2025년 11월 말, 쿠팡이 공식 인정한 개인정보 유출 규모는 3,370만 명. 국내 인구(약 5,100만 명)의 3분의 2에 가까운 숫자다. 이름, 이메일, 휴대전화 번호, 배송지 주소, 공동주택 출입 비밀번호, 일부 주문 내역까지 빠져나갔다. 결제·카드 정보와 로그인 비밀번호는 유출되지 않았다고 회사는 설명하지만, 생활의 동선과 소비 패턴이 그대로 드러난 만큼 파장은 단순 금전 피해를 넘어선다.
올해 4월 SK텔레콤의 2,300만 명 유심 정보 유출을 훌쩍 