쿠팡의 대규모 고객 정보 유출 사건과 관련해 수사 당국과 회사 조사 결과, 용의자로 지목된 중국 국적의 전 직원은 인증 시스템을 개발하던 정규직 직원으로 확인됐다고 박대준 쿠팡 대표가 2일 밝혔다.

회사 측은 해당 직원이 재직 중 보유하고 있던 인증용 암호키를 외부로 반출·악용해 인증 토큰을 생성, 장기간에 걸쳐 고객정보 접근에 이용했을 가능성이 크다고 보고 있다.

과학기술정보통신부는 이번 공격에 사용된 암호키가 인증용 토큰 전자서명에 악용됐으며, 현재까지 확인된 공격 기간은 2025년 6월 24일부터 11월 8일까지라고 설명했다. 쿠팡 최고정보보안책임자도 퇴사 후 접근 차단 절차가 있지만, 암호키 자체가 유출된 경우 토큰 생성 행위가 가능했을 것이라고 밝혔다.

현재까지 결제정보와 로그인 비밀번호 등 민감정보가 대규모로 유출되었다는 사실은 확인되지 않았으나, 수사·조사 과정에서 추가 피해 사실이 드러날 가능성이 있고 사전 대비가 필요하다는 지적이 나온다. 고려대학교 정보보호대학원 김승주 교수는 결제카드 삭제·비밀번호 변경 등 고객의 적극적인 사전 조치를 권고했다.