쿠팡 3370만 건 정보유출, 5개월간 몰랐다

아침에 온 문자 한 통

"고객님의 개인정보가 비인가로 조회된 것으로 확인되었습니다."

2025년 11월 18일, 수많은 쿠팡 이용자들이 받은 문자 메시지다. 처음에는 4,500명. 그러나 11일 후인 11월 29일, 쿠팡은 충격적인 발표를 했다.

3,370만 건.

대한민국 성인 인구의 4분의 3에 해당하는 숫자다. 쿠팡 활성 이용자 수(2,470만 명)보다 많다. 사실상 쿠팡 전체 가입자의 정보가 유출된 것이다.

더 충격적인 것은, 유출은 6월 24일부터 시작됐다는 사실이다. 5개월간 기업은 몰랐고, 해커는 계속 정보를 빼갔다.

무엇이 유출되었나

확인된 유출 정보

• 이름
• 이메일 주소
• 전화번호
• 배송지 주소 (여러 주소록 포함)
• 최근 5건의 주문 정보

유출되지 않았다고 주장하는 정보

• 신용카드 정보
• 결제 비밀번호
• 로그인 비밀번호

쿠팡은 "결제 정보는 안전하다"고 강조했다. 그러나 개인정보보호위원회와 경찰의 추가 조사가 진행 중이며, 결과에 따라 피해 범위가 더 확대될 가능성도 배제할 수 없다.

어떻게 유출되었나: 보안의 ABC를 무시하다

1. 인증 취약점: 열려있던 뒷문

쿠팡은 "서버의 인증 취약점을 악용하여 정상적인 로그인 없이 정보에 접근했다"고 밝혔다.

개혁신당 이준석 대표는 SNS에서 이렇게 지적했다:

"내부 서버끼리만 쓰고 닫았어야 할 API가 황당하게도 일반 인터넷에서 누구나 접근 가능한 상태로 열려 있었다."

쉽게 말하면, 회사 내부용 시스템에 누구나 접속할 수 있는 뒷문이 활짝 열려 있었다는 뜻이다.

2. 장기 유효 인증키: 만료되지 않는 마스터키

전문가들은 "장기 유효 인증키 방치가 부른 인재"라고 지적한다.

엑세스 토큰이라는 일회용 인증키가 있었다. 원래는 짧은 시간 동안만 유효해야 하는데, 쿠팡의 토큰은 장기간 유효했다. 퇴사한 직원의 접근 권한도 제대로 회수되지 않았다.

이는 보안의 기본 원칙인 "최소 권한 원칙"과 "적시 접근 통제"를 모두 위반한 것이다.

3. 내부자 위협: 중국 국적 전직 직원

쿠팡은 중국 국적의 퇴직 직원을 용의자로 지목했다. 이 직원은 6월 24일부터 11월 8일까지 해외 서버를 통해 지속적으로 정보에 접근했다.

문제는 퇴사 후에도 시스템 접근이 가능했다는 점이다.

실제 사례:

• 11월 6일 오후 6시 38분: 비인가 접근 발생
• 11월 18일 오후 10시 52분: 쿠팡이 침해 사실 인지 (12일 경과)
• 인지 방법: 고객 민원으로 알게 됨 (자체 탐지 실패)

5개월간 몰랐다: 모니터링의 부재

가장 심각한 문제는 5개월간 유출을 감지하지 못했다는 점이다.

정상적인 보안 체계라면

1. 실시간 모니터링: 비정상적인 접근 패턴 즉시 감지
2. 이상 트래픽 탐지: 대량의 데이터 조회 알람
3. 접근 로그 분석: 퇴사자 계정 활동 차단

쿠팡은 이 모든 것을 놓쳤다.

이재명 대통령은 12월 2일 국무회의에서 질타했다:

"피해 규모가 약 3,400만 건으로 방대하기도 하지만, 처음 사건이 발생하고 5개월 동안이나 회사가 유출 자체를 파악하지 못했다는 것이 참으로 놀랍다. 이 정도인가 싶다."

