석 이 될 때는 득달같이 국회로 달려와서 출석 못 하게 막는 역할을 대관이 했는데. 자료 요구하기 위해서 연락을 취했는데 연락이 두절됐는데 자료 요구는…… 누구한테 뭐라도 제429회-과학기술정보방송통신제18차(2025년12월2일) 9 제출된 게 있는지 확인해 주시고요. 저 얘기가 국민들이 분노하고 있는 것에 비해서 쿠팡의 대응이 시간 때우기에 급급한 것 아니냐라고 지적하지 않을 수 없습니다. 그래서 뭘 줬는지 이런 부분에 대해서 다시 한번 확인해 주시기 바랍니다. 연락이 두절돼 가지고 아무것도 요청할 수 없었다는 게 현재 상황입니다.

위원장실은 각 의원실에 어떤 자료를 요구했고 받았는지 취합해 주세 요. 최형두 위원님.

위원장실은 각 의원실에 어떤 자료를 요구했고 받았는지 취합해 주세 요. 최형두 위원님.

저희 당에서도 많은 자료를 요청했는데 전혀 받지 못하고 있습니다. 이 렇게 쿠팡이 벌써부터 소극적으로 하고 정부도 이 문제에 대해서 사태 파악이 늦다는 것 에 대해서 국민들이 매우 불안해하고 있습니다. 일요일 아침에 저희 당 위원들 긴급성명을 통해서 밝혔지만 이건 마치 일요일 아침에 공습경보를 받은 거나 마찬가지입니다. 모든 국민들의 공동현관이 다 털렸습니다. 모든 가족관계가 다 털렸습니다. 어디까지 어떻게 방어해야 되는지 알기 위해서라도 신속하게 모든 정보가 공개되어야 됩니다. 첫 번째, 쿠팡에게 요청한 자료 중 ISMS-P의 정보보호관리체계 관련 인증심사에서 쿠팡이 지적받은 사항에 대해 자료를 달라고 했는데 기업의 영업비밀이라고 거부하고 있 습니다. 정부가 이게 영업비밀에 해당하는지 판단해 주십시오. 쿠팡이 제출한 자료를 달라는 것이 아니었습니다. ISMS-P 심사를 하면서 지적된 사 항을 달라는 것인데 이게 무슨 영업기밀입니까? 이렇게 국회가 우습게 보입니까? 법에 따라 영업기밀이라고 해도 실제 전 국민의 정보가 빠져나간 상황에서 KISA는 더 적극적으로 오픈하고 잘못된 것을 바로잡기 위해서 노력해야 됩니다. KISA도 이 분 야에 대해서 신속한 답변을 요청합니다. 인증심사 취득 정보가 해킹보다 더 악용될 소지 가 남아 있는 것인지 바로 제출해 주시기 바랍니다. 그리고 저희 당에서 또 요청한 게 있습니다. 내부자 권한 관리에서, 이해할 수 없습니다. 중국인이…… 박정훈 위원이 이야기하셨지 만, 정확한 국적을 확인해 봐야겠습니다만 퇴사한 뒤로도 이렇게 고객정보에 접근했었다 는 것 자체를 이해할 수가 없습니다. 그래서 이게 핵심 원인으로 지적되고 있는데 최근 3년간 퇴사자 계정, 접근 권한(API key와 토큰) 회수 소요시간과 이런 것들을 파악해 주십시오. 1분만 더…… 다 끝났습니까?

저희 당에서도 많은 자료를 요청했는데 전혀 받지 못하고 있습니다. 이 렇게 쿠팡이 벌써부터 소극적으로 하고 정부도 이 문제에 대해서 사태 파악이 늦다는 것 에 대해서 국민들이 매우 불안해하고 있습니다. 일요일 아침에 저희 당 위원들 긴급성명을 통해서 밝혔지만 이건 마치 일요일 아침에 공습경보를 받은 거나 마찬가지입니다. 모든 국민들의 공동현관이 다 털렸습니다. 모든 가족관계가 다 털렸습니다. 어디까지 어떻게 방어해야 되는지 알기 위해서라도 신속하게 모든 정보가 공개되어야 됩니다. 첫 번째, 쿠팡에게 요청한 자료 중 ISMS-P의 정보보호관리체계 관련 인증심사에서 쿠팡이 지적받은 사항에 대해 자료를 달라고 했는데 기업의 영업비밀이라고 거부하고 있 습니다. 정부가 이게 영업비밀에 해당하는지 판단해 주십시오. 쿠팡이 제출한 자료를 달라는 것이 아니었습니다. ISMS-P 심사를 하면서 지적된 사 항을 달라는 것인데 이게 무슨 영업기밀입니까? 이렇게 국회가 우습게 보입니까? 법에 따라 영업기밀이라고 해도 실제 전 국민의 정보가 빠져나간 상황에서 KISA는 더 적극적으로 오픈하고 잘못된 것을 바로잡기 위해서 노력해야 됩니다. KISA도 이 분 야에 대해서 신속한 답변을 요청합니다. 인증심사 취득 정보가 해킹보다 더 악용될 소지 가 남아 있는 것인지 바로 제출해 주시기 바랍니다. 그리고 저희 당에서 또 요청한 게 있습니다. 내부자 권한 관리에서, 이해할 수 없습니다. 중국인이…… 박정훈 위원이 이야기하셨지 만, 정확한 국적을 확인해 봐야겠습니다만 퇴사한 뒤로도 이렇게 고객정보에 접근했었다 는 것 자체를 이해할 수가 없습니다. 그래서 이게 핵심 원인으로 지적되고 있는데 최근 3년간 퇴사자 계정, 접근 권한(API key와 토큰) 회수 소요시간과 이런 것들을 파악해 주십시오. 1분만 더…… 다 끝났습니까?

그냥 하세요. 다른 위원님들도 최형두 위원님 발언 끝나면 자료제출 요구하실 위원님들은 요구하십 시오.

그냥 하세요. 다른 위원님들도 최형두 위원님 발언 끝나면 자료제출 요구하실 위원님들은 요구하십 시오.

그리고 최근 1년간 개발 직군별 고객개인정보, 즉 PII 접근 권한 부여 현황과 등급표, 사내 데이터 접근 권한 신청과 승인 프로세스 내역서, 임직원 PC와 계정 보안 모니터링, 즉 DLP 그리고 UEBA 탐지 및 조치 실적. 그리고 외국인 개발자와 원격접속 리스크 검증 문제입니다. IT·개발 직군 내의 국적별 10 제429회-과학기술정보방송통신제18차(2025년12월2일) 인원 현황과 근무지 구분, 국내냐 해외냐 구분해 주십시오. 해외 접속 및 외국인 개발자 에 대한 별도 보안 통제 지침(가이드라인)이 있으면 주십시오. 해외 원격 접속 시 VDI, 즉 가상 데스크톱 적용 여부 및 화면 캡처 방지 대책 어떤 게 있었는지 보여 주십시오. 그리고 국가정보원과 KISA 등 유관기관과 협의한 국가 배후 해킹·유출 대응 매뉴얼, 이것 과기부가 제출해 주십시오. 그리고 개발 환경 분리와 데이터 가명화 실태, 즉 개발·테스트 서버 내 실제 고객 데 이터 사용 여부와 가명화(masking) 정책 구체적으로 알려 주십시오. 그리고 최근 3년간 개인정보 접속기록 관리시스템, 즉 로그 보관과 점검 내역 그리고 보안 투자 및 인센티브 관련해서 전체 IT 예산 대비 정보보호 투자 비중과 상세 내역― 최근 3년치입니다―그리고 사내에 보안 취약점 신고포상제, 즉 버그바운티를 운영하고 있는지, 포상 실적도 알려 주십시오. 이상의 내용은 이미 서면으로 다 쿠팡과 관계기관에 요청을 했습니다.

그리고 최근 1년간 개발 직군별 고객개인정보, 즉 PII 접근 권한 부여 현황과 등급표, 사내 데이터 접근 권한 신청과 승인 프로세스 내역서, 임직원 PC와 계정 보안 모니터링, 즉 DLP 그리고 UEBA 탐지 및 조치 실적. 그리고 외국인 개발자와 원격접속 리스크 검증 문제입니다. IT·개발 직군 내의 국적별 10 제429회-과학기술정보방송통신제18차(2025년12월2일) 인원 현황과 근무지 구분, 국내냐 해외냐 구분해 주십시오. 해외 접속 및 외국인 개발자 에 대한 별도 보안 통제 지침(가이드라인)이 있으면 주십시오. 해외 원격 접속 시 VDI, 즉 가상 데스크톱 적용 여부 및 화면 캡처 방지 대책 어떤 게 있었는지 보여 주십시오. 그리고 국가정보원과 KISA 등 유관기관과 협의한 국가 배후 해킹·유출 대응 매뉴얼, 이것 과기부가 제출해 주십시오. 그리고 개발 환경 분리와 데이터 가명화 실태, 즉 개발·테스트 서버 내 실제 고객 데 이터 사용 여부와 가명화(masking) 정책 구체적으로 알려 주십시오. 그리고 최근 3년간 개인정보 접속기록 관리시스템, 즉 로그 보관과 점검 내역 그리고 보안 투자 및 인센티브 관련해서 전체 IT 예산 대비 정보보호 투자 비중과 상세 내역― 최근 3년치입니다―그리고 사내에 보안 취약점 신고포상제, 즉 버그바운티를 운영하고 있는지, 포상 실적도 알려 주십시오. 이상의 내용은 이미 서면으로 다 쿠팡과 관계기관에 요청을 했습니다.

자료제출 요구……

자료제출 요구……

예, 노종면 위원님.

예, 노종면 위원님.

쿠팡은 11월 30일 자 설명자료를 내면서 11월 26일 일요일 오후 22시 12분에 한 고객으로부터 VOC 신고를 받았다고 했습니다, 대표님. 그리고 개인정보 노출 관련 의심 이메일을 받았다는 음성신고를 접수한 것으로 돼 있 는데 음성신고 접수받은 파일 그리고 그것을 풀어 쓴 녹취록, 그것 다 풀어서 관리를 할 거잖아요. 그것을 저희 의원실에 제출해 주시고. 그리고 즉시 대응팀을 꾸려서 대응 가이드라인에 따라서 대응을 했다는데 어떤 긴급검 증 대응을 했는지 그 긴급검증을 입증할 수 있는 근거들, 어떤 조처를 했는지 다 서류로 근거를 남겼을 것 아니에요. 그와 관련된 근거 자료들을 저희 의원실에 제출해 주시기 바랍니다.

쿠팡은 11월 30일 자 설명자료를 내면서 11월 26일 일요일 오후 22시 12분에 한 고객으로부터 VOC 신고를 받았다고 했습니다, 대표님. 그리고 개인정보 노출 관련 의심 이메일을 받았다는 음성신고를 접수한 것으로 돼 있 는데 음성신고 접수받은 파일 그리고 그것을 풀어 쓴 녹취록, 그것 다 풀어서 관리를 할 거잖아요. 그것을 저희 의원실에 제출해 주시고. 그리고 즉시 대응팀을 꾸려서 대응 가이드라인에 따라서 대응을 했다는데 어떤 긴급검 증 대응을 했는지 그 긴급검증을 입증할 수 있는 근거들, 어떤 조처를 했는지 다 서류로 근거를 남겼을 것 아니에요. 그와 관련된 근거 자료들을 저희 의원실에 제출해 주시기 바랍니다.

더 이상 자료제출 요구하실 위원님 안 계시지요? 조인철 위원님 질의하십시오.

더 이상 자료제출 요구하실 위원님 안 계시지요? 조인철 위원님 질의하십시오.

광주 서구갑 조인철입니다. 최근 쿠팡 사태로 3370만 명의 이름, 이메일, 주소록 등이 유출이 됐습니다. 국민 4명 중 3명이 사이버공간에서 사실상 완전히 발가벗겨졌다고 보면 될 것 같습니다. 지금도 여전히 2차 피해를 우려해서 국민들은 잠을 못 자고 있습니다. 기존에 다양하게 유출됐던, 여러 기관에서 유출됐던 정보들의 공통점이 전화번호라는 겁니다. 전화번호로 소팅을 하면 상당수 2차 피해가 더 강하게 나올 수도 있다라는 그런 우려 때문에 국민들은 지금 한숨도 못 자고 있는 상황입니다. 그런데 쿠팡이 지금까지 대응하는 것 보면 너무 허술해 보입니다. 최근에 발표한 것 보면 중국인 퇴직 직원이 했다, 중국인이라는 것을 강조해서 내뱉는가 하면 유출이 아니 고 노출이라고 하는…… 핵심도 아닌 것들을 거의 논점 흐리기 전략으로 지금 대응하고 있는, 굉장히 안일한 대처들이 저희가 보면 더 큰 사고로 이어질 가능성이 있다라는 생 각이 많이 듭니다. 제가 보면 개인정보를 이렇게 대량으로 보유하고 있는 플랫폼 기업들은 사실상 안보 자산이자 사회적 인프라라고 봐야 될 것 같고 그렇게 대응을 해야 된다고 봅니다. 제429회-과학기술정보방송통신제18차(2025년12월2일) 11 쿠팡 대표님, 어떻게 생각하시나요?

