제22대 제429회 제18차 과학기술정보방송통신위원회 (2025년 12월 02일)

오늘은 쿠팡 침해사고 관련한 현안질의를 실시하도록 하겠습니다. 오늘 회의는 국회방송에서 생중계 중임을 알려 드립니다. 성원이 되었으므로 제429회 국회(정기회) 제18차 과학기술정보방송통신위원회를 개회 하겠습니다. 알려 드린 대로 쿠팡 침해사고 관련한 현안질의를 실시하도록 하겠습니다. 보고사항은 단말기 자료를 참고해 주시기 바랍니다. (보고사항은 끝에 실음) 의사일정에 들어가기 전에 국회사무처 인사로 우리 위원회에 새롭게 근무하게 된 직원 을 소개해 드리겠습니다. 김현우 방송통신정책조사관입니다. (인사) 새로 근무하게 된 직원께서는 위원님들의 의정활동을 잘 지원해 주시기 바랍니다. 아 울러 위원님들께서도 새 직원이 잘 정착할 수 있도록 도와주시기 바랍니다. 1. 현안 질의 - 쿠팡 침해사고 관련 (10시07분)

오늘은 쿠팡 침해사고 관련한 현안질의를 실시하도록 하겠습니다. 오늘 회의는 국회방송에서 생중계 중임을 알려 드립니다. 성원이 되었으므로 제429회 국회(정기회) 제18차 과학기술정보방송통신위원회를 개회 하겠습니다. 알려 드린 대로 쿠팡 침해사고 관련한 현안질의를 실시하도록 하겠습니다. 보고사항은 단말기 자료를 참고해 주시기 바랍니다. (보고사항은 끝에 실음) 의사일정에 들어가기 전에 국회사무처 인사로 우리 위원회에 새롭게 근무하게 된 직원 을 소개해 드리겠습니다. 김현우 방송통신정책조사관입니다. (인사) 새로 근무하게 된 직원께서는 위원님들의 의정활동을 잘 지원해 주시기 바랍니다. 아 울러 위원님들께서도 새 직원이 잘 정착할 수 있도록 도와주시기 바랍니다. 1. 현안 질의 - 쿠팡 침해사고 관련 (10시07분)

의사일정 제1항 현안질의를 상정합니다. 오늘 우리 위원회는 최근 발생한 쿠팡 침해사고와 관련하여 사건경위와 더불어 정부 대응과 기업의 명확한 책임소재를 확인하기 위해 현안질의를 실시합니다. 이번 사고는 국내 대표 전자상거래 플랫폼에서 대규모 개인정보가 무단 유출되었을 가 능성이 있는 사고입니다. 국민의 디지털 안전과 신뢰를 크게 훼손할 수 있는 중대한 사 2 제429회-과학기술정보방송통신제18차(2025년12월2일) 안입니다. 특히 거래 기반 플랫폼 사업자의 서비스 규모와 영향력을 고려할 때 단순한 기술적 문제를 넘어 기업의 보안 거버넌스와 정부의 감독체계 전반을 되돌아보아야만 하 게 만드는 사안입니다. 오늘 현안질의에서 쿠팡의 사전 보안관리 부실 여부, 사고 대응 과정의 문제점, 정부 감독 미비 등에 대해 집중적으로 점검할 수 있도록 하겠습니다. 오늘 현안질의가 국민의 디지털 안전을 강화하고 우리 사회의 개인정보 보호체계를 한 단계 더 발전시키는 계기가 되기를 바라며 아울러 오늘 현안질의에서 하는 답변들은 내 일 있을 정무위 위원들께서 이어서 심화 질문을 하게 될 것이라는 점을 말씀드립니다. 그러니까 답변을 사실에 기초해서 정확하게 해 달라는 당부말씀입니다. 오늘 현안질의에는 과기정통부와 한국인터넷진흥원 등 관계기관 담당자들이 참석하였 습니다. 또한 개인정보보호위원회 담당자와 쿠팡 관계자, 민간 전문가께서 자발적으로 참 석해 주셨습니다. 참고로 부총리는 국무회의가 있는 관계로 국무회의 이후에 참석하는 것으로 위원장과 양당 간사 간의 합의가 있었다는 점을 말씀드립니다. 오늘 현안질의에 출석하신 관계부처 및 일반 참석자를 소개해 드리겠습니다. 소개받으 신 분은 잠시 일어서서 인사하시고 앉아 주시기 바랍니다. 이정렬 개인정보보호위원회 부위원장이십니다. 박대준 쿠팡 대표이사이십니다. 브랫 매티스 쿠팡 정보보호최고책임자이십니다. 김승주 고려대학교 교수이십니다. (인사) 자발적으로 참석해 주신 모든 분들께 감사드립니다. 질의에 들어가기에 앞서 쿠팡 침해사고와 관련한 주요 경과와 현재 대응상황에 대한 보고를 받도록 하겠습니다. 류제명 과기정통부제2차관 나오셔서 보고해 주시기 바랍니다.