기업의 책임: 법은 무엇을 요구하는가

개인정보보호법상 의무

정보보호 조치 의무 (제29조)

• 기술적·관리적·물리적 보호조치
• 위반 시: 5년 이하 징역 또는 5천만원 이하 벌금

유출 통지 의무 (제34조)

• 유출 인지 시 즉시 관련 기관 및 정보주체에게 통지
• 위반 시: 3년 이하 징역 또는 3천만원 이하 벌금

손해배상 책임 (제39조)

• 고의 또는 과실로 인한 정보 유출 시 손해배상
• 입증 책임: 기업이 무과실임을 입증해야 함

ISMS-P 인증의 허상

쿠팡은 정보보호·개인정보보호 관리체계(ISMS-P) 인증 기업이다.

이 인증은 기업의 정보보호 수준이 일정 기준 이상임을 보증하는 제도다. 그러나 이번 사건으로 인증 제도의 실효성에 의문이 제기되고 있다.

개인정보보호위원회는 12월 6일 발표했다:

• 인증기업에서 유출 사고 발생 시 특별 사후심사 실시
• 중대한 결함 확인 시 인증 취소 추진

무성의한 대응: 사흘짜리 사과문

쿠팡은 11월 29일 메인 페이지에 사과문을 게재했다. 그러나 사흘 만인 12월 2일, 사과문을 내렸다.

쿠팡이 11월 29일 올린 사과문. 사흘 만에 삭제됐다.

사과문이 사라진 자리에는 "오늘 밤 12시까지 주문해도 로켓배송은 내일 도착!" 광고와 연말 세일 광고가 자리를 차지했다.

3,370만 명의 개인정보가 유출된 사건에 대한 사과보다, 상품 판매가 더 중요했던 것일까?

후폭풍: 법적 책임은 어디까지

1. 형사 책임

서울경찰청 강제 수사

• 12월 9일: 사이버수사과 17명 투입, 쿠팡 본사 압수수색
• 혐의: 개인정보보호법 위반
• 대상: 쿠팡 및 관련자들

국회 청문회

• 12월 17일 예정
• 증인 소환: 김범석 의장, 박대준 대표, 강한승 전 대표, CISO 등

2. 행정 제재

과징금

• SK텔레콤 사례(2,700만 명 유출): 1,374억원
• 쿠팡의 경우 유출 규모가 더 크므로 과징금도 상회할 전망

영업정지 가능성

• 전자상거래법: 재산 손실 발생 시 영업정지 가능
• 과기정통부: "관계 기관과 적극 협의"

3. 민사 책임

미국 집단소송

• 미국 로펌 SJKP: 뉴욕 연방법원에 소송 제기
• 대상: 쿠팡 모기업 쿠팡 Inc.
• 청구: 징벌적 손해배상

국내 집단소송

• 다수 법무법인에서 소송 준비 중
• 1인당 수십만원 ~ 수백만원 배상 전망

4. 주가 폭락

• 12월 1일: 뉴욕 증시 시간외 거래 8% 폭락
• 정규장 마감: 전일 대비 5.3% 하락 ($26.65)
• 투자자들의 신뢰 추락

2차 피해: 당신은 안전한가

확인된 2차 피해 징후

비정상 로그인 시도

• 모르는 기기에서 로그인 기록
• 해외 IP에서의 접근 시도

스미싱·피싱 급증

• "쿠팡 보안팀입니다" 사칭 전화
• "개인정보 확인 필요" 문자 메시지
• 링크 클릭 유도 → 추가 정보 탈취 시도

신용카드 해외 결제 시도

• 일부 이용자: 해외에서 결제 시도 알림 수신

지금 당장 해야 할 3가지

1. 비밀번호 즉시 변경

• 쿠팡 계정 비밀번호
• 동일한 이메일/비밀번호 조합을 쓰는 다른 사이트도 모두 변경
• 강력한 비밀번호 사용: 대소문자+숫자+특수문자 조합, 12자 이상

2. 2단계 인증 설정

• SMS 인증 또는 OTP 앱 연동
• 비밀번호가 유출되어도 2차 방어선 확보

3. 개인통관고유부호 재발급

• 관세청 유니패스(https://unipass.customs.go.kr) 접속
• 기존 부호 폐기 후 재발급
• 해외직구 결제에 악용될 가능성 차단

추가 조치:

• 쿠팡 로그인 기록 확인 (설정 → 보안 → 로그인 기록)
• 의심스러운 문자/전화 무시 (쿠팡은 개인정보를 전화로 요구하지 않음)
• 신용카드 이용 내역 주기적 확인
• 보이스피싱 차단 앱 설치 (후스콜 등)

탈퇴는 왜 이렇게 어려운가

사건 이후 '탈팡(탈쿠팡)' 움직임이 거세다. 그런데 문제가 있다.