광주 서구갑 조인철입니다. 최근 쿠팡 사태로 3370만 명의 이름, 이메일, 주소록 등이 유출이 됐습니다. 국민 4명 중 3명이 사이버공간에서 사실상 완전히 발가벗겨졌다고 보면 될 것 같습니다. 지금도 여전히 2차 피해를 우려해서 국민들은 잠을 못 자고 있습니다. 기존에 다양하게 유출됐던, 여러 기관에서 유출됐던 정보들의 공통점이 전화번호라는 겁니다. 전화번호로 소팅을 하면 상당수 2차 피해가 더 강하게 나올 수도 있다라는 그런 우려 때문에 국민들은 지금 한숨도 못 자고 있는 상황입니다. 그런데 쿠팡이 지금까지 대응하는 것 보면 너무 허술해 보입니다. 최근에 발표한 것 보면 중국인 퇴직 직원이 했다, 중국인이라는 것을 강조해서 내뱉는가 하면 유출이 아니 고 노출이라고 하는…… 핵심도 아닌 것들을 거의 논점 흐리기 전략으로 지금 대응하고 있는, 굉장히 안일한 대처들이 저희가 보면 더 큰 사고로 이어질 가능성이 있다라는 생 각이 많이 듭니다. 제가 보면 개인정보를 이렇게 대량으로 보유하고 있는 플랫폼 기업들은 사실상 안보 자산이자 사회적 인프라라고 봐야 될 것 같고 그렇게 대응을 해야 된다고 봅니다. 제429회-과학기술정보방송통신제18차(2025년12월2일) 11 쿠팡 대표님, 어떻게 생각하시나요?

예, 그런 마음으로 더 열심히 노력하고 더 많이 투자하고 더 많이 고민하고 개선될 수 있도록 노력하겠습니다.

예, 그런 마음으로 더 열심히 노력하고 더 많이 투자하고 더 많이 고민하고 개선될 수 있도록 노력하겠습니다.

차관님, 어떻습니까?

차관님, 어떻습니까?

위원님 말씀하신 것에 동의합니다.

위원님 말씀하신 것에 동의합니다.

지금 그럼에도 불구하고 해 온 것 보면 ISMS를 계속해서 인증을 받아 왔잖아요. 그랬지요?

지금 그럼에도 불구하고 해 온 것 보면 ISMS를 계속해서 인증을 받아 왔잖아요. 그랬지요?

예, 맞습니다.

예, 맞습니다.

인증을 받아 왔음에도 불구하고 계속해서 터졌습니다. 계속해서 유출됐 고. 이번에 인증키 관리 이 부분이 어떻게 ISMS 체크리스트에 반영이 되어 있는지는 제 가 확인을 못 했는데 차관님, 어떻게 돼 있습니까?

인증을 받아 왔음에도 불구하고 계속해서 터졌습니다. 계속해서 유출됐 고. 이번에 인증키 관리 이 부분이 어떻게 ISMS 체크리스트에 반영이 되어 있는지는 제 가 확인을 못 했는데 차관님, 어떻게 돼 있습니까?

체크리스트 내용은 저도 확인을 해서, 아까 최형 두 간사님 말씀하신 사항과 관련해서도 자료를 저희가 제출해 드리겠습니다. 다만 ISMS 80개 인증 항목 중에 퇴직자나 직원들과 관련된 여러 가지 사항들 이런 것들은 좀 있는데 그런 부분들을 확인해 보겠습니다.

체크리스트 내용은 저도 확인을 해서, 아까 최형 두 간사님 말씀하신 사항과 관련해서도 자료를 저희가 제출해 드리겠습니다. 다만 ISMS 80개 인증 항목 중에 퇴직자나 직원들과 관련된 여러 가지 사항들 이런 것들은 좀 있는데 그런 부분들을 확인해 보겠습니다.

그런 것들이 지금 제대로 안 되어 있다라는 말씀을 다시 드리고요. 지난 현안 질의에서도 말씀드렸습니다마는, 국감 때도 말씀드렸고. 이런 부분에 대해서 ISMS 제도 자체에 대한 종합적인 점검을 통해서 대책이 마련돼야 된다고 생각 듭니다. 김승주 교수님, ISMS 체크리스트에 지금 인증키 관리나 퇴직 공무원 관리 이런 것들 이 들어 있나요?

그런 것들이 지금 제대로 안 되어 있다라는 말씀을 다시 드리고요. 지난 현안 질의에서도 말씀드렸습니다마는, 국감 때도 말씀드렸고. 이런 부분에 대해서 ISMS 제도 자체에 대한 종합적인 점검을 통해서 대책이 마련돼야 된다고 생각 듭니다. 김승주 교수님, ISMS 체크리스트에 지금 인증키 관리나 퇴직 공무원 관리 이런 것들 이 들어 있나요?

지금 ISMS-P 인증의 2.2.5항을 보면 퇴직 및 직무변경 관리 조항이 있습니다. 그것에 따르면 조직 내 인력이 퇴직할 경우에는 접근 권한을 회수하도록 돼 있습니다.

지금 ISMS-P 인증의 2.2.5항을 보면 퇴직 및 직무변경 관리 조항이 있습니다. 그것에 따르면 조직 내 인력이 퇴직할 경우에는 접근 권한을 회수하도록 돼 있습니다.

그렇게 하셨나요?

그렇게 하셨나요?

예, 그렇게 지금 운영을 하고 있습니다. 지금 접근 방식에 대 해서 조금 더, 이번 침해했던 방식에 대해서는 현재 경찰뿐 아니라 정부기관이 수사 중 이어서 제가 다 자세히 설명 못 드리는 점 양해를 부탁드리겠습니다.

예, 그렇게 지금 운영을 하고 있습니다. 지금 접근 방식에 대 해서 조금 더, 이번 침해했던 방식에 대해서는 현재 경찰뿐 아니라 정부기관이 수사 중 이어서 제가 다 자세히 설명 못 드리는 점 양해를 부탁드리겠습니다.

수사 중이어서 말씀을 못 드린다?

수사 중이어서 말씀을 못 드린다?

예.

예.

개보위.

개보위.

예, 부위원장입니다.

예, 부위원장입니다.

이런 경우에 과징금을 매길 수 있지요, 개인정보 유출의 경우에?

이런 경우에 과징금을 매길 수 있지요, 개인정보 유출의 경우에?

개인정보 유출은, 법에 보호조치 위반에 대해서 엄중하게 과징금을 부여할 수 있도록 되어 있습니다.

개인정보 유출은, 법에 보호조치 위반에 대해서 엄중하게 과징금을 부여할 수 있도록 되어 있습니다.

법에 어떻게 돼 있습니까?

법에 어떻게 돼 있습니까?

과징금 부과가 있습니다, 64조의2에. 그리고 호 가 있는데 이런 경우 유출 등에 해당하기 때문에 과징금 부과 대상이라고 판단이 됩니 다. 그리고 유출, 안전성 확보 조치 기준을 다 한 경우만 일부 면책을 하고 있기 때문에 이 부분에 대해서는 입증 책임이 처리자한테 있음을 말씀드리겠습니다. 12 제429회-과학기술정보방송통신제18차(2025년12월2일)

과징금 부과가 있습니다, 64조의2에. 그리고 호 가 있는데 이런 경우 유출 등에 해당하기 때문에 과징금 부과 대상이라고 판단이 됩니 다. 그리고 유출, 안전성 확보 조치 기준을 다 한 경우만 일부 면책을 하고 있기 때문에 이 부분에 대해서는 입증 책임이 처리자한테 있음을 말씀드리겠습니다. 12 제429회-과학기술정보방송통신제18차(2025년12월2일)

입증 책임이 지금 쿠팡에 있는 것이고.

입증 책임이 지금 쿠팡에 있는 것이고.

맞습니다.

맞습니다.

그 과징금이 지금 최대 얼마로 돼 있습니까?

그 과징금이 지금 최대 얼마로 돼 있습니까?

23년 법 개정을 통해서 전체 매출액의 3%까지 상향돼 있고 전혀 관련 없는 매출액만 일부 제외하도록 규정돼 있습니다.

23년 법 개정을 통해서 전체 매출액의 3%까지 상향돼 있고 전혀 관련 없는 매출액만 일부 제외하도록 규정돼 있습니다.

그러면 쿠팡이 작년도 기준으로 봤을 때 41조 원쯤 되지요, 매출?

그러면 쿠팡이 작년도 기준으로 봤을 때 41조 원쯤 되지요, 매출?

공시된 자료는 그렇습니다.

공시된 자료는 그렇습니다.

그러면 1조 원 이상이 될 수도 있다는 이야기네요?

그러면 1조 원 이상이 될 수도 있다는 이야기네요?

그것은 지금 현재 조사 중이고요. 매출액 규모 확정뿐만 아니라 위반행위의 중대성 이런 부분들을 함께 저희 위원회에서 판단해서 종합 적으로 결정할 예정입니다.

그것은 지금 현재 조사 중이고요. 매출액 규모 확정뿐만 아니라 위반행위의 중대성 이런 부분들을 함께 저희 위원회에서 판단해서 종합 적으로 결정할 예정입니다.

하여튼 결론적으로 최대 1조 이상이 과징금으로 부과될 수 있다?

하여튼 결론적으로 최대 1조 이상이 과징금으로 부과될 수 있다?

지금 중점 검토하고 있습니다.

지금 중점 검토하고 있습니다.

굉장히 중대한 사항이고 이런 경우에는 과징금이 엄중하게 최대한 부과 가 돼야 된다고 생각합니다.

굉장히 중대한 사항이고 이런 경우에는 과징금이 엄중하게 최대한 부과 가 돼야 된다고 생각합니다.

유념하고 있습니다.

유념하고 있습니다.

이상입니다.

이상입니다.

이준석 위원님 질의하십시오.

이준석 위원님 질의하십시오.

위원장님, 제가 CISO 오신 분한테 질문을 하려고 하는데 사실 이분이 통역 과정을 두 번 거쳐야 되기 때문에 7분 안에 하면 질문을 거의 못 할 겁니다.

위원장님, 제가 CISO 오신 분한테 질문을 하려고 하는데 사실 이분이 통역 과정을 두 번 거쳐야 되기 때문에 7분 안에 하면 질문을 거의 못 할 겁니다.

아니, 7분인데요. 저분이 영어로 답변하는 시간 그건 제외해 드리겠습 니다. 왜냐하면……

아니, 7분인데요. 저분이 영어로 답변하는 시간 그건 제외해 드리겠습 니다. 왜냐하면……

통역하는 시간을 제외……

통역하는 시간을 제외……

예, 통역 시간 제외한다.

예, 통역 시간 제외한다.

알겠습니다.

알겠습니다.

그렇게 해 드리겠습니다.

그렇게 해 드리겠습니다.

브랫 매티스 CISO께 질문드리겠습니다. 이번 유출 사고를 일으킨 직원의 동기가 무엇이라고 파악하셨습니까?

브랫 매티스 CISO께 질문드리겠습니다. 이번 유출 사고를 일으킨 직원의 동기가 무엇이라고 파악하셨습니까?

지금 제가 이 상황에서 전 직원의 동기에 대해서 코멘트를 드릴 수는 없을 것 같습니다. 현재 경찰 조사가 진행 중이기 때문에 이 부분에 대해서는 제가 답변드릴 수 없는 점 혜량하여 주시기 바랍니다.

지금 제가 이 상황에서 전 직원의 동기에 대해서 코멘트를 드릴 수는 없을 것 같습니다. 현재 경찰 조사가 진행 중이기 때문에 이 부분에 대해서는 제가 답변드릴 수 없는 점 혜량하여 주시기 바랍니다.

이건 굉장히 실망스러운 답변인데요. 고객 정보를 탈취하는 데 목적이 있었는지 아니면 쿠팡 전체 시스템을 컴프로마이즈 (compromise) 하는 데 목적이 있었는지는 우리가 판단해야 됩니다, 오늘 꼭.

이건 굉장히 실망스러운 답변인데요. 고객 정보를 탈취하는 데 목적이 있었는지 아니면 쿠팡 전체 시스템을 컴프로마이즈 (compromise) 하는 데 목적이 있었는지는 우리가 판단해야 됩니다, 오늘 꼭.

일단 답변이 실망스러웠다니 대단히 죄송합니다. 저는 최고 정보보안책임자로서 이런 테크니컬한 요소들이라든지 기술적으로 어떻게 위협이 전개됐 는지에 대해서는 알고 있지만 사실 경찰의 수사가 진행 중인 그리고 제가 알지 못하는 이 직원의 동기에 대해서는 답변을 드리기 어려운 점을 혜랑하여 주시기 바랍니다.

일단 답변이 실망스러웠다니 대단히 죄송합니다. 저는 최고 정보보안책임자로서 이런 테크니컬한 요소들이라든지 기술적으로 어떻게 위협이 전개됐 는지에 대해서는 알고 있지만 사실 경찰의 수사가 진행 중인 그리고 제가 알지 못하는 이 직원의 동기에 대해서는 답변을 드리기 어려운 점을 혜랑하여 주시기 바랍니다.

