2025년 11월, 국내 최대 이커머스 기업 쿠팡이 전례 없는 보안 사고를 겪었습니다. 고객 3370만 명의 이름, 이메일, 전화번호, 배송지 정보가 외부로 유출된 사건입니다. 이는 사실상 국내 대부분의 성인 인구가 포함된 수치로, 단순한 해킹을 넘어 ‘국가적 정보 유출’로 불릴 만큼 충격적인 사건이었습니다.
이번 사례를 통해 개인과 기업이 반드시 짚고 넘어가야 할 개인정보 보호의 핵심 포인트를 정리해보겠습니다.
1. “해킹”이 아니라 “노출”이라는 말의 의미
사고 초기 쿠팡은 “4500건 정도의 계정이 비정상 접근당했다”고 발표했습니다. 이후 정부 조사 결과, 3370만 명의 개인정보가 유출된 것으로 확인되면서 “유출”이 아닌 “노출”이라는 표현을 사용하며 피해 규모를 축소하려는 태도가 논란이 되었습니다.
이번 사건이 보여주는 첫 번째 교훈은, 기업이 사고를 어떻게 정의하느냐가 피해자와 사회의 신뢰에 큰 영향을 준다는 점입니다. “해킹”이든 “노출”이든, 사용자의 개인정보가 외부에 나간 사실 자체가 가장 중요한 문제입니다.
개인정보가 외부에 나갔다면, 그 경로가 해킹이든 내부자 소행이든, 피해자는 동일합니다.
2. 인증 절차의 허점이 빅데이터 유출로 이어졌다
정부 발표에 따르면, 공격자는 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 수천만 명의 계정 정보에 접근했습니다. 로그인 과정 자체가 뚫린 셈입니다.
이 과정에서 ‘액세스 토큰’이라는 인증 수단이 악용된 것으로 알려졌습니다. 액세스 토큰은 사용자가 로그인한 후 시스템 내에서 권한을 유지하기 위해 사용하는 일종의 ‘임시 열쇠’입니다. 이 열쇠를 탈취하거나 우회하는 방식으로, 해커는 마치 정상 사용자처럼 시스템 내부를 돌아다닐 수 있었습니다.
이처럼 기술적으로는 복잡해 보이지만, 핵심은 간단합니다. 로그인 절차가 제대로 보호되지 않으면, 수천만 명의 개인정보도 한순간에 노출될 수 있다는 사실입니다.
3. 내부자 소행 가능성과 기업의 책임
이번 사고는 중국 국적의 전 직원이 관련된 것으로 의심받고 있습니다. 해커가 내부 시스템에 접근할 수 있었던 배경에는, 권한 관리가 제대로 되지 않은 내부 시스템이 자리 잡고 있었을 가능성이 큽니다.
기업은 단순히 외부 해커만을 막는 보안 체계를 갖추는 것만으로는 부족합니다. 내부 직원이 접근할 수 있는 데이터의 범위, 접근 기록의 감사, 권한의 세분화 등이 함께 고려되어야 합니다.
내부자에 의한 정보 유출은 외부 공격보다 더 위험합니다. 왜냐하면 내부자는 시스템 구조를 잘 알고 있으며, 정상적인 접근 경로를 활용해 오랜 기간 동안 정보를 빼내갈 수 있기 때문입니다.
- 직원이 필요한 만큼만 데이터에 접근할 수 있도록 권한을 제한해야 합니다.
- 모든 접근 기록은 철저히 감사되어야 하며, 비정상적인 패턴은 즉시 탐지되어야 합니다.
- 퇴사한 직원의 접근 권한은 즉시 폐기되어야 합니다.
4. 3370만 명이 겪을 수 있는 2차 피해
이번 사고로 유출된 정보는 이름, 이메일, 전화번호, 배송지 주소입니다. 결제 정보나 카드 번호는 포함되지 않았다고 하지만, 이 정도 정보만으로도 충분히 위험한 상황이 벌어질 수 있습니다.
해커는 이 정보를 활용해 스미싱, 피싱, 보이스피싱, 타 사이트 계정 탈취 등 다양한 2차 공격을 시도할 수 있습니다. 예를 들어, “쿠팡에서 주문하신 물건이 배송됐습니다”라는 메시지를 보내 악성 앱을 설치하게 유도하는 사례도 이미 발생하고 있습니다.