의사일정 제1항 현안질의를 상정합니다. 오늘 우리 위원회는 최근 발생한 쿠팡 침해사고와 관련하여 사건경위와 더불어 정부 대응과 기업의 명확한 책임소재를 확인하기 위해 현안질의를 실시합니다. 이번 사고는 국내 대표 전자상거래 플랫폼에서 대규모 개인정보가 무단 유출되었을 가 능성이 있는 사고입니다. 국민의 디지털 안전과 신뢰를 크게 훼손할 수 있는 중대한 사 2 제429회-과학기술정보방송통신제18차(2025년12월2일) 안입니다. 특히 거래 기반 플랫폼 사업자의 서비스 규모와 영향력을 고려할 때 단순한 기술적 문제를 넘어 기업의 보안 거버넌스와 정부의 감독체계 전반을 되돌아보아야만 하 게 만드는 사안입니다. 오늘 현안질의에서 쿠팡의 사전 보안관리 부실 여부, 사고 대응 과정의 문제점, 정부 감독 미비 등에 대해 집중적으로 점검할 수 있도록 하겠습니다. 오늘 현안질의가 국민의 디지털 안전을 강화하고 우리 사회의 개인정보 보호체계를 한 단계 더 발전시키는 계기가 되기를 바라며 아울러 오늘 현안질의에서 하는 답변들은 내 일 있을 정무위 위원들께서 이어서 심화 질문을 하게 될 것이라는 점을 말씀드립니다. 그러니까 답변을 사실에 기초해서 정확하게 해 달라는 당부말씀입니다. 오늘 현안질의에는 과기정통부와 한국인터넷진흥원 등 관계기관 담당자들이 참석하였 습니다. 또한 개인정보보호위원회 담당자와 쿠팡 관계자, 민간 전문가께서 자발적으로 참 석해 주셨습니다. 참고로 부총리는 국무회의가 있는 관계로 국무회의 이후에 참석하는 것으로 위원장과 양당 간사 간의 합의가 있었다는 점을 말씀드립니다. 오늘 현안질의에 출석하신 관계부처 및 일반 참석자를 소개해 드리겠습니다. 소개받으 신 분은 잠시 일어서서 인사하시고 앉아 주시기 바랍니다. 이정렬 개인정보보호위원회 부위원장이십니다. 박대준 쿠팡 대표이사이십니다. 브랫 매티스 쿠팡 정보보호최고책임자이십니다. 김승주 고려대학교 교수이십니다. (인사) 자발적으로 참석해 주신 모든 분들께 감사드립니다. 질의에 들어가기에 앞서 쿠팡 침해사고와 관련한 주요 경과와 현재 대응상황에 대한 보고를 받도록 하겠습니다. 류제명 과기정통부제2차관 나오셔서 보고해 주시기 바랍니다.

과기정통부2차관입니다. 쿠팡 침해사고 및 개인정보 유출과 관련한 대응 현황 및 향후 계획을 보고드리겠습니 다. 먼저 금년 통신사·금융사에 이어 국민들께서 많이 이용하시는 플랫폼사까지 침해사고 및 개인정보 유출로 국민들께 불편을 끼치게 된 점에 대해 송구하다는 말씀을 드립니다. 1쪽, 침해사고 대응 경과입니다. 지난 11월 19일 21시 35분 쿠팡으로부터 침해사고 신고가 최초 접수된 이후 과기정통 부는 22시 34분 침해사고 원인분석을 위한 자료 보전 및 제출을 요구하였습니다. 최초 신고 당시 유출 규모는 4536개 계정의 고객명, 이메일, 주소 등이었습니다. 한국 인터넷진흥원은 11월 21일부터 29일까지 현장조사를 통해 추가 피해여부를 파악하였습 니다. 지난 24년 7월부터 25년 11월까지 전수 로그 분석 결과 3000만 개 이상의 계정에서 정보가 유출된 것으로 판단되어 11월 29일 과기정통부·개인정보보호위원회 합동으로 대 응방안 긴급 언론보도와 2차 피해 방지를 위한 긴급 보안공지 등을 추진하였습니다. 제429회-과학기술정보방송통신제18차(2025년12월2일) 3 11월 30일 과학기술정보통신부는 침해 규모 및 국민 피해 발생 등을 고려하여 민관합 동조사단을 구성하는 한편 과기정통부, 국무조정실, 개인정보위 등 관계부처 간 긴급 장 관회의를 개최하고 대응방향을 논의하였습니다. 2쪽입니다. 현재까지의 조사 상황 및 향후 계획입니다. 공격자는 쿠팡 서버의 인증 취약점을 악용하여 정상적인 로그인 없이 고객 정보를 수 차례 비정상으로 접속하여 유출하였습니다. 이 과정에서 쿠팡 서버 접속 시 이용되는 인 증용 토큰을 전자서명하는 암호키가 악용되었습니다. 현재까지 공격이 식별된 기간은 25년 6월 24일부터 11월 8일까지이며 해당 기간에 무 단 조회된 피해 계정은 3000만 개 이상이며 유출된 정보는 고객명, 이메일, 배송지 전화 번호, 실제 주소 등으로 확인되었습니다. 다만 정밀조사를 통해 실제 피해 계정 숫자는 변동이 발생할 수 있습니다. 확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3000만 건의 개인 정보 유출을 주장하였습니다. 다만 현재 언론 등에서 언급되고 있는 공격자의 신상에 대 한 정보는 경찰 수사로 확인이 필요한 사항입니다. 앞으로 민관합동조사단을 통해 사고경위 및 쿠팡의 보안 문제점에 대해 면밀히 조사하 고 그 결과를 국민들께 투명하게 공개하겠습니다. 또한 유출 정보 등을 악용하여 스미싱 등의 2차 피해가 발생할 우려가 있어 2차 피해 발생 여부에 대한 모니터링을 강화하고 개인정보위·경찰청 등 유관기관과 공조하여 2차 피해를 방지해 나가겠습니다. 이상으로 보고를 마치겠습니다. 감사합니다.