그러면 유출되었다는 인증토큰의 암호키가 무엇인지에 대해서도 너무 제429회-과학기술정보방송통신제18차(2025년12월2일) 13 모호하게 지금 자료가 왔습니다. 이것이 사용자들이 사용하는 인증 시스템에 대한 암호 화키인지 아니면 이것이 시스템을 관리하는 개발자나 아니면 이런 계정을 위한 암호키인 지를 명확히 해 주십시오.

그러면 유출되었다는 인증토큰의 암호키가 무엇인지에 대해서도 너무 제429회-과학기술정보방송통신제18차(2025년12월2일) 13 모호하게 지금 자료가 왔습니다. 이것이 사용자들이 사용하는 인증 시스템에 대한 암호 화키인지 아니면 이것이 시스템을 관리하는 개발자나 아니면 이런 계정을 위한 암호키인 지를 명확히 해 주십시오.

일단 저희가 여기서 언급드리는 토큰이라는 것은 고객이 정 상적으로 로그인을 하고 쿠팡 서비스를 이용하기 위해서 고객에게……

일단 저희가 여기서 언급드리는 토큰이라는 것은 고객이 정 상적으로 로그인을 하고 쿠팡 서비스를 이용하기 위해서 고객에게……

잠깐만요. 지금 마이크를 다른 걸 쓰시지요, 옆에 있는 거를.

잠깐만요. 지금 마이크를 다른 걸 쓰시지요, 옆에 있는 거를.

저희가 언급드리는 토큰이라는 것은 지금 고객이 정상적인 로그인을 한 이후에 쿠팡 서비스를 사용하기 위해서 고객에게 지급되고 있는 토큰이 매 개하는 것입니다. 그리고 이를 통해서 고객이 디바이스에서 접속을 하게 되면 고객이 누 군지 알 수 있게 하는 그런 기술입니다.

저희가 언급드리는 토큰이라는 것은 지금 고객이 정상적인 로그인을 한 이후에 쿠팡 서비스를 사용하기 위해서 고객에게 지급되고 있는 토큰이 매 개하는 것입니다. 그리고 이를 통해서 고객이 디바이스에서 접속을 하게 되면 고객이 누 군지 알 수 있게 하는 그런 기술입니다.

그러면 지금 실제로 쿠팡이 사용하는, 일반 사용자 인증에서 해싱 알고 리즘에 사용되는 솔트라든지 여러 가지 것들이 노출되었다는 것인데 그러면 이거는 앞으 로 이 3000만 명 가까운 사용자들의 해시가 유출되었고 그걸 통해서 딕셔너리 어택이 가 능하다는 얘기입니까?

그러면 지금 실제로 쿠팡이 사용하는, 일반 사용자 인증에서 해싱 알고 리즘에 사용되는 솔트라든지 여러 가지 것들이 노출되었다는 것인데 그러면 이거는 앞으 로 이 3000만 명 가까운 사용자들의 해시가 유출되었고 그걸 통해서 딕셔너리 어택이 가 능하다는 얘기입니까?

조사에 따르면 지금 현재 토큰에서 프라이빗하게 서명하는 키가 사용된 것으로 알고 있고 그러고 나서 고객의 크리덴셜이 유출되었다라고는 생각되 지 않습니다.

조사에 따르면 지금 현재 토큰에서 프라이빗하게 서명하는 키가 사용된 것으로 알고 있고 그러고 나서 고객의 크리덴셜이 유출되었다라고는 생각되 지 않습니다.

고객의 크리덴셜을 해싱한 것도 유출되지 않았다고 확실하게 답할 수 있는지, 그리고 그렇다면 이 공격자가 습득한 정보들은 데이터베이스에 어떻게 접근했다 는 건지가 논리적으로 와닿지 않습니다.

고객의 크리덴셜을 해싱한 것도 유출되지 않았다고 확실하게 답할 수 있는지, 그리고 그렇다면 이 공격자가 습득한 정보들은 데이터베이스에 어떻게 접근했다 는 건지가 논리적으로 와닿지 않습니다.

현재 조사에 따르면 저희는 고객들의 크리덴셜이나 해시 밸 류 그리고 패스워드 등의 정보들이 노출되었다고 보지 않습니다. 이 공격자라고 생각되 는 사람은 훔친 서명키를 사용하여서 실제로 키에다가 서명을 하여서 다른 사용자인 것 처럼 가장하였습니다.

현재 조사에 따르면 저희는 고객들의 크리덴셜이나 해시 밸 류 그리고 패스워드 등의 정보들이 노출되었다고 보지 않습니다. 이 공격자라고 생각되 는 사람은 훔친 서명키를 사용하여서 실제로 키에다가 서명을 하여서 다른 사용자인 것 처럼 가장하였습니다.

그러면 쿠팡의 해싱 시스템이라는 것은 데이터베이스에 들어 있는 해시 와 이번에 유출되지 않았지만 새로운, 방금 전에 임퍼스네이트(impersonate)라고 얘기하 셨는데 임퍼스네이팅 키 둘 다 받아들인다는 얘기인데 구조적으로 이게 구현이 가능합니 까?

그러면 쿠팡의 해싱 시스템이라는 것은 데이터베이스에 들어 있는 해시 와 이번에 유출되지 않았지만 새로운, 방금 전에 임퍼스네이트(impersonate)라고 얘기하 셨는데 임퍼스네이팅 키 둘 다 받아들인다는 얘기인데 구조적으로 이게 구현이 가능합니 까?

모든 쿠팡의 인증 토큰 같은 경우에는 프라이빗 키로 서명 을 함으로써 확인이 되는데요. 지금 쿠팡 내부에 있는 프라이빗 서명키를 취득한 것으로 보입니다. 그래서 삼자는 이 키를 인증하여서 가짜 토큰을 만든 것입니다.

모든 쿠팡의 인증 토큰 같은 경우에는 프라이빗 키로 서명 을 함으로써 확인이 되는데요. 지금 쿠팡 내부에 있는 프라이빗 서명키를 취득한 것으로 보입니다. 그래서 삼자는 이 키를 인증하여서 가짜 토큰을 만든 것입니다.

그러면 가짜 토큰을 만들어 가지고 그것을 지금 쿠팡의 인증 서비스에 인젝트(inject)하면 기존의 데이터베이스에 저장된 해시 값과 다르더라도 인증이 된다는 얘기인데 일반적인 시스템에서는 그런 걸 통해서 패스워드를 리셋하는 경우는 있어도 중 복 인증이 가능한 경우가 구현된 것은 잘 보지 못했습니다. 이거 쿠팡에서는 어떤 상황 입니까?

그러면 가짜 토큰을 만들어 가지고 그것을 지금 쿠팡의 인증 서비스에 인젝트(inject)하면 기존의 데이터베이스에 저장된 해시 값과 다르더라도 인증이 된다는 얘기인데 일반적인 시스템에서는 그런 걸 통해서 패스워드를 리셋하는 경우는 있어도 중 복 인증이 가능한 경우가 구현된 것은 잘 보지 못했습니다. 이거 쿠팡에서는 어떤 상황 입니까?

저희가 생각하기에 현재 이 시나리오에서는 프라이빗 서명 키를 사용을 한 것으로 보이고요. 그래서 액세스 토큰을 가지고 이 서비스에 접근하기 위해서 이 사람이 프라이빗 서명키를 탈취해서 사용한 것입니다. 지금 이 액세스 서비스 14 제429회-과학기술정보방송통신제18차(2025년12월2일) 같은 경우에는 API를 사용하는 절차를 담고 있는데요. 이것은 전 세계적으로 사용하고 있는 표준 절차입니다. 저희는 이 프라이빗 키를 가지고 서명을 한 가짜 토큰을 가지고 인증에 성공을 하여서 고객을 사칭하는 그런 행위가 벌어진 것으로 보고 있고요. 지금까지 이런 행위를 통해서 패스워드를 리셋하거나 재설정을 하거나 그런 데 사용되었다는 증거는 찾지 못하였습니 다.

저희가 생각하기에 현재 이 시나리오에서는 프라이빗 서명 키를 사용을 한 것으로 보이고요. 그래서 액세스 토큰을 가지고 이 서비스에 접근하기 위해서 이 사람이 프라이빗 서명키를 탈취해서 사용한 것입니다. 지금 이 액세스 서비스 14 제429회-과학기술정보방송통신제18차(2025년12월2일) 같은 경우에는 API를 사용하는 절차를 담고 있는데요. 이것은 전 세계적으로 사용하고 있는 표준 절차입니다. 저희는 이 프라이빗 키를 가지고 서명을 한 가짜 토큰을 가지고 인증에 성공을 하여서 고객을 사칭하는 그런 행위가 벌어진 것으로 보고 있고요. 지금까지 이런 행위를 통해서 패스워드를 리셋하거나 재설정을 하거나 그런 데 사용되었다는 증거는 찾지 못하였습니 다.

지금 API가 결국 브릿지(bridge)됐다는 얘기를 하고 계신 건데, API가 사용 가능하게 됐다는 걸 얘기하는 건데 그러면 지금 피해 기간이 거의 다섯 달에 해당 하는 기간인데 이 기간 동안에 탈취된 정보가 이번에 고객명, 이메일, 배송지, 전화번호, 주소 등을 얘기했는데 이것 외에 다른 것이 존재할 수 있다는 가능성에 대해서는 어떻게 보십니까?

지금 API가 결국 브릿지(bridge)됐다는 얘기를 하고 계신 건데, API가 사용 가능하게 됐다는 걸 얘기하는 건데 그러면 지금 피해 기간이 거의 다섯 달에 해당 하는 기간인데 이 기간 동안에 탈취된 정보가 이번에 고객명, 이메일, 배송지, 전화번호, 주소 등을 얘기했는데 이것 외에 다른 것이 존재할 수 있다는 가능성에 대해서는 어떻게 보십니까?

저희는 이 위협 가해자의 키 인디케이터(indicator)들을 확 인했습니다. 그리고 저희가 쿠팡 로그들을 굉장히 많이 들여다보았는데요. 이를 통해서 지금 이 사람이 아주 일부의 API에만 조작해서 접근을 할 수 있었던 것으로 알 수 있었 고 다른 API를 조작하거나 접근했다는 증거는 찾을 수 없었습니다. 그리고 지금 이 사람의 케이스 같은 경우에는 조사 중이고 또 저희는 계속해서 증거를 찾고 있지만 아직 다른 시스템에 접근했다라는 혹은 다른 정보에 접근했다라는 증거는 찾지 못한 상태입니다.

저희는 이 위협 가해자의 키 인디케이터(indicator)들을 확 인했습니다. 그리고 저희가 쿠팡 로그들을 굉장히 많이 들여다보았는데요. 이를 통해서 지금 이 사람이 아주 일부의 API에만 조작해서 접근을 할 수 있었던 것으로 알 수 있었 고 다른 API를 조작하거나 접근했다는 증거는 찾을 수 없었습니다. 그리고 지금 이 사람의 케이스 같은 경우에는 조사 중이고 또 저희는 계속해서 증거를 찾고 있지만 아직 다른 시스템에 접근했다라는 혹은 다른 정보에 접근했다라는 증거는 찾지 못한 상태입니다.

그러면 이 사람이 구조적으로 더 낮은 레벨의 시스템에 접근할 수 있는 권한을 가진 사람이었습니까? 그리고 지금 그랬던 징후가 있습니까? 예를 들어 실제 데 이터베이스라든지 로데이터에 접근할 수 있는 권한이 있었습니까?

그러면 이 사람이 구조적으로 더 낮은 레벨의 시스템에 접근할 수 있는 권한을 가진 사람이었습니까? 그리고 지금 그랬던 징후가 있습니까? 예를 들어 실제 데 이터베이스라든지 로데이터에 접근할 수 있는 권한이 있었습니까?

위협자가 쿠팡에 액세스를 할 때 쿠팡 내부에 있는 것을 사 용한 것이 아니라 외부의 API를 사용했기 때문에…… 지금 외부의 API를 조작해서 사 용을 했고 그리고 그를 통해서 쿠팡 내부 시스템의 다른 쪽에는, 더 로우 레벨이라든지 이런 쪽의 데이터베이스에는 접근할 수 없었습니다.

위협자가 쿠팡에 액세스를 할 때 쿠팡 내부에 있는 것을 사 용한 것이 아니라 외부의 API를 사용했기 때문에…… 지금 외부의 API를 조작해서 사 용을 했고 그리고 그를 통해서 쿠팡 내부 시스템의 다른 쪽에는, 더 로우 레벨이라든지 이런 쪽의 데이터베이스에는 접근할 수 없었습니다.

그러면 아까 질문 중의 하나가 이 사람이 현직에 있었을 때, 쿠팡에서 개발하고 있었을 때 이 사람이 어느 정도의 개발에 대한 권한을 가진 사람이었는지를 공 개할 수 있습니까?

그러면 아까 질문 중의 하나가 이 사람이 현직에 있었을 때, 쿠팡에서 개발하고 있었을 때 이 사람이 어느 정도의 개발에 대한 권한을 가진 사람이었는지를 공 개할 수 있습니까?

