쿠팡 고객 3천만명 정보 유출…왜 5개월간 몰랐을까?
개인정보 유출, 내부자 범행이었다는 정황…소비자 불안 커져
약 3,370만 개에 달하는 쿠팡 고객 계정의 개인정보가 무단으로 유출되는 초대형 사건이 발생했습니다. 2025년 6월부터 해외 서버를 통한 접근이 있었음에도, 쿠팡은 무려 5개월 뒤인 11월에야 이를 인지하고 발표했습니다. 더 큰 문제는 이 유출이 외부 해커가 아닌 전직 내부 직원의 소행일 가능성이 높다는 점입니다. 고객 정보 보호에 대한 경각심이 그 어느 때보다 절실해졌습니다.
전례 없는 대규모 유출, 초기 대응부터 구멍
쿠팡 측은 유출 초기에 단 4,500명 규모라고 발표했지만, 9일 만에 사실상 모든 고객인 3,370만 계정으로 정정했습니다.
문제는 발표 이전에 이미 수개월간 정보가 외부로 빠져나갔다는 점입니다. 11월 6일 비인가 접근이 포착됐지만, 쿠팡이 이를 신고한 시점은 열흘이나 지난 11월 16일이었습니다.
고객들에게는 18일 저녁 문자로 통보됐고, 이 역시 유출 시점과 경위에 대한 설명은 없었습니다. 소비자 신뢰는 이미 큰 타격을 입었습니다.
유출된 정보는 무엇?…'결제 정보는 안전' 주장
이번에 유출된 정보는 다음과 같습니다.
- 이름
- 이메일 주소
- 전화번호
- 배송지 주소록 (수령인 정보 포함)
- 최근 5건의 주문 이력
반면, 쿠팡은 로그인 비밀번호, 결제 정보(카드 번호 등)는 안전하다고 밝혔습니다. 하지만 개인정보의 조합만으로도 보이스피싱 등 2차 피해 가능성이 있어 소비자 불안은 여전합니다.
내부자 소행? 전 직원의 비인가 접근 정황
사건의 핵심은 '외부 해킹'이 아닌 내부 인사로부터의 유출 정황입니다.
쿠팡은 중국 국적의 전 직원이 액세스 토큰을 이용해 장기간 고객 정보를 빼낸 것으로 보고, 서울경찰청에 고소장을 제출했습니다. 해당 직원은 현재 성명 및 신원불상 상태로 수사가 진행 중입니다.
기업의 인사 및 접근권한 관리에 대한 총체적인 부실이 드러났다는 평가가 나옵니다.
타임라인으로 보는 사건 전개
| 날짜 | 주요 내용 |
| 2025.06.24 | 해외 서버 통해 비정상 접근 시작 |
| 2025.11.06 | 최초 비인가 접근 포착 |
| 2025.11.16 | 쿠팡, 정부기관에 신고 |
| 2025.11.18 | 고객 문자 통보 시작 |
| 2025.11.29 | 피해 규모 전체 계정으로 정정 발표 |
| 2025.11.30 | 경찰 수사 착수, 고소장 접수 완료 |
고객 반응: 분노와 불안, 소송 움직임까지
이용자 반응은 격앙됐습니다. 한 커뮤니티에서는 "한 달도 아니고 5개월을 숨긴 것이 말이 되냐"며 집단 소송을 추진하자는 글이 확산 중입니다.
이번 유출은 과거 SK텔레콤 유출(2,300만명)을 넘어서는 규모로, 2차 피해 가능성 역시 매우 높은 상황입니다.
쿠팡의 조치…신속성·투명성 모두 부족했다
쿠팡은 한국인터넷진흥원(KISA), 개인정보보호위원회 등에 신고하고, 고객에게는 문자로 통보하며 계정 보호 조치를 권고했습니다.
하지만 "추가 행동은 필요 없다"는 식의 안내는 소비자 입장에서 책임 회피로 느껴질 수밖에 없습니다. 정확한 유출 시점조차 공개하지 않은 것도 투명성 부족 비판을 자초했습니다.
정부기관 조사와 향후 전망
개인정보보호위원회와 KISA는 쿠팡 측의 보안 관리 책임과 대응 과정을 집중 조사하고 있습니다.
서울경찰청 사이버수사대는 해당 사건의 수사를 진행 중이며, 내부 직원 소행 여부와 추가 공모자 유무 등을 확인할 예정입니다.
기업의 보안관리체계 전반을 들여다보는 계기가 될 수 있습니다.
사회적 파장과 소비자 보호 제도 개선 필요성
이번 사태는 단순 유출 사건을 넘어 기업의 정보보호 의무, 내부자 통제 시스템, 유출 대응 프로토콜의 중요성을 다시 상기시켰습니다.
재발 방지를 위해서는 법적 책임 강화는 물론, 소비자에 대한 실질적 피해 구제 방안이 제도적으로 마련돼야 합니다.