과기정통부2차관입니다. 쿠팡 침해사고 및 개인정보 유출과 관련한 대응 현황 및 향후 계획을 보고드리겠습니 다. 먼저 금년 통신사·금융사에 이어 국민들께서 많이 이용하시는 플랫폼사까지 침해사고 및 개인정보 유출로 국민들께 불편을 끼치게 된 점에 대해 송구하다는 말씀을 드립니다. 1쪽, 침해사고 대응 경과입니다. 지난 11월 19일 21시 35분 쿠팡으로부터 침해사고 신고가 최초 접수된 이후 과기정통 부는 22시 34분 침해사고 원인분석을 위한 자료 보전 및 제출을 요구하였습니다. 최초 신고 당시 유출 규모는 4536개 계정의 고객명, 이메일, 주소 등이었습니다. 한국 인터넷진흥원은 11월 21일부터 29일까지 현장조사를 통해 추가 피해여부를 파악하였습 니다. 지난 24년 7월부터 25년 11월까지 전수 로그 분석 결과 3000만 개 이상의 계정에서 정보가 유출된 것으로 판단되어 11월 29일 과기정통부·개인정보보호위원회 합동으로 대 응방안 긴급 언론보도와 2차 피해 방지를 위한 긴급 보안공지 등을 추진하였습니다. 제429회-과학기술정보방송통신제18차(2025년12월2일) 3 11월 30일 과학기술정보통신부는 침해 규모 및 국민 피해 발생 등을 고려하여 민관합 동조사단을 구성하는 한편 과기정통부, 국무조정실, 개인정보위 등 관계부처 간 긴급 장 관회의를 개최하고 대응방향을 논의하였습니다. 2쪽입니다. 현재까지의 조사 상황 및 향후 계획입니다. 공격자는 쿠팡 서버의 인증 취약점을 악용하여 정상적인 로그인 없이 고객 정보를 수 차례 비정상으로 접속하여 유출하였습니다. 이 과정에서 쿠팡 서버 접속 시 이용되는 인 증용 토큰을 전자서명하는 암호키가 악용되었습니다. 현재까지 공격이 식별된 기간은 25년 6월 24일부터 11월 8일까지이며 해당 기간에 무 단 조회된 피해 계정은 3000만 개 이상이며 유출된 정보는 고객명, 이메일, 배송지 전화 번호, 실제 주소 등으로 확인되었습니다. 다만 정밀조사를 통해 실제 피해 계정 숫자는 변동이 발생할 수 있습니다. 확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3000만 건의 개인 정보 유출을 주장하였습니다. 다만 현재 언론 등에서 언급되고 있는 공격자의 신상에 대 한 정보는 경찰 수사로 확인이 필요한 사항입니다. 앞으로 민관합동조사단을 통해 사고경위 및 쿠팡의 보안 문제점에 대해 면밀히 조사하 고 그 결과를 국민들께 투명하게 공개하겠습니다. 또한 유출 정보 등을 악용하여 스미싱 등의 2차 피해가 발생할 우려가 있어 2차 피해 발생 여부에 대한 모니터링을 강화하고 개인정보위·경찰청 등 유관기관과 공조하여 2차 피해를 방지해 나가겠습니다. 이상으로 보고를 마치겠습니다. 감사합니다.

수고하셨습니다. 이제부터 본격적인 현안질의에 들어가도록 하겠습니다. 질의 시간은 7분으로 하겠습니다. 간사님, 7분으로 하겠습니다.

수고하셨습니다. 이제부터 본격적인 현안질의에 들어가도록 하겠습니다. 질의 시간은 7분으로 하겠습니다. 간사님, 7분으로 하겠습니다.

예.

예.