이것은 현재 경찰 조사 중인 사안이기 때문에 경찰에 대한, 수사에 대한 존중으로 좀 신중하게 말씀을 드려야 될 것 같습니다. 만약에 이 사람이 정 말 이 사건과 연계된 사람이 맞다라고 한다면 프리벌리지드(privileged) 액세스를 가지고 있고 그 말인즉슨 키에 대한 접근권이 있다라는 것입니다.

이것은 현재 경찰 조사 중인 사안이기 때문에 경찰에 대한, 수사에 대한 존중으로 좀 신중하게 말씀을 드려야 될 것 같습니다. 만약에 이 사람이 정 말 이 사건과 연계된 사람이 맞다라고 한다면 프리벌리지드(privileged) 액세스를 가지고 있고 그 말인즉슨 키에 대한 접근권이 있다라는 것입니다.

실제로 사이닝 키(signing key)에 접근해 가지고 이런 일을 벌일 정도 사람이면 시스템에 대한 이해도가 상당한 것이고 그렇다면 이 사람이 개발 관련해서 더 넓은 권한을 가지고 있었을 가능성이 있고 그것에 대해서 보안적으로 접근했을 가능성에 대해서 쿠팡이 지금 다 파악한 것인지 아니면 진행 중인 인베스티게이션(investigation) 이 있는지 한번 묻고 싶습니다.

실제로 사이닝 키(signing key)에 접근해 가지고 이런 일을 벌일 정도 사람이면 시스템에 대한 이해도가 상당한 것이고 그렇다면 이 사람이 개발 관련해서 더 넓은 권한을 가지고 있었을 가능성이 있고 그것에 대해서 보안적으로 접근했을 가능성에 대해서 쿠팡이 지금 다 파악한 것인지 아니면 진행 중인 인베스티게이션(investigation) 이 있는지 한번 묻고 싶습니다.

이 사람이 실제로 책임이 있는 사람이라고 할지라도 지금 현재 쿠팡에 대해서는 전혀 아무런 액세스가 없는 상황입니다. 제429회-과학기술정보방송통신제18차(2025년12월2일) 15

이 사람이 실제로 책임이 있는 사람이라고 할지라도 지금 현재 쿠팡에 대해서는 전혀 아무런 액세스가 없는 상황입니다. 제429회-과학기술정보방송통신제18차(2025년12월2일) 15

과거 말하는 겁니다. 현직에 있을 때 그런 권한들이 지금 이 키 권한보 다 더 많은 권한이 있었느냐.

과거 말하는 겁니다. 현직에 있을 때 그런 권한들이 지금 이 키 권한보 다 더 많은 권한이 있었느냐.

That is being investigated jointly with the police so I will defer any answers until after the police investigation……

That is being investigated jointly with the police so I will defer any answers until after the police investigation……

아니, 그게 아니라 그 당시 현직에 있었을 때의 권한을 묻는 건데 지금 경찰 인베스티게이션이 무슨 의미가 있습니까? 현직에 있었을 때 그 권한이 있었느냐.

아니, 그게 아니라 그 당시 현직에 있었을 때의 권한을 묻는 건데 지금 경찰 인베스티게이션이 무슨 의미가 있습니까? 현직에 있었을 때 그 권한이 있었느냐.

Respectfully the police have asked us not to disclose details that may help identify who this person may have been……

Respectfully the police have asked us not to disclose details that may help identify who this person may have been……

아니, 대한민국 경찰이 그걸 말하지 말라고 했다는 게 말이 됩니까, 국 회에서.

아니, 대한민국 경찰이 그걸 말하지 말라고 했다는 게 말이 됩니까, 국 회에서.

박대준 대표이사님, 지금 이 질의응답 과정 면밀하게 들으셨어요?

박대준 대표이사님, 지금 이 질의응답 과정 면밀하게 들으셨어요?

예, 듣고 있습니다.

예, 듣고 있습니다.

김승주 교수님, 면밀하게 들으셨지요?

김승주 교수님, 면밀하게 들으셨지요?

예.

예.

지금 저분이 피하려고 했지만 피하지 못하고 답변한 것들이 있습니다. 이와 관련하여 박대준 대표는 앞에서 답변 안 한 것들이 있었어요. 그리고 답변했습니다. 제가 박대준 대표님 계속 이런 식으로 경찰 핑계 대면서 답변 안 하시면 이 회의가 끝 나기 전에 여야 간사 합의로 저희가 청문회 날짜를 잡겠습니다. 그래서 박대준 대표를 비롯하여 실질 소유자 김범석 씨도 증인으로 채택하겠습니다. 이 말은 뭐냐면, 지금 저 보안 책임자의 말에 따르면 상당 부분 내부 조사가 진행됐다는 거예요, 답변 보면. 그렇 지요, 김승주 교수님?

지금 저분이 피하려고 했지만 피하지 못하고 답변한 것들이 있습니다. 이와 관련하여 박대준 대표는 앞에서 답변 안 한 것들이 있었어요. 그리고 답변했습니다. 제가 박대준 대표님 계속 이런 식으로 경찰 핑계 대면서 답변 안 하시면 이 회의가 끝 나기 전에 여야 간사 합의로 저희가 청문회 날짜를 잡겠습니다. 그래서 박대준 대표를 비롯하여 실질 소유자 김범석 씨도 증인으로 채택하겠습니다. 이 말은 뭐냐면, 지금 저 보안 책임자의 말에 따르면 상당 부분 내부 조사가 진행됐다는 거예요, 답변 보면. 그렇 지요, 김승주 교수님?

예, 그런 것 같습니다.

예, 그런 것 같습니다.

그런데 그거를 경찰 핑계 대면서 빠져나가려고 그래요. 경찰 조사는요 범죄 여부를 가리는 거예요. 그리고 여기 위원님들이, 제가 위원님들이 자료제출 요구한 거 받았는데요. 어떤 것까 지 지금 안 주려고 하냐면 쿠팡의 자체 보안 시스템과 관리규정, 이게 영업비밀입니까? 보안 시스템이 이렇게 잘돼 있다고 얘기하면 이건 영업비밀이 아니라 회사의 격이 높아 지는 건데 이것까지 안 주려고 하고 있어요. 지금 어떤 국회에 익숙해져서 이렇게 하시는지 모르겠는데 답변하시는 거 최소한 지금 보안 책임자가 얘기한 수준 이상 안 하시면 저희 곧 청문회 열어서 다시 하겠습니다. 그 렇게 답하시면 안 됩니다. 지금 거의 언저리까지 다 간 답변이 나왔어요, 이준석 위원과 질의응답 과정에서. 지금 우리 위원님들 다 기록하셨을 거기 때문에 이 이상 답변하십시 오. 한민수 위원님 질의하십시오.

그런데 그거를 경찰 핑계 대면서 빠져나가려고 그래요. 경찰 조사는요 범죄 여부를 가리는 거예요. 그리고 여기 위원님들이, 제가 위원님들이 자료제출 요구한 거 받았는데요. 어떤 것까 지 지금 안 주려고 하냐면 쿠팡의 자체 보안 시스템과 관리규정, 이게 영업비밀입니까? 보안 시스템이 이렇게 잘돼 있다고 얘기하면 이건 영업비밀이 아니라 회사의 격이 높아 지는 건데 이것까지 안 주려고 하고 있어요. 지금 어떤 국회에 익숙해져서 이렇게 하시는지 모르겠는데 답변하시는 거 최소한 지금 보안 책임자가 얘기한 수준 이상 안 하시면 저희 곧 청문회 열어서 다시 하겠습니다. 그 렇게 답하시면 안 됩니다. 지금 거의 언저리까지 다 간 답변이 나왔어요, 이준석 위원과 질의응답 과정에서. 지금 우리 위원님들 다 기록하셨을 거기 때문에 이 이상 답변하십시 오. 한민수 위원님 질의하십시오.

서울 강북을 국회의원 한민수입니다. 2025년은 한 해 매출액 40조 원이 넘는 국내 전자상거래 업체 1위인 쿠팡의 민낯이 드 러난 한 해라고 생각합니다. 지난 10월 환노위 국감에서 한 검사의 눈물의 증언으로 일용직 근로자들에게, 노동자 들에게 200만 원의 퇴직금을 주지 않기 위해서 쿠팡 측이 저지른 위법행위들이 드러났습 16 제429회-과학기술정보방송통신제18차(2025년12월2일) 니다. 저는 그때 생각했습니다. 자기 식구들에게도 저렇게 대하는 기업이 우리 국민들에 게 제대로 했을까? 아니나 다를까 국민의 소중한 정보가 다 유출됐어요. 그런데도 제대 로 사과도 않고 있습니다. 제가 낱낱이 보여 드리겠습니다. 2025년 쿠팡이 얼마나 형편없는 회사인지, 국민 알기 를 얼마나 우습게 아는 기업인지 밝혀 드리겠습니다. 박대준 대표, 이번 사태가 개인정보 유출입니까, 노출입니까? 답변하세요, 단문으로.

서울 강북을 국회의원 한민수입니다. 2025년은 한 해 매출액 40조 원이 넘는 국내 전자상거래 업체 1위인 쿠팡의 민낯이 드 러난 한 해라고 생각합니다. 지난 10월 환노위 국감에서 한 검사의 눈물의 증언으로 일용직 근로자들에게, 노동자 들에게 200만 원의 퇴직금을 주지 않기 위해서 쿠팡 측이 저지른 위법행위들이 드러났습 16 제429회-과학기술정보방송통신제18차(2025년12월2일) 니다. 저는 그때 생각했습니다. 자기 식구들에게도 저렇게 대하는 기업이 우리 국민들에 게 제대로 했을까? 아니나 다를까 국민의 소중한 정보가 다 유출됐어요. 그런데도 제대 로 사과도 않고 있습니다. 제가 낱낱이 보여 드리겠습니다. 2025년 쿠팡이 얼마나 형편없는 회사인지, 국민 알기 를 얼마나 우습게 아는 기업인지 밝혀 드리겠습니다. 박대준 대표, 이번 사태가 개인정보 유출입니까, 노출입니까? 답변하세요, 단문으로.

개인정보 유출입니다.

개인정보 유출입니다.

그게 실수입니까? (영상자료를 보며) 이 자료 보세요, PPT. 지속적으로 ‘노출’이라고 쓰고 있어요. 국민들에게 사기치는 겁니까? 두 번째, 박대준 대표의 이름, 이메일, 사는 집 주소, 전화번호, 본인이 그동안 해 왔던, 어떤 약을 먹었는지 어떤 음식을 사 먹었는지 어떤 옷을 입었는지 정보가 다 유출됐어 요. 피해를 입었습니까, 안 입었습니까, 개인 박대준은?

그게 실수입니까? (영상자료를 보며) 이 자료 보세요, PPT. 지속적으로 ‘노출’이라고 쓰고 있어요. 국민들에게 사기치는 겁니까? 두 번째, 박대준 대표의 이름, 이메일, 사는 집 주소, 전화번호, 본인이 그동안 해 왔던, 어떤 약을 먹었는지 어떤 음식을 사 먹었는지 어떤 옷을 입었는지 정보가 다 유출됐어 요. 피해를 입었습니까, 안 입었습니까, 개인 박대준은?

입었습니다.

입었습니다.

그런데 왜 쿠팡은 아직도 개인 피해가 없다고 합니까? 말 같은 소리 좀 하세요. 역대급 개인정보가 털려 놓고도 5개월 동안 인지를 못 했습니다. 사실이지요?

그런데 왜 쿠팡은 아직도 개인 피해가 없다고 합니까? 말 같은 소리 좀 하세요. 역대급 개인정보가 털려 놓고도 5개월 동안 인지를 못 했습니다. 사실이지요?

......

......

답변하세요.

답변하세요.

예.

예.

‘당신의 정보를 갖고 있다’ 이런 힌트를 남기고서야 눈치를 챘습니다. 도 대체 6월 24일 개인정보 유출이 됐는데 지금까지 왜 몰랐습니까? 답변하세요.

‘당신의 정보를 갖고 있다’ 이런 힌트를 남기고서야 눈치를 챘습니다. 도 대체 6월 24일 개인정보 유출이 됐는데 지금까지 왜 몰랐습니까? 답변하세요.

지금 조사 과정 중이기는 합니다만……

지금 조사 과정 중이기는 합니다만……

그만하세요. 답변할 수 있습니까, 왜 몰랐는지? 또 경찰 핑계 대지 마시고요.

그만하세요. 답변할 수 있습니까, 왜 몰랐는지? 또 경찰 핑계 대지 마시고요.

그러고 싶은 생각은 전혀 없습니다. 그럴 의도가 아니고요. 지금 이 부분은 저희도 더 좀 확인하고 더 보완해야 될 부분이라고 생각을 하고 있습니 다, 위원님.

그러고 싶은 생각은 전혀 없습니다. 그럴 의도가 아니고요. 지금 이 부분은 저희도 더 좀 확인하고 더 보완해야 될 부분이라고 생각을 하고 있습니 다, 위원님.

다음에 정보 유출 원인이 앞서 위원님들 질의를 제가 아무리 귀를 쫑긋 하고 들어 봐도 무슨 얘기인지를 모르겠어요. 정보 유출 원인 파악됐습니까?