쿠팡 탈퇴 절차의 현실:

1. 앱에서는 탈퇴 버튼을 찾기 어려움
2. PC 웹에서 여러 단계를 거쳐야 탈퇴 가능
3. "정말 탈퇴하시겠습니까?" 재확인 반복
4. 쿠폰, 적립금 소멸 경고 팝업

방송미디어통신위원회 조사 착수

• 12월 4일: 계정 탈퇴 경로가 과도하게 복잡한지 긴급 조사
• 의도적으로 절차를 어렵게 만든 것 아니냐는 지적

이는 다크 패턴(사용자를 속이거나 조작하는 UI 디자인)에 해당할 가능성이 있다.

교훈: 기업은 무엇을 배워야 하는가

1. 보안은 비용이 아니라 생존의 문제

쿠팡의 시가총액은 약 50조원이다. 그런데 5개월간 해킹을 감지하지 못할 정도로 보안 시스템이 허술했다.

글로벌 보안기업 라드웨어는 2025년 4월 이미 경고했다:

"모바일 기반 e커머스 플랫폼을 겨냥한 공격이 급증하고 있다. 계정 탈취가 발생하면 브랜드 평판 훼손과 고객 이탈이 심각해진다."

SK텔레콤 사례의 반복

• 2024년 4월: 2,700만 명 정보 유출
• 과징금 1,374억원
• 쿠팡: 불과 7개월 후 더 큰 사고

국내 대기업들은 왜 같은 실수를 반복하는가?

2. 내부자 위협 관리

전체 보안 사고의 약 60%는 내부자에 의한 것이다. 특히:

퇴사자 계정 관리 실패

• 퇴사 즉시 모든 접근 권한 회수
• 정기적인 권한 점검
• 장기간 미사용 계정 자동 비활성화

최소 권한 원칙

• 업무에 꼭 필요한 최소한의 권한만 부여
• 민감 정보 접근은 승인 절차 필수
• 접근 로그 실시간 모니터링

3. 사고 대응 프로토콜

쿠팡의 실패:

• 5개월간 감지 못함 → 모니터링 부재
• 고객 민원으로 인지 → 자체 탐지 실패
• 11일 후에야 전체 규모 공개 → 초동 대응 실패

바람직한 대응:

1. 즉각 감지: 이상 징후 실시간 알림
2. 신속한 차단: 침해 경로 즉시 폐쇄
3. 투명한 공개: 피해 규모 솔직하게 통지
4. 적극적 보상: 2차 피해 방지 조치 + 손해배상

마치며: 개인정보는 새로운 석유다

"데이터는 21세기의 석유다."

그러나 석유와 달리, 개인정보는 한번 유출되면 회수 불가능하다.

쿠팡 사태는 단순한 한 기업의 보안 사고가 아니다. 우리 사회가 얼마나 취약한 디지털 인프라 위에 서 있는지를 보여주는 경고다.

3,370만 명의 이름, 주소, 전화번호가 어딘가에 있다. 지금 이 순간에도 누군가는 그 정보로 스미싱 문자를 보내고 있을지 모른다.

편리함의 대가가 이렇게 클 수는 없다.

기업은 고객의 정보를 맡은 것이지 소유한 것이 아니다. 그 책임을 다하지 못한다면, 시장에서 퇴출되어야 마땅하다.

우리에게 선택권은 있다. 탈퇴 버튼이 아무리 숨겨져 있어도, 찾을 수 있다.

존중받지 못한다면, 떠나면 된다.

---

참고자료 및 대응 채널

• 개인정보보호위원회 ☎ 118 (개인정보 침해 신고)
• 한국인터넷진흥원 개인정보침해신고센터 https://privacy.kisa.or.kr
• 경찰청 사이버안전국 ☎ 182
• 금융감독원 ☎ 1332 (금융 사기 피해 신고)
• 관세청 유니패스 (개인통관고유부호 재발급) https://unipass.customs.go.kr