또한, 같은 이메일과 비밀번호를 여러 사이트에 사용하는 경우, 한 곳에서 유출된 정보가 다른 사이트까지 위협할 수 있습니다. 이처럼 개인정보는 단순한 ‘정보’가 아니라, 개인의 삶 전체를 위협할 수 있는 ‘자산’입니다.
5. 개인이 할 수 있는 실질적인 보안 습관
기업의 보안 체계가 중요하지만, 개인도 스스로를 지킬 수 있는 방법이 있습니다. 이번 사고를 계기로 꼭 실천해볼 만한 보안 습관을 정리해보았습니다.
1. 비밀번호는 사이트마다 다르게
한 비밀번호를 여러 사이트에 공유하면, 한 곳에서 유출된 정보가 다른 계정까지 위협합니다. 중요한 사이트(이메일, 은행, 쇼핑몰 등)는 각각 별도의 강력한 비밀번호를 사용하는 것이 좋습니다.
2. 2단계 인증(2FA)은 기본
비밀번호 외에 추가 인증 수단(예: 문자, 앱, 보안 키)을 사용하는 2단계 인증을 활성화하면, 비밀번호가 유출되더라도 계정이 쉽게 탈취되지 않습니다. 이메일, SNS, 금융, 쇼핑 사이트 등 중요한 계정은 모두 2단계 인증을 켜두는 것이 안전합니다.
3. 의심스러운 메시지, 링크는 클릭 금지
쿠팡, 은행, 카드사 등을 사칭한 문자나 이메일은 절대 클릭하지 말고, 직접 공식 앱이나 웹사이트를 통해 확인하는 습관을 들여야 합니다. 특히 “주문 완료”, “배송 안내”, “보안 경고” 같은 메시지는 공격자가 가장 자주 사용하는 유형입니다.
4. 정기적으로 계정 활동 확인
자주 사용하는 사이트에서 최근 로그인 기록, 접속 기기, 주문 내역 등을 정기적으로 확인하면, 비정상적인 활동을 조기에 발견할 수 있습니다. 이상한 기기나 위치에서 로그인 기록이 보이면, 즉시 비밀번호를 변경하고 2단계 인증을 점검해야 합니다.
6. 기업이 지켜야 할 보안 원칙
개인의 노력도 중요하지만, 개인정보를 보관하는 기업의 책임은 훨씬 큽니다. 이번 쿠팡 사례를 통해 기업이 반드시 지켜야 할 보안 원칙을 정리해보면 다음과 같습니다.
- 사용자 데이터는 최소한으로 수집하고, 필요 이상으로 오래 보관하지 않습니다.
- 인증 절차는 정기적으로 점검하며, 토큰, 세션, 쿠키 등 인증 수단의 보안을 강화합니다.
- 내부 시스템에 대한 접근 권한은 ‘최소 권한 원칙’에 따라 엄격히 관리합니다.
- 모든 접근 기록은 철저히 로그로 남기고, 비정상적인 패턴을 실시간으로 감지할 수 있는 시스템을 운영합니다.
- 사고 발생 시에는 피해 규모를 축소하거나 미루지 않고, 투명하고 신속하게 공개합니다.
기업이 보유한 데이터는 단순한 ‘자산’이 아니라, 사용자의 ‘신뢰’입니다. 이 신뢰를 지키는 것이야말로 기업의 가장 중요한 보안 과제입니다.
7. 개인정보는 ‘내 것’이라는 인식이 필요하다
이번 사고를 보면서 느끼는 것은, 개인정보가 얼마나 쉽게, 그리고 얼마나 많은 사람에게 영향을 줄 수 있는지입니다. 3370만 명이라는 숫자는 단순한 통계가 아니라, 수천만 명의 이름, 전화번호, 집 주소가 외부에 노출된 현실입니다.
개인정보는 단순한 ‘정보’가 아니라, 개인의 삶과 안전을 지키는 핵심 요소입니다. 기업이 보호책을 마련하는 것도 중요하지만, 개인도 ‘내 정보는 내 것이며, 내가 지켜야 한다’는 인식을 갖는 것이 무엇보다 중요합니다.
개인정보 보호는 ‘남의 일’이 아니라, ‘나의 일’입니다.