다음에 정보 유출 원인이 앞서 위원님들 질의를 제가 아무리 귀를 쫑긋 하고 들어 봐도 무슨 얘기인지를 모르겠어요. 정보 유출 원인 파악됐습니까?

지금 현재까지 조사된 것으로는 인증키를 외부에서……

지금 현재까지 조사된 것으로는 인증키를 외부에서……

그러면 외부 공격으로 인한 정상적 시스템이 무력화된 겁니까, 아니면 정보보안시스템이 허술하게 관리되고 있기 때문에 내부 사정에 밝은 사람이 악용한 겁니 까?

그러면 외부 공격으로 인한 정상적 시스템이 무력화된 겁니까, 아니면 정보보안시스템이 허술하게 관리되고 있기 때문에 내부 사정에 밝은 사람이 악용한 겁니 까?

지금 현재로서는 내외부를 가리지 않고 전부 다 모든 가능성 을 열어 놓고 조사를 하고 있습니다. 지금 앞서 얘기된 것처럼 내부에서 일단 이 인증키 를 어떤 방식인지 모르지만 어쨌든 이것을 유출해서 활용했을 것으로 유력하게 추정을 하고 있는 것뿐입니다. 제429회-과학기술정보방송통신제18차(2025년12월2일) 17

지금 현재로서는 내외부를 가리지 않고 전부 다 모든 가능성 을 열어 놓고 조사를 하고 있습니다. 지금 앞서 얘기된 것처럼 내부에서 일단 이 인증키 를 어떤 방식인지 모르지만 어쨌든 이것을 유출해서 활용했을 것으로 유력하게 추정을 하고 있는 것뿐입니다. 제429회-과학기술정보방송통신제18차(2025년12월2일) 17

다음 또 질의하겠습니다. 제가 앞서서 화가 나 가지고 목소리 톤이 높아졌습니다. 이런 어마어마한 일이 벌어졌 고 우리 국민들 수천만 명이 불안해하는데, 우리 가족들도 불안해합니다. 그런데 쿠팡이 어떻게 하고 있습니까? 정보 유출을 노출이라고 속이고 있고. 아니, 아까 박대준 대표이 사도 인정했잖아요. 본인 정보가 다 샜는데 피해가 없다고 할 수 있습니까? 그래서 높아 졌다는 얘기 드리고. PPT 한번 보시고 좀 따져 보겠습니다. 이 PPT에서 지금까지 실제로 유출된 정보와 유출되지 않은 정보를 나눠 보세요. 고객 명, 이메일, 배송지 전화번호, 실제 주소, 실제 주문내역, 공동현관 비밀번호 유출됐지요?

다음 또 질의하겠습니다. 제가 앞서서 화가 나 가지고 목소리 톤이 높아졌습니다. 이런 어마어마한 일이 벌어졌 고 우리 국민들 수천만 명이 불안해하는데, 우리 가족들도 불안해합니다. 그런데 쿠팡이 어떻게 하고 있습니까? 정보 유출을 노출이라고 속이고 있고. 아니, 아까 박대준 대표이 사도 인정했잖아요. 본인 정보가 다 샜는데 피해가 없다고 할 수 있습니까? 그래서 높아 졌다는 얘기 드리고. PPT 한번 보시고 좀 따져 보겠습니다. 이 PPT에서 지금까지 실제로 유출된 정보와 유출되지 않은 정보를 나눠 보세요. 고객 명, 이메일, 배송지 전화번호, 실제 주소, 실제 주문내역, 공동현관 비밀번호 유출됐지요?

예, 현재까지는 그렇게 확인되고 있습니다.

예, 현재까지는 그렇게 확인되고 있습니다.

해외직구 개인통관번호, 카드번호, 주민번호, 아이디 유출 안 된 거 확인 할 수 있습니까? 확신할 수 있어요?

해외직구 개인통관번호, 카드번호, 주민번호, 아이디 유출 안 된 거 확인 할 수 있습니까? 확신할 수 있어요?

현재까지 조사 결과로는 지금 말씀하신 것들은 노출이 되지 않았고, 아이디 같은 경우에는 저희가 이메일 계정을 아이디로 사용하고 있기 때문에 동 일하다고 보시면 될 것 같습니다.

현재까지 조사 결과로는 지금 말씀하신 것들은 노출이 되지 않았고, 아이디 같은 경우에는 저희가 이메일 계정을 아이디로 사용하고 있기 때문에 동 일하다고 보시면 될 것 같습니다.

앞서서 박정훈 위원도 얘기했습니다만 수많은 범죄에 이용될 수밖에 없 습니다. 그러니까 정부에서 스미싱·보이스피싱 경보도 발령하고 다크웹 모니터링 강화도 한 거 아닙니까. 만약에 URL을 붙여 가지고 ‘지난달에 드신 음식, 과일 더 사겠습니까?’, 아니면 ‘배송 지 잘못 왔습니다’ 하면 우리 국민들 많이 누를 겁니다. 그걸 어떻게 책임질 겁니까? 그런데 한번 다음 PPT 보십시오. 이거는 다 나왔으니까요. 한번 보세요. 날짜·시간대 보고, 지금 쿠팡이 어떤 기업인지 를 제가 보여 드리겠습니다. 이럴 수 있습니까? 어제 오후 12시 27분, 여기서 쿠팡 사과한 문구 한번 찾아보세요, 박대준 대표.

앞서서 박정훈 위원도 얘기했습니다만 수많은 범죄에 이용될 수밖에 없 습니다. 그러니까 정부에서 스미싱·보이스피싱 경보도 발령하고 다크웹 모니터링 강화도 한 거 아닙니까. 만약에 URL을 붙여 가지고 ‘지난달에 드신 음식, 과일 더 사겠습니까?’, 아니면 ‘배송 지 잘못 왔습니다’ 하면 우리 국민들 많이 누를 겁니다. 그걸 어떻게 책임질 겁니까? 그런데 한번 다음 PPT 보십시오. 이거는 다 나왔으니까요. 한번 보세요. 날짜·시간대 보고, 지금 쿠팡이 어떤 기업인지 를 제가 보여 드리겠습니다. 이럴 수 있습니까? 어제 오후 12시 27분, 여기서 쿠팡 사과한 문구 한번 찾아보세요, 박대준 대표.

제일 상단에 배치가 되어 있습니다.

제일 상단에 배치가 되어 있습니다.

다음 PPT 보세요. 찾아보세요.

다음 PPT 보세요. 찾아보세요.

……

……

찾아보세요. 없어졌지요? 지금도 장사합니까? 자, 이번 모바일 보세요, 무슨 내용도 없어요. ‘고객 여러분께 심려를 끼쳐드려 진심으 로 사과드립니다’, 제가 오늘 아침에 현안질의 준비하면서 또 찾아봤어요, 우리 보좌진들 과 함께. 오전 9시 7분 이마저도 사라졌습니다. 이게 정상적인 기업의 모습입니까? 하루 사이에 이것도 없애 버리고 우리 국민들 속이 고 지금 수천만 명이, 3000만 명 넘는 국민들이 불안에 떨고 있는데 장사 좀 더 하겠다 고 이렇게 하고 있습니다. 그러다 보니까 우리 국민들 얘기가 나오고 있어요. 안전하게 보호되고 있다고 하니까 이걸 믿는 국민이 누가 있습니까. 여기에 대한 답변이 있으면 해 보세요. (발언시간 초과로 마이크 중단) 18 제429회-과학기술정보방송통신제18차(2025년12월2일) ………………………………………………………………………………………………………… (마이크 중단 이후 계속 발언한 부분) 왜 사과문 내려갔습니까?

찾아보세요. 없어졌지요? 지금도 장사합니까? 자, 이번 모바일 보세요, 무슨 내용도 없어요. ‘고객 여러분께 심려를 끼쳐드려 진심으 로 사과드립니다’, 제가 오늘 아침에 현안질의 준비하면서 또 찾아봤어요, 우리 보좌진들 과 함께. 오전 9시 7분 이마저도 사라졌습니다. 이게 정상적인 기업의 모습입니까? 하루 사이에 이것도 없애 버리고 우리 국민들 속이 고 지금 수천만 명이, 3000만 명 넘는 국민들이 불안에 떨고 있는데 장사 좀 더 하겠다 고 이렇게 하고 있습니다. 그러다 보니까 우리 국민들 얘기가 나오고 있어요. 안전하게 보호되고 있다고 하니까 이걸 믿는 국민이 누가 있습니까. 여기에 대한 답변이 있으면 해 보세요. (발언시간 초과로 마이크 중단) 18 제429회-과학기술정보방송통신제18차(2025년12월2일) ………………………………………………………………………………………………………… (마이크 중단 이후 계속 발언한 부분) 왜 사과문 내려갔습니까?

아까 저 사과문은 저렇게만 하는 게 아니고 배너 방식으로 하고 그다음에 저 배너를 클릭했을 때 사과문이 팝업 공지로 뜨도록 해서 그렇게 공지를 했고요. 그 기간이 끝난 다음에 지금 저 사과문 내용만으로는 부족하고 현재 2차 피해나 불안해하시는 분들이 CS로 인입돼서 별도 이메일 공지로 다시 좀 더 상세한 내용과 사 과문을 보내려고 준비 중에 있는 거였습니다.

아까 저 사과문은 저렇게만 하는 게 아니고 배너 방식으로 하고 그다음에 저 배너를 클릭했을 때 사과문이 팝업 공지로 뜨도록 해서 그렇게 공지를 했고요. 그 기간이 끝난 다음에 지금 저 사과문 내용만으로는 부족하고 현재 2차 피해나 불안해하시는 분들이 CS로 인입돼서 별도 이메일 공지로 다시 좀 더 상세한 내용과 사 과문을 보내려고 준비 중에 있는 거였습니다.

그래서 준비 중이기 때문에 지금 홈페이지...... 제가 처음에 문제 삼으려 고 했던 건 배너였습니다. 그런데 아침에 찾아보니까 그마저도 없어졌어요. 잘못된 건 잘 못된 거 아닙니까?

그래서 준비 중이기 때문에 지금 홈페이지...... 제가 처음에 문제 삼으려 고 했던 건 배너였습니다. 그런데 아침에 찾아보니까 그마저도 없어졌어요. 잘못된 건 잘 못된 거 아닙니까?

예, 좀 더 세심하게 신경 쓰도록 하겠습니다, 위원님. …………………………………………………………………………………………………………

예, 좀 더 세심하게 신경 쓰도록 하겠습니다, 위원님. …………………………………………………………………………………………………………

박충권 위원님 질의하십시오.

박충권 위원님 질의하십시오.

박대준 대표님, 쿠팡은 한국 기업입니까, 미국 기업입니까?

박대준 대표님, 쿠팡은 한국 기업입니까, 미국 기업입니까?

회사를 법적으로 얘기한다면 미국에 상장한 미국 기업이고 그다음에 한국 법인이 투자받아서 한국에서 지금 사업을 하고 있습니다.

회사를 법적으로 얘기한다면 미국에 상장한 미국 기업이고 그다음에 한국 법인이 투자받아서 한국에서 지금 사업을 하고 있습니다.

그러면 미국 기업이라고 봐도 되는 거예요? 어떻게 되는 거예요?

그러면 미국 기업이라고 봐도 되는 거예요? 어떻게 되는 거예요?

예, 법률상은 미국 기업이 맞습니다.

예, 법률상은 미국 기업이 맞습니다.

현재 쿠팡의 매출액 대부분, 80%가 넘는 매출이 한국에서 이루어지는 것으로 알고 있는데 맞습니까?

현재 쿠팡의 매출액 대부분, 80%가 넘는 매출이 한국에서 이루어지는 것으로 알고 있는데 맞습니까?

예, 정확한 비율은 봐야겠습니다만 대부분의, 현재는 한국에 서 많은 비중을 차지하고 있습니다.

예, 정확한 비율은 봐야겠습니다만 대부분의, 현재는 한국에 서 많은 비중을 차지하고 있습니다.

대한민국국민이 쿠팡을 먹여 살리고 있는 거지요? 그렇지요?

대한민국국민이 쿠팡을 먹여 살리고 있는 거지요? 그렇지요?

예.

예.

쿠팡을 이렇게 지금의 거대 공룡 기업으로 만들어 준 것이 대한민국국 민입니다. 맞지 않습니까?

쿠팡을 이렇게 지금의 거대 공룡 기업으로 만들어 준 것이 대한민국국 민입니다. 맞지 않습니까?

예, 그렇습니다.

예, 그렇습니다.

새벽배송은 우리나라에서만 서비스하고 있지요?

새벽배송은 우리나라에서만 서비스하고 있지요?

예, 현재는 그렇습니다.

예, 현재는 그렇습니다.

이제 이 새벽배송 서비스가 대한민국 워킹맘들 그리고 맞벌이 부부들에 게는 없어서는 안 될 필수 서비스가 되지 않았습니까? 그렇지요?

이제 이 새벽배송 서비스가 대한민국 워킹맘들 그리고 맞벌이 부부들에 게는 없어서는 안 될 필수 서비스가 되지 않았습니까? 그렇지요?

예.

예.

그러다 보니까 우리 국민들이 쿠팡의 보안을 믿고 공동현관 비밀번호까 지 맡긴 것 아니겠어요? 그렇지요?

