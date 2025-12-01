쿠팡, 3370만명 개인정보 유출

이름, 이메일 주소, 배송지 주소록 등 해당



개인정보 접근 시작된 시점 지난 6월

쿠팡 매출 대비 보안 투자비 0.2%

◆ 3370만명

◆ 5개월간 대응 허술

◆ 0.2% 투자비

◆ 4차례 유출 사고

◆ 10월 퇴사 중국 직원

◆ 1조원 과징금?

◆ 11월 30일 사과

유통업계 1위 기업 쿠팡이 고객들의 개인정보를 유출했다. 그 규모는 3370만명에 달한다. 한국 성인 4명 중 3명의 정보가 온라인을 떠돌고 있다는 뜻이다. 온라인 커뮤니티에서는 '로그인 기록 확인하는 법', '개인통관고유부호 재발급 방법' 등이 인기글로 떠올랐다.쿠팡은 대표 명의의 사과문을 발표했지만 비판은 사그라지지 않고 있다. 수개월 전부터 탈취 시도가 있었지만 제대로 대처하지 않았다는 사실까지 알려지면서 신뢰도 하락을 피할 수 없을 것으로 보인다.쿠팡에서 3370만명의 개인정보가 유출됐다. 이름, 이메일 주소, 배송지 주소록(입력한 이름, 전화번호, 주소, 주문 정보 등이다. 카드 정보와 결제 정보, 패스워드 등 로그인 관련 정보는 유출되지 않았다고 밝혔다.앞서 쿠팡은 11월 20일 약 4500개 계정의 개인정보가 무단으로 노출된 사실을 처음 공개했다. 이후 후속 조사에서 추가 유출 사실이 드러났고, 11월 29일부터 해당 고객들에 유출 관련 안내를 시작했다.쿠팡 로켓 와우 고객 대부분의 개인정보가 유출됐으며 무료 이용 고객 일부도 여기에 포함된 것으로 보인다. 올해 3분기 기준 쿠팡의 로켓배송·로켓프레시·로켓그로스 등 프로덕트 커머스 부분 활성고객은 2470만명이다.쿠팡은 11월 20일 과학기술정보통신부, 한국인터넷진흥원과 개인정보보호위원회에 관련 내용을 신고했다.개인정보 접근이 시작된 시점은 지난 6월이다. 현재까지 조사에 따르면 해외 서버를 통해 2025년 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다. 탈취 시도는 5개월 전부터 발생했으며, 수개월에 걸쳐 정보가 유출됐을 가능성도 존재한다.현재 쿠팡은 무단 접근 경로를 차단했으며 내부 모니터링을 강화한 상태다. 쿠팡 측은 "독립적인 리딩 보안기업 전문가들을 영입했다"라며 "현재 조사가 진행 중이며, 쿠팡은 사법 기관 및 규제 당국과 지속적으로 협력하고 있다"고 밝혔다.이번 유출 사태로 쿠팡의 보안 관리가 제대로 되지 않고 있다는 점이 드러났다. 특히, 쿠팡의 매출 대비 보안 투자비는 0.2%에 그친다.쿠팡의 매출은 2022년 26조원 규모에서 지난해 41조2901억원으로 크게 증가했다. 반면 정보보호 투자비는 여전히 1000억원을 넘지 않는다. 한국인터넷진흥원 정보보호공시에 따르면 쿠팡의 연도별 정보보호 투자액은 △2025년 890억원 △2024년 660억원 △2023년 639억원 △2022년 535억원 등이다.쿠팡의 정보보호 투자 비중은 삼성전자와 KT에 이어 세번째 규모이며, 해마다 투자액을 늘리고 있지만 매출 대비 비중은 여전히 1%도 되지 않는다.쿠팡의 개인정보 유출 사고는 이번이 처음이 아니다. 