정부와 민간 합동 조사팀은 쿠팡의 대규모 데이터 유출 사건에서 3367만 건의 사용자 기록이 유출된 것을 확인했다. 이는 쿠팡의 초기 주장인 3000건을 훨씬 초과하는 규모로, 회사 측의 지연 보고와 증거 보존 실패로 벌금과 추가 조사가 예고됐다.
2025년 11월 발생한 쿠팡 코리아의 데이터 유출 사건에 대한 합동 조사가 2026년 2월 10일 과학기술정보통신부 주도로 마무리됐다. 조사 결과, 3367만 명의 사용자 이름과 이메일 주소가 유출됐으며, 배송 목록 페이지가 1억 4800만 회 접근됐다. 이 페이지에는 이름, 전화번호, 배송 주소, 아파트 입구 비밀번호(익명화)가 포함됐다.
쿠팡은 처음에 3000건의 유출만 보고했으나, 나중에 16만 5000건을 추가로 인정했다. 그러나 이번 조사에서는 이 추가 건수도 제외된 3367만 건이 확인됐다. 해커들은 인증 시스템 취약점을 이용해 디지털 패스를 위조, 서버에 접근했다.
과학기술정보통신부는 쿠팡이 11월 17일 오후 4시에 유출을 인지했으나 19일 오후 9시 35분에야 보고한 점을 들어 24시간 보고 의무 위반으로 최대 3000만 원의 벌금을 부과할 계획이다. 또한 증거 보존 실패로 별도 조사를 지시한다. 쿠팡은 이달 말 재발 방지 대책을 제출해야 하며, 6~7월 검사를 받을 예정이다.
이 사건은 쿠팡 사용자 기반의 거의 전부를 영향을 미쳐 한국 인구의 3분의 2에 달하는 피해를 초래할 수 있다. 25.6테라바이트의 웹 접근 로그 분석을 통해 유출 규모가 밝혀졌다.