그러다 보니까 우리 국민들이 쿠팡의 보안을 믿고 공동현관 비밀번호까 지 맡긴 것 아니겠어요? 그렇지요?

예, 그렇습니다.

예, 그렇습니다.

그렇다면 쿠팡은 어떤 기업들보다도 더더욱 보안에 신경 써야 되는 거 아니겠습니까? 맞나요?

그렇다면 쿠팡은 어떤 기업들보다도 더더욱 보안에 신경 써야 되는 거 아니겠습니까? 맞나요?

예, 그렇게 해야 된다고 생각하고 있습니다. 제429회-과학기술정보방송통신제18차(2025년12월2일) 19

예, 그렇게 해야 된다고 생각하고 있습니다. 제429회-과학기술정보방송통신제18차(2025년12월2일) 19

그런데 지금 쿠팡 때문에 수천만의 우리 국민들이 집 주소, 전화번호, 이름, 공동현관 비밀번호까지 다 털렸어요. 쿠팡 때문에 털린 겁니다. 맞나요?

그런데 지금 쿠팡 때문에 수천만의 우리 국민들이 집 주소, 전화번호, 이름, 공동현관 비밀번호까지 다 털렸어요. 쿠팡 때문에 털린 겁니다. 맞나요?

예, 책임을 통감하고 있습니다.

예, 책임을 통감하고 있습니다.

그런데 그 유출자가 지금 중국 국적자인 전직 직원이라고 하지요? 맞습 니까?

그런데 그 유출자가 지금 중국 국적자인 전직 직원이라고 하지요? 맞습 니까?

아까 위원장님도 지적하신 부분이시기도 해서 제가 조금만 더 설명을 드리고 싶습니다.

아까 위원장님도 지적하신 부분이시기도 해서 제가 조금만 더 설명을 드리고 싶습니다.

간단하게 말씀하세요. 왜 대답 못 합니까, 언론에도 다 나온 건데? 여기 뭐 하러 나오셨어요? 맞습니까, 아닙니까? 중국 국적자 맞나요, 아닌가요?

간단하게 말씀하세요. 왜 대답 못 합니까, 언론에도 다 나온 건데? 여기 뭐 하러 나오셨어요? 맞습니까, 아닙니까? 중국 국적자 맞나요, 아닌가요?

지금 제가 범인을 특정한다거나 수사 진행 중인 사안에 대해 서 말씀드리는 것은 사실 대단히 좀 위험하다고 생각하고 있습니다.

지금 제가 범인을 특정한다거나 수사 진행 중인 사안에 대해 서 말씀드리는 것은 사실 대단히 좀 위험하다고 생각하고 있습니다.

왜, 자꾸 경찰 조사 핑계를 대고 있는데 여기 뭐 하러 나오신 거예요? 언론에도 지금 다 나와 있는데.

왜, 자꾸 경찰 조사 핑계를 대고 있는데 여기 뭐 하러 나오신 거예요? 언론에도 지금 다 나와 있는데.

경찰 조사를 핑계 대려고 하는 건 아닙니다.

경찰 조사를 핑계 대려고 하는 건 아닙니다.

그러면 또 하나 질문, 현관 비밀번호까지 접근이 가능한 이 보안인증 부 서의 보안 업무 담당자에 중국인…… 그러니까 현재 근무하거나 근무한 적이 있는 사람 들 중에 중국인이 있습니까?

그러면 또 하나 질문, 현관 비밀번호까지 접근이 가능한 이 보안인증 부 서의 보안 업무 담당자에 중국인…… 그러니까 현재 근무하거나 근무한 적이 있는 사람 들 중에 중국인이 있습니까?

지금 저희가 아무래도 많은 국적의 직원들이 같이 일을 하다 보니까……

지금 저희가 아무래도 많은 국적의 직원들이 같이 일을 하다 보니까……

그러면 보안 IT 인력 종사자 중에, 그 종사자들의 국적 분포 제출할 수 있습니까?

그러면 보안 IT 인력 종사자 중에, 그 종사자들의 국적 분포 제출할 수 있습니까?

위원님, 아까 말씀드린 거 이어서 좀 말씀을 드리면 국적을 가지고서 직원들을 평가하게 되면 또 다른 차별이 될 수 있기 때문에 국적에 따라서……

위원님, 아까 말씀드린 거 이어서 좀 말씀을 드리면 국적을 가지고서 직원들을 평가하게 되면 또 다른 차별이 될 수 있기 때문에 국적에 따라서……

이게 지금 차별의 문제가 아니지 않습니까. 제가 지금 심각한 비밀, 개 인정보 요구하는 겁니까? 국회가 우스워요? 지금 이 현안질의를 보고 있는 국민들이 우 습습니까?

이게 지금 차별의 문제가 아니지 않습니까. 제가 지금 심각한 비밀, 개 인정보 요구하는 겁니까? 국회가 우스워요? 지금 이 현안질의를 보고 있는 국민들이 우 습습니까?

아니요, 절대 그렇지 않습니다.

아니요, 절대 그렇지 않습니다.

지금 아무 일이 없는데 제가 이런 요구를 하는 겁니까?

지금 아무 일이 없는데 제가 이런 요구를 하는 겁니까?

아니, 위원님이……

아니, 위원님이……

대표님은 한국 분이시지요?

대표님은 한국 분이시지요?

예, 맞습니다.

예, 맞습니다.

맞지요? 만약에 국민들이 쿠팡의 공동현관 비밀번호, 집 주소, 전화번호, 이메일 주소, 내가 구매하는 이력까지 이 정보들 다 관리하는 사람이 중국인이다 이런 사실을 알았으면 그 정보 제공했겠습니까? 우리나라 국민들 정서상 맞나요?

맞지요? 만약에 국민들이 쿠팡의 공동현관 비밀번호, 집 주소, 전화번호, 이메일 주소, 내가 구매하는 이력까지 이 정보들 다 관리하는 사람이 중국인이다 이런 사실을 알았으면 그 정보 제공했겠습니까? 우리나라 국민들 정서상 맞나요?

아니요, 그렇게 관리하고 있지는 않았었습니다, 위원님.

아니요, 그렇게 관리하고 있지는 않았었습니다, 위원님.

그런데 왜 제출 못 합니까?

그런데 왜 제출 못 합니까?

지금 회사 직원을 국적이나 인종 같은 것으로, 그런 것으로 구분하지 않고…… 20 제429회-과학기술정보방송통신제18차(2025년12월2일)

지금 회사 직원을 국적이나 인종 같은 것으로, 그런 것으로 구분하지 않고…… 20 제429회-과학기술정보방송통신제18차(2025년12월2일)

제가 지금 인종차별하고 있는 거예요?

제가 지금 인종차별하고 있는 거예요?

아니요, 그런 의미가 아닙니다. 제가 지금 위원님이 그런 말 씀을 하신다는 게 아니고 그런 식으로……

아니요, 그런 의미가 아닙니다. 제가 지금 위원님이 그런 말 씀을 하신다는 게 아니고 그런 식으로……

우리나라 국가공무원법상 국가 안보나 기밀 관련 분야에는 외국인이 종 사하지 못하게 되어 있습니다. 물론 기업에는 이 현행법이 적용되지 않습니다. 그럼에도 불구하고 이 이유는 뭡니까? 공무원법상 이렇게 국가 안보나 기밀 정보를 취급하는 업 무에 공무원으로 임명할 수 없는 것은 검증되지 않은 사람이 이 기밀 정보들에 접근할 수 없도록 차단하기 위함 아닙니까? 그런데 지금 우리 국민들의 민감한 정보를 다루는 보안 업무 부서에 중국인이 근무하 다가 이 사람이 퇴직하고서도 보안인증키, 기존에 사용하던 보안인증키로 외부에서 접속 해서 자료를 빼 갈 만큼, 수천만 명의 개인정보를 빼 갈 만큼 허술한 보안 시스템을 갖 추고 있는 이 쿠팡, 이런 상황에 국민들이 개인정보를 맡겼는데 앞으로…… 지금 현재는 누가 어떻게 관리하고 있는지, 어떤 사람이 관리하고 있는지 제가 요구하는 것이 잘못됐 습니까?

우리나라 국가공무원법상 국가 안보나 기밀 관련 분야에는 외국인이 종 사하지 못하게 되어 있습니다. 물론 기업에는 이 현행법이 적용되지 않습니다. 그럼에도 불구하고 이 이유는 뭡니까? 공무원법상 이렇게 국가 안보나 기밀 정보를 취급하는 업 무에 공무원으로 임명할 수 없는 것은 검증되지 않은 사람이 이 기밀 정보들에 접근할 수 없도록 차단하기 위함 아닙니까? 그런데 지금 우리 국민들의 민감한 정보를 다루는 보안 업무 부서에 중국인이 근무하 다가 이 사람이 퇴직하고서도 보안인증키, 기존에 사용하던 보안인증키로 외부에서 접속 해서 자료를 빼 갈 만큼, 수천만 명의 개인정보를 빼 갈 만큼 허술한 보안 시스템을 갖 추고 있는 이 쿠팡, 이런 상황에 국민들이 개인정보를 맡겼는데 앞으로…… 지금 현재는 누가 어떻게 관리하고 있는지, 어떤 사람이 관리하고 있는지 제가 요구하는 것이 잘못됐 습니까?

아니요, 위원님의 요구는 당연히 정당하다고 생각을 하고 있 습니다.

아니요, 위원님의 요구는 당연히 정당하다고 생각을 하고 있 습니다.

이게 정말 보안의 ABC도 안 지켜지고 있는 회사 아닙니까. 뭐 매출이 100억, 200억 되는 조그마한 회사입니까? 이 사태 책임 전적으로 쿠팡에게 있는 겁니다. 지금 이 사태 김범석 의장에게는 보고 됐습니까?

이게 정말 보안의 ABC도 안 지켜지고 있는 회사 아닙니까. 뭐 매출이 100억, 200억 되는 조그마한 회사입니까? 이 사태 책임 전적으로 쿠팡에게 있는 겁니다. 지금 이 사태 김범석 의장에게는 보고 됐습니까?

예, 이사회를 통해서……

예, 이사회를 통해서……

김범석 의장님의 입장은 뭡니까? 의장이 직접 사과 입장 표명할 의향이 있습니까?

김범석 의장님의 입장은 뭡니까? 의장이 직접 사과 입장 표명할 의향이 있습니까?

지금 이사회를 통해서 보고를 하고 있습니다.

지금 이사회를 통해서 보고를 하고 있습니다.

아직도 보고하고 있어요, 사태가 이 정도인데?

아직도 보고하고 있어요, 사태가 이 정도인데?

사건이……

사건이……

나의 개인정보, 범죄자에게 나의 집 주소까지 알려질 수 있다 이 공포가 얼마나 두려운지 아십니까? 대표님, 거꾸로 한번 생각해 보십시오. 어떤 범죄자가, 나를 노리는 어떤 범죄자가 내 집 주소까지 알고 있다, 공동현관 비밀번호까지 알고 있다, 이 게 얼마나 공포스러운지 아십니까?

나의 개인정보, 범죄자에게 나의 집 주소까지 알려질 수 있다 이 공포가 얼마나 두려운지 아십니까? 대표님, 거꾸로 한번 생각해 보십시오. 어떤 범죄자가, 나를 노리는 어떤 범죄자가 내 집 주소까지 알고 있다, 공동현관 비밀번호까지 알고 있다, 이 게 얼마나 공포스러운지 아십니까?

예, 잘 공감하고 있습니다.

예, 잘 공감하고 있습니다.

전기통신사업자지요, 쿠팡이?

전기통신사업자지요, 쿠팡이?

예, 맞습니다.

예, 맞습니다.

이용자 피해예방 의무 다해야 되는 기업 맞지요?

이용자 피해예방 의무 다해야 되는 기업 맞지요?

예, 그렇습니다.

예, 그렇습니다.

올해 통신 3사가 해킹 사고로 다 털리고 심지어 KT는 중국인 2명에게 농락당했는데 이런 소액결제 피해까지 당하면서, 이 일 있을 동안 쿠팡은 뭐 했습니까? 보안시스템하고 보안 실태에 대한 전면조사 한 적 있습니까? 없지요? (발언시간 초과로 마이크 중단) 제429회-과학기술정보방송통신제18차(2025년12월2일) 21 ………………………………………………………………………………………………………… (마이크 중단 이후 계속 발언한 부분) 차관님, 쿠팡이 전기통신사업자로서 의무를 다하지 못했을 경우에 그런 사실이 적발되 게 되면 어떤 처벌이 가능합니까?

올해 통신 3사가 해킹 사고로 다 털리고 심지어 KT는 중국인 2명에게 농락당했는데 이런 소액결제 피해까지 당하면서, 이 일 있을 동안 쿠팡은 뭐 했습니까? 보안시스템하고 보안 실태에 대한 전면조사 한 적 있습니까? 없지요? (발언시간 초과로 마이크 중단) 제429회-과학기술정보방송통신제18차(2025년12월2일) 21 ………………………………………………………………………………………………………… (마이크 중단 이후 계속 발언한 부분) 차관님, 쿠팡이 전기통신사업자로서 의무를 다하지 못했을 경우에 그런 사실이 적발되 게 되면 어떤 처벌이 가능합니까?