강훈식 대통령 비서실장은 1일 쿠팡 개인정보 유출 사고와 관련해 "2021년 이후 4차례나 개인정보 유출 사고가 반복됐다. 우리 사회의 개인정보 보호 체계에 구조적 허점이 드러난 것"이라고 지적했다.쿠팡은 2021년 10월 앱 업데이트 테스트 과정에서 14건의 개인정보가 유출됐다. 고객의 이름 배송지 주소 등이다.또, 2020년 8월부터 2021년 11월 사이에는 쿠팡이츠 배달원 13만5000명의 개인정보와 판매자 시스템에서 2만2000여명의 주문자 및 수취원 개인정보가 유출됐다.2023년 12월에는 판매자 전용 시스템 '윙(Wing)' 로그인 시 특정 판매자에게만 보였어야 하는 주문자·수취인 2만2440명의 개인정보가 다른 판매자에게 노출됐다.이번 사고는 중국 국적 직원에 의한 것으로 알려졌다. 서울경찰청 사이버수사과는 1일 "11월 21일 입건 전 조사에 착수해 25일 고소장을 접수했고 현재 서버 로그와 협박 메일 발송 IP를 분석 중"이라며 "쿠팡이 지목한 중국 국적 전 직원을 포함해 여러 가능성을 열어두고 수사하고 있다"고 밝혔다.앞서 쿠팡은 중국인 직원이 쿠팡의 해외 서버를 통해 국내 메인 서버에 무단 접근해 고객 정보를 유출했다고 경찰에 신고했다. 국회 과학기술정보방송통신위원회가 쿠팡에서 제출받은 자료에 따르면 지난 10월 퇴사한 이 직원은 내부 인증 업무를 담당했다.해당 직원은 최근 일부 쿠팡 고객에게 최근 주문 목록, 전화번호 등 쿠팡 계정 정보를 촬영해 '당신의 개인 정보를 알고 있다' 내용의 협박성 이메일을 보냈다. 쿠팡은 이메일을 받은 고객의 항의 이후 자체 조사에 나섰다.쿠팡은 수천억원에 달하는 과징금을 받을 수 있다. 강훈식 대통령비서실장은 쿠팡 사태를 지적하며 "기업의 책임이 명백할 경우 징벌적 손해배상이 적용될 수 있도록 개선해달라"고 주문했다.지난 4월 SKT는 약 2324만명의 전화번호, 가입자식별번호, 유심 인증키 등 25가지의 개인정보를 유출해 개인정보보호위로부터 1348억원의 과징금 처분을 받았다. 역대 최대 규모다.쿠팡의 매출이 40조원 이상이라는 점을 고려할 때 과징금 규모는 SKT의 7~8배에 달할 가능성도 크다. 2020년 개보위는 개인정보 침해 사고를 낸 기업에 대한 과징금을 '법 위반으로 거둔 매출액의 3%'에서 '연간 총매출액의 3%'로 강화했다.매출의 3%로 계산하면 이번 유출 사고의 과징금은 1조2000억원에 달한다. 단, 과징금 규모는 이용자, 고객 정보 등 매출 발생 부분에 따라 결정된다.사태가 심각해지자 박대준 쿠팡 대표가 사과에 나섰다. 박 대표는 "올해 6월 24일 시작된 쿠팡의 최근 사고에 유감을 표명한다"라며 "국민 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과드린다. 모든 고객 정보를 보호하는 것은 쿠팡의 가장 중요한 우선순위다. 쿠팡은 이 의무를 매우 중요하게 생각하며, 종합적인 데이터 보호 및 보안 조치와 프로세스를 유지하고 있다"고 강조했다.이어 그는 "쿠팡은 향후 이러한 사건으로부터 고객 데이터를 더욱 안전하게 보호할 수 있도록, 현재 기존 데이터 보안 장치와 시스템에 어떤 변화를 줄 수 있는지 검토하고 있다"라며 "다시 한번 고객 여러분께 심려와 걱정을 끼쳐드려 진심으로 사과드린다. 앞으로도 쿠팡은 고객 정보의 안전과 보안을 최우선으로 생각하겠다"고 덧붙였다.최수진 기자 jinny0618@hankyung.com