2025년 11월, 쿠팡에서 사상 초유의 개인정보 유출 사건이 발생했습니다. 무려 3,370만 개에 달하는 고객 계정 정보가 노출되며 대한민국 전자상거래 시장에 충격을 주었는데요. 이번 글에서는 이 사건의 전말과 언론 보도에서 드러난 주요 쟁점들을 간결하게 정리해드리겠습니다.
목차
1. 사건 개요 및 유출 규모
쿠팡은 2025년 11월, 고객 개인정보 3,370만 개가 유출되었다고 공식 발표했습니다. 이는 국내에서 발생한 개인정보 유출 사고 중 최대 규모로, 사실상 쿠팡 이용 고객 대부분의 정보가 노출된 것으로 평가됩니다.
유출은 6월 24일부터 시작되어 약 5개월간 진행됐는데, 쿠팡은 이 사실을 인지하고도 늑장 대응했다는 비판을 받았습니다.
2. 유출된 개인정보 종류와 범위
노출된 정보는 대부분 민감한 개인 식별 정보로 다음과 같습니다.
- 고객 이름
- 이메일 주소
- 배송지 주소
- 배송지 전화번호
- 주문 이력 일부 포함
다만, 신용카드 번호나 결제 정보, 로그인 비밀번호 등 금융 정보는 유출되지 않은 것으로 확인되었습니다.
3. 사고 발생 배경과 문제점
조사 결과, 중국인으로 추정되는 쿠팡 퇴사자가 쿠팡 서버 인증 시스템의 취약점을 이용해 무단 접근한 것으로 추정됩니다. 공격자는 정상적인 로그인 절차를 거치지 않고 인증 토큰을 악용해 고객 데이터를 대량 조회했습니다.
“서명된 액세스 토큰을 악용해 접근한 것으로 추정되며, 고객 프로필 내 주문 이력과 배송 주소록이 포함되어 있다.” — 쿠팡 신고서 중 발췌
또한, 개인정보 유출이 6월 24일 이전부터 시작됐다는 의혹도 제기되었으며, 이미 이상 징후를 호소한 고객의 문의에도 쿠팡이 ‘유출 없음’으로 대응한 점이 공분을 샀습니다.
4. 기업 대응과 신고 절차
쿠팡은 유출 사실을 확인한 11월 20일에 개인정보보호위원회와 경찰 등에 신고했으며, 즉각 피해자들에게 유출 사실을 통지했습니다. 그러나 최초 유출 의심 시점과 신고 시점 간 5개월 간격과 늦장 대응에 대한 신뢰 훼손 우려가 큽니다.
한편, 탈퇴한 고객의 정보도 포함되어 있었는데, 법령에 따라 5년간 거래 기록을 보관하다 보니 발생한 문제입니다.
5. 논란 및 피해자 반응
많은 이용자가 ‘탈퇴한 지 오래된 내 정보까지 왜 유출되느냐’고 불만을 제기했습니다. 개인정보보호법은 개인정보를 분리·관리하도록 명확히 규정하고 있지만, 쿠팡은 비활성 계정과 활성 계정을 구분하지 않았다는 비판이 함께 제기됐습니다.
피해자들은 “개인정보가 대량으로 털렸는데도, 쿠팡이 초기 대응에서 문제를 은폐하려 한 것 아니냐”는 의구심도 표했습니다.
6. 정부 및 보안당국 대응
과학기술정보통신부와 개인정보보호위원회, 경찰청은 즉시 합동 조사에 착수했으며 쿠팡에 대한 특별 심사와 함께 ISMS-P 인증 제도의 전면 재검토를 예고했습니다.
- ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 강화
- 유출 사고 기업에 과징금 부과·인증 취소 가능성 증대
- 플랫폼 사업자에 대한 관리·감독 엄격화 추진
짧은 요점 정리
- 3370만 건 개인정보 유출, 고객 거의 대부분 피해 입음
- 주요 유출 정보는 이름, 이메일, 배송지 및 전화번호
- 중국인 퇴사자가 인증 취약점 이용해 무단 조회
- 유출 초기 경고 무시하며 5개월간 대응 지연
- 탈퇴 고객 정보도 포함돼 개인정보 관리 문제 심각
- 정부는 인증 제도 강화 및 엄격한 제재 예고