정보통신망법상 신고의무를 비롯해서 모든 조항 들은 해외 법인이라도 우리 국민, 이용자에게 미치는 영향이 있으면 다 적용 대상입니다.

정보통신망법상 신고의무를 비롯해서 모든 조항 들은 해외 법인이라도 우리 국민, 이용자에게 미치는 영향이 있으면 다 적용 대상입니다.

이걸 철저하게 규명을 해 가지고 엄정한 처분을 내려야 된다고 생각합 니다. 지금 통신 3사부터 쿠팡까지, 국가 전반이 사이버안보 비상사태입니다. 이것 이제 개별 기업들에게 맡길 상황이 아닌 것 같아요. 국가가 나서서 국내 주요 기업들에 대해 서 보안시스템이라든가 보안 실태를 전면조사 하도록 추진해야 된다고 생각합니다. 차관님, 어떻게 생각하십니까?

이걸 철저하게 규명을 해 가지고 엄정한 처분을 내려야 된다고 생각합 니다. 지금 통신 3사부터 쿠팡까지, 국가 전반이 사이버안보 비상사태입니다. 이것 이제 개별 기업들에게 맡길 상황이 아닌 것 같아요. 국가가 나서서 국내 주요 기업들에 대해 서 보안시스템이라든가 보안 실태를 전면조사 하도록 추진해야 된다고 생각합니다. 차관님, 어떻게 생각하십니까?

이번 기회에 더 엄정하게 조사해서 거기에 맞는 조치가 이루어지도록 하겠습니다.

이번 기회에 더 엄정하게 조사해서 거기에 맞는 조치가 이루어지도록 하겠습니다.

잘 관리 부탁드리고 합당한 조치를 취하기 바랍니다. 이상입니다. …………………………………………………………………………………………………………

잘 관리 부탁드리고 합당한 조치를 취하기 바랍니다. 이상입니다. …………………………………………………………………………………………………………

지금 이 순간, 이 시점에 김범석 의장은 어디 있습니까?

지금 이 순간, 이 시점에 김범석 의장은 어디 있습니까?

지금 해외, 각 글로벌 비즈니스를 담당하고 있습니다.

지금 해외, 각 글로벌 비즈니스를 담당하고 있습니다.

아니, 어디 있냐고요, 장소?

아니, 어디 있냐고요, 장소?

제가 지금 장소까지는 모르고 있습니다.

제가 지금 장소까지는 모르고 있습니다.

이상휘 위원님 질의하십시오.

이상휘 위원님 질의하십시오.

아니, 사태가 이만큼 심각한데도 실질 소유주인 김범석 의장의 거처를 지금 모르고 있다고 그러면 이게 말이 됩니까? 박대준 대표님, 박대준 사장님께서, 대표께서 여기에 나와서 이 질의에 응답하는 것 지 금 감당되겠습니까? 이게 감당된다고 보십니까? 3370만 명, 국민 4명 중 3명의 정보가 다 털렸어요. 매출 규모 40조입니다. 롯데마트, 이마트, 신세계 다 합쳐도 37조예요. 40조 대한민국에서 돈 벌어 가는 겁니다. 김범석 의장한테 보고하셨지요? 안 했으면 이것 문제입니다. 했었지요?

아니, 사태가 이만큼 심각한데도 실질 소유주인 김범석 의장의 거처를 지금 모르고 있다고 그러면 이게 말이 됩니까? 박대준 대표님, 박대준 사장님께서, 대표께서 여기에 나와서 이 질의에 응답하는 것 지 금 감당되겠습니까? 이게 감당된다고 보십니까? 3370만 명, 국민 4명 중 3명의 정보가 다 털렸어요. 매출 규모 40조입니다. 롯데마트, 이마트, 신세계 다 합쳐도 37조예요. 40조 대한민국에서 돈 벌어 가는 겁니다. 김범석 의장한테 보고하셨지요? 안 했으면 이것 문제입니다. 했었지요?

예, 이사회를 통해서 다 보고를 하고 있습니다.

예, 이사회를 통해서 다 보고를 하고 있습니다.

뭐라 하시던가요?

뭐라 하시던가요?

지금 현재 제가 사태 수습에 최선을 다하고 책임지고 할 수 있도록, 그렇게 제가 이사회에 보고했습니다.

지금 현재 제가 사태 수습에 최선을 다하고 책임지고 할 수 있도록, 그렇게 제가 이사회에 보고했습니다.

그 말이 다입니까, 대한민국 통째로 흔들어 놓고? 김범석 의장은 그게 이야기 다라던가요? 그러면 사과 한마디 없이 경영을 책임진 박대준 사장한테 나가서 총알받이 좀 하고 샌드백 좀 하고 오라 이 얘기입니까?

그 말이 다입니까, 대한민국 통째로 흔들어 놓고? 김범석 의장은 그게 이야기 다라던가요? 그러면 사과 한마디 없이 경영을 책임진 박대준 사장한테 나가서 총알받이 좀 하고 샌드백 좀 하고 오라 이 얘기입니까?

아니요, 그렇지 않습니다.

아니요, 그렇지 않습니다.

한국이 그렇게 우스워요? 이번 사건, 중국인 채용이지요? 중국인이라고 이야기 들었는데 맞지요?

한국이 그렇게 우스워요? 이번 사건, 중국인 채용이지요? 중국인이라고 이야기 들었는데 맞지요?

지금 여러 가능성을 열어 놓고 조사와 수사를 진행 중에 있 22 제429회-과학기술정보방송통신제18차(2025년12월2일) 습니다.

지금 여러 가능성을 열어 놓고 조사와 수사를 진행 중에 있 22 제429회-과학기술정보방송통신제18차(2025년12월2일) 습니다.

지금 추측에 의하면 그렇잖아요. 그렇지요? 생각을 해 보세요. 돈은 대한민국에서 벌고 채용은 중국인 하고 자선기금, 이익은 미국 에 가져가고. 나스닥에 상장했잖아요, 그렇지요? 오늘 자에 김범석 의장 기사가 나왔어요. ‘기형적 지배구조가 도마 위에 올랐다. 총수 지정 피하고 경영책임 회피했다’, 이것 보니까 제가 대한민국국민의 한 사람으로서 화가 나서 그래요. 기사 한 줄 읽어 드릴게요, ‘김범석 의장은 그러나 1년 전 5000억가량을 손에 쥐면서 200만 주를 자선기금에 증여하면서 국내 사회를 외면했다. 당시 자선기금 대부분이 미국 에 쓰인 것으로 알려졌다’. 국회 상임위에 나오라면 온갖 해 가지고, 대관 동원해서 다 빠지고. 사고 나니까 얼굴 도 안 보이고 대표이사 내보내 가지고 샌드백시키고, 이것 말이 됩니까? 한국 사회에 쿠팡이 기여한 게 뭡니까? 언어유희 같아서 그렇습니다마는 참 저희들도 자괴감이 듭니다. 배달의민족은 독일의 민족 된 지 오래고 쿠팡은 괴도 루팡 된 지 오래 입니다. 이래 가지고 대한민국에서 돈 벌겠다고요? 언어도단 아닙니까? 박대준 대표이사님, 이 자리 감당할 수 있습니까?

지금 추측에 의하면 그렇잖아요. 그렇지요? 생각을 해 보세요. 돈은 대한민국에서 벌고 채용은 중국인 하고 자선기금, 이익은 미국 에 가져가고. 나스닥에 상장했잖아요, 그렇지요? 오늘 자에 김범석 의장 기사가 나왔어요. ‘기형적 지배구조가 도마 위에 올랐다. 총수 지정 피하고 경영책임 회피했다’, 이것 보니까 제가 대한민국국민의 한 사람으로서 화가 나서 그래요. 기사 한 줄 읽어 드릴게요, ‘김범석 의장은 그러나 1년 전 5000억가량을 손에 쥐면서 200만 주를 자선기금에 증여하면서 국내 사회를 외면했다. 당시 자선기금 대부분이 미국 에 쓰인 것으로 알려졌다’. 국회 상임위에 나오라면 온갖 해 가지고, 대관 동원해서 다 빠지고. 사고 나니까 얼굴 도 안 보이고 대표이사 내보내 가지고 샌드백시키고, 이것 말이 됩니까? 한국 사회에 쿠팡이 기여한 게 뭡니까? 언어유희 같아서 그렇습니다마는 참 저희들도 자괴감이 듭니다. 배달의민족은 독일의 민족 된 지 오래고 쿠팡은 괴도 루팡 된 지 오래 입니다. 이래 가지고 대한민국에서 돈 벌겠다고요? 언어도단 아닙니까? 박대준 대표이사님, 이 자리 감당할 수 있습니까?

한국에서, 한국 비즈니스에 대해서, 한국 법인의 일에 대해서 는 제가 책임져야 된다고 생각을 하고 있습니다.

한국에서, 한국 비즈니스에 대해서, 한국 법인의 일에 대해서 는 제가 책임져야 된다고 생각을 하고 있습니다.

어떻게 책임지라고 하던가요, 김범석 의장이? 회사 실소유주잖아요. 70% 잖아요.

어떻게 책임지라고 하던가요, 김범석 의장이? 회사 실소유주잖아요. 70% 잖아요.

아니요……

아니요……

박대준 대표이사가 엄청난 손실을 책임지고서라도 대한민국국민에게 사 과하고 여기에 대한 손실 여부를 따지지 말고 보상하라 이렇게 지시했습니까, 안 했습니 까?

박대준 대표이사가 엄청난 손실을 책임지고서라도 대한민국국민에게 사 과하고 여기에 대한 손실 여부를 따지지 말고 보상하라 이렇게 지시했습니까, 안 했습니 까?

지금……

지금……

말을 하세요, 이사회에 보고를 했다면서. 3370만 명 다 털어 놓고 이사 회의 결정 사항을 이야기 못 한다는 게 이게 말이 돼요? 여기가 쿠팡 놀이터입니까? PPT 띄워 주세요. (영상자료를 보며) 개인정보 유출 사태 이게 심각한 겁니다. 정보 내란이에요. 상당수가 이게 중국인이라 는 주장 나왔어요. 직장인 익명 커뮤니티인데 이 블라인드에 올라온 글입니다. 이 글이 삭제가 됐는데 해당 글 보셨습니까? 여기에 IT 인력의 절반 이상이 중국인이고 매니저 는 90%라고 폭로를 했어요.

말을 하세요, 이사회에 보고를 했다면서. 3370만 명 다 털어 놓고 이사 회의 결정 사항을 이야기 못 한다는 게 이게 말이 돼요? 여기가 쿠팡 놀이터입니까? PPT 띄워 주세요. (영상자료를 보며) 개인정보 유출 사태 이게 심각한 겁니다. 정보 내란이에요. 상당수가 이게 중국인이라 는 주장 나왔어요. 직장인 익명 커뮤니티인데 이 블라인드에 올라온 글입니다. 이 글이 삭제가 됐는데 해당 글 보셨습니까? 여기에 IT 인력의 절반 이상이 중국인이고 매니저 는 90%라고 폭로를 했어요.

아니요, 전혀 사실이 아닙니다, 위원님.

아니요, 전혀 사실이 아닙니다, 위원님.

이게 사실 아니에요?

이게 사실 아니에요?

예, 압도적으로 한국인들이……

예, 압도적으로 한국인들이……

이것 보셨네요, 그러면?

이것 보셨네요, 그러면?

아니요, 제가 지금 화면 보여 주셔서 봤고요. 한국인이 압도 적인 비율로 많습니다. 제429회-과학기술정보방송통신제18차(2025년12월2일) 23

아니요, 제가 지금 화면 보여 주셔서 봤고요. 한국인이 압도 적인 비율로 많습니다. 제429회-과학기술정보방송통신제18차(2025년12월2일) 23

그런데 이 중국인이라는 말은 맞습니까? 수사 중이라고요?

그런데 이 중국인이라는 말은 맞습니까? 수사 중이라고요?

예, 지금 현재 수사 중이고……

예, 지금 현재 수사 중이고……

아니, 이에 대한 당사자가 중국인이라고 추정이 나오고 언론에 다 나오 는데 쿠팡에서 중국인인지 아닌지 아직 모르고 수사 중이다 이렇게 이야기하면 이게 국 회에 대한 예의입니까?

아니, 이에 대한 당사자가 중국인이라고 추정이 나오고 언론에 다 나오 는데 쿠팡에서 중국인인지 아닌지 아직 모르고 수사 중이다 이렇게 이야기하면 이게 국 회에 대한 예의입니까?

위원님, 그런 의미는 아니고요. 사실 여러 용의, 그러니까 여 러 가능성들을 검토하고 거기에 대해서 지금 현재 수사 중이기 때문에 제가 여기서 특정 을 하는 것도 좀 문제가 있다고 생각을 하고. 또 지금 2차 피해 방지를 위해서는 이 침 해자에 대한 검거나 정보의 회수도 중요하다고 생각하기 때문에 거기에 영향을 끼치고 싶지 않아서……

위원님, 그런 의미는 아니고요. 사실 여러 용의, 그러니까 여 러 가능성들을 검토하고 거기에 대해서 지금 현재 수사 중이기 때문에 제가 여기서 특정 을 하는 것도 좀 문제가 있다고 생각을 하고. 또 지금 2차 피해 방지를 위해서는 이 침 해자에 대한 검거나 정보의 회수도 중요하다고 생각하기 때문에 거기에 영향을 끼치고 싶지 않아서……

해당 내용이 사실과 다르다, 수사 중이다, 저희들이 이미 다 예상했어요, 대표이사가 뭔 얘기 할지. 다 예상했습니다. 그렇게 답변하지 마시고요. 지금 내부 폭로가 나왔는데 여기에 대해서 이것이 익명이든 사실과 다른 거짓 정보든 간에 이 사건이 워낙 매머드 한 사건입니다. 그렇기 때문에 실제 근로자 비율하고 진짜 복지 차이가 있는지 없는지 이것까지 자료 제출하세요. 그리고 왜 쿠팡의 한국 매출에 대한 비중을 공개 안 합니까? 80% 이상이라는 건 다 알고 있는데 돈 많이 벌었기 때문에 여기에 대해서 할 말이 없어서 그렇습니까?

해당 내용이 사실과 다르다, 수사 중이다, 저희들이 이미 다 예상했어요, 대표이사가 뭔 얘기 할지. 다 예상했습니다. 그렇게 답변하지 마시고요. 지금 내부 폭로가 나왔는데 여기에 대해서 이것이 익명이든 사실과 다른 거짓 정보든 간에 이 사건이 워낙 매머드 한 사건입니다. 그렇기 때문에 실제 근로자 비율하고 진짜 복지 차이가 있는지 없는지 이것까지 자료 제출하세요. 그리고 왜 쿠팡의 한국 매출에 대한 비중을 공개 안 합니까? 80% 이상이라는 건 다 알고 있는데 돈 많이 벌었기 때문에 여기에 대해서 할 말이 없어서 그렇습니까?

미국 증권거래소의 공시규정에 따라서 그렇게 공개를……

미국 증권거래소의 공시규정에 따라서 그렇게 공개를……

공시규정이 뭔데요?

공시규정이 뭔데요?

그러니까 공시규정에 따라서 지금 재무실적을 공개하다 보니 까 별도 구분해서 말씀드릴 수가 없다는……

그러니까 공시규정에 따라서 지금 재무실적을 공개하다 보니 까 별도 구분해서 말씀드릴 수가 없다는……

시장의 포지션은 이야기할 수 있잖아요. 그게 무슨 비밀입니까? 유추하 면 한국에서 돈 이만큼 많이 버는데 윤리적·도덕적으로 문제 있다, 이런 비난 피하시려 고 그러는 것 아닙니까?

시장의 포지션은 이야기할 수 있잖아요. 그게 무슨 비밀입니까? 유추하 면 한국에서 돈 이만큼 많이 버는데 윤리적·도덕적으로 문제 있다, 이런 비난 피하시려 고 그러는 것 아닙니까?

아니요, 전혀 그런 건 없습니다.

아니요, 전혀 그런 건 없습니다.

그렇게 보이는데 뭘.

그렇게 보이는데 뭘.

황정아 위원님 질의하십시오.

황정아 위원님 질의하십시오.

대전 유성을 황정아 위원입니다. 박대준 대표이사님 질의드리겠습니다. SK텔레콤에 이어서 KT, 롯데카드까지 지금 대한민국에서 이렇게 메가톤급 해킹 사태 가 연이어 발생하고 있는데요. 당시에 무슨 생각 하셨습니까?

대전 유성을 황정아 위원입니다. 박대준 대표이사님 질의드리겠습니다. SK텔레콤에 이어서 KT, 롯데카드까지 지금 대한민국에서 이렇게 메가톤급 해킹 사태 가 연이어 발생하고 있는데요. 당시에 무슨 생각 하셨습니까?

당연히 이런 사태를 예방하기 위해서 더 경각심을 가졌고, 결 국은 지금 상황에서 되게 참담하고 죄송합니다만 당시에 이런 일이 발생하지 않도록 내 부의 여러 가지 조치들을 취하고 있었습니다. 하지만 그게 좀 부질없어져서 지금 그 말 씀을 드리기가 상당히 송구합니다.

당연히 이런 사태를 예방하기 위해서 더 경각심을 가졌고, 결 국은 지금 상황에서 되게 참담하고 죄송합니다만 당시에 이런 일이 발생하지 않도록 내 부의 여러 가지 조치들을 취하고 있었습니다. 하지만 그게 좀 부질없어져서 지금 그 말 씀을 드리기가 상당히 송구합니다.

사실 쿠팡이 미국 기업인지 아시는 분은 별로 없으실 거예요. 쿠팡이 미 국 기업이라서 혹시 다른 나라, 연이어 대한민국에서 발생한 해킹 사태에 대해서 이것 다른 나라 얘기다 이렇게 생각하고 계셨던 건 아니고요?

사실 쿠팡이 미국 기업인지 아시는 분은 별로 없으실 거예요. 쿠팡이 미 국 기업이라서 혹시 다른 나라, 연이어 대한민국에서 발생한 해킹 사태에 대해서 이것 다른 나라 얘기다 이렇게 생각하고 계셨던 건 아니고요?

절대 그렇게 생각하지 않았습니다. 24 제429회-과학기술정보방송통신제18차(2025년12월2일)

절대 그렇게 생각하지 않았습니다. 24 제429회-과학기술정보방송통신제18차(2025년12월2일)

지금 대한민국국민을 얼마나 우습게 알면, 아까 쿠팡 사과문 얘기 나왔 었는데요. 모바일로도 PC로도 아무 데도 눈을 씻고 찾아봐도 지금 안 보여요. 아까 배너 있다고 하셨는데 배너 있나요, 지금?

지금 대한민국국민을 얼마나 우습게 알면, 아까 쿠팡 사과문 얘기 나왔 었는데요. 모바일로도 PC로도 아무 데도 눈을 씻고 찾아봐도 지금 안 보여요. 아까 배너 있다고 하셨는데 배너 있나요, 지금?

아니요, 아까……

아니요, 아까……

사과문 어디로 갔습니까?

사과문 어디로 갔습니까?

지금 이메일을 통해서 개별적으로 다시 사과문과 함께 내용 을 최대한 빨리 보내도록 하겠습니다.

지금 이메일을 통해서 개별적으로 다시 사과문과 함께 내용 을 최대한 빨리 보내도록 하겠습니다.

그러니까 공지는 내려간 거지요? 어디에 숨겨져 있는 것도 아니고 어디 에도 없는 거지요, PC·모바일 어디에도? 잠깐 있다 사라진 거지요? 있습니까, 지금 홈페 이지 어딘가에?

그러니까 공지는 내려간 거지요? 어디에 숨겨져 있는 것도 아니고 어디 에도 없는 거지요, PC·모바일 어디에도? 잠깐 있다 사라진 거지요? 있습니까, 지금 홈페 이지 어딘가에?

지금은 없는 것 같습니다.

지금은 없는 것 같습니다.

당연히 잘 보이는 데 있어야 되는 것 아닙니까, 이 엄중한 사태에? 왜 안 보이게 해 놓은 겁니까? 이해가 안 되는데요.

당연히 잘 보이는 데 있어야 되는 것 아닙니까, 이 엄중한 사태에? 왜 안 보이게 해 놓은 겁니까? 이해가 안 되는데요.

지금……

지금……

사과문 공지 올리셔야 될 것 같습니다. 그렇지 않습니까?

사과문 공지 올리셔야 될 것 같습니다. 그렇지 않습니까?

다각적인 방법으로 소비자들의 불안을 덜어 드릴 수 있도록 계속 노력을 하겠습니다, 위원님.

다각적인 방법으로 소비자들의 불안을 덜어 드릴 수 있도록 계속 노력을 하겠습니다, 위원님.

이러니까 국민을 우롱한다는 말이 나오는 것 아닙니까? 대표님, 지금 3370만의 고객이 피해를 받았습니다. 쿠팡 전체 가입자 수는 몇 명입니 까?

이러니까 국민을 우롱한다는 말이 나오는 것 아닙니까? 대표님, 지금 3370만의 고객이 피해를 받았습니다. 쿠팡 전체 가입자 수는 몇 명입니 까?

지금 사람의 유니크한 숫자로 관리하지 않고 아까 한번 말씀 드린 대로 계정 수로 관리를 하다 보니까 몇 명인지 정확하게……

지금 사람의 유니크한 숫자로 관리하지 않고 아까 한번 말씀 드린 대로 계정 수로 관리를 하다 보니까 몇 명인지 정확하게……

가입자 전체의 몇 %나 해당될까요, 이번의 피해자가? 거의 99%에 해당 하지 않을까요? (영상자료를 보며) 이 숫자는 실제로 우리나라 60대 중반 이하의 성인 인구수 전체에 해당하는 수준입니 다. 이러면 사실상 대한민국에서 구매력이 있는 가입자 수 전원이 다 유출된 것이라고 봐야 될 것 같은데요. 답변하세요.

가입자 전체의 몇 %나 해당될까요, 이번의 피해자가? 거의 99%에 해당 하지 않을까요? (영상자료를 보며) 이 숫자는 실제로 우리나라 60대 중반 이하의 성인 인구수 전체에 해당하는 수준입니 다. 이러면 사실상 대한민국에서 구매력이 있는 가입자 수 전원이 다 유출된 것이라고 봐야 될 것 같은데요. 답변하세요.

예, 상당 부분 해당이 될 거라고 생각을 하고 있습니다.

예, 상당 부분 해당이 될 거라고 생각을 하고 있습니다.

상당 부분이 뭡니까? 그렇게 애매모호한 답변이 어디 있습니까? 지금 이름, 이메일 주소, 배송지 주소록, 전화번호 그다음에 일부 주문 정보까지 계정 숫자가 아니라 개인정보 숫자로 건당으로 본다면 수억 건의 개인정보가 유출된 것으로 보입니 다. 맞습니까?

상당 부분이 뭡니까? 그렇게 애매모호한 답변이 어디 있습니까? 지금 이름, 이메일 주소, 배송지 주소록, 전화번호 그다음에 일부 주문 정보까지 계정 숫자가 아니라 개인정보 숫자로 건당으로 본다면 수억 건의 개인정보가 유출된 것으로 보입니 다. 맞습니까?

예, 데이터 숫자로는 그렇게 계산될 수 있습니다.

예, 데이터 숫자로는 그렇게 계산될 수 있습니다.

발표된 5개 항목 수를 그냥 단순 곱하기만 해 봐도 1억 5000만 개예요. 그렇지요?

발표된 5개 항목 수를 그냥 단순 곱하기만 해 봐도 1억 5000만 개예요. 그렇지요?

예.

예.

명수가 아니라, 이걸 3370만이라고 퉁치시면 안 됩니다. 이 고객들의 개 제429회-과학기술정보방송통신제18차(2025년12월2일) 25 인정보 하나하나 건수로 밝히지 않으면 이것은 사건을 축소하려는 의도가 있다라고 생각 될 수밖에 없어요. 추후에 몇 건의 개인정보가 건수로 유출되었는지 저희 의원실로 보고 해 주세요.

명수가 아니라, 이걸 3370만이라고 퉁치시면 안 됩니다. 이 고객들의 개 제429회-과학기술정보방송통신제18차(2025년12월2일) 25 인정보 하나하나 건수로 밝히지 않으면 이것은 사건을 축소하려는 의도가 있다라고 생각 될 수밖에 없어요. 추후에 몇 건의 개인정보가 건수로 유출되었는지 저희 의원실로 보고 해 주세요.

예.

예.

쿠팡이 대규모 해킹 사태가 발생한 후에 지금 보여 주는 행태들은 자신 들의 위법행위를 가리기 위한 악의적인 물타기로 점철되었다라고 볼 수밖에 없습니다. 첫 번째, 쿠팡은 이미 본인들의 취약 지점을 파악하고 있었습니다. 미국 증권거래위원 회에 올해 2월 쿠팡이 제출한 보고서에 따르면 사이버보안 취약 지점으로 자사 직원 유 출 가능성을 이미 점치고 있었습니다. 지난해 2월에도 똑같이 유출 가능성을 보고했었습 니다. 이 보고서 내용 알고 계십니까?

쿠팡이 대규모 해킹 사태가 발생한 후에 지금 보여 주는 행태들은 자신 들의 위법행위를 가리기 위한 악의적인 물타기로 점철되었다라고 볼 수밖에 없습니다. 첫 번째, 쿠팡은 이미 본인들의 취약 지점을 파악하고 있었습니다. 미국 증권거래위원 회에 올해 2월 쿠팡이 제출한 보고서에 따르면 사이버보안 취약 지점으로 자사 직원 유 출 가능성을 이미 점치고 있었습니다. 지난해 2월에도 똑같이 유출 가능성을 보고했었습 니다. 이 보고서 내용 알고 계십니까?

예, 알고 있습니다.

예, 알고 있습니다.

그 당시에 어떤 조치 했습니까?

그 당시에 어떤 조치 했습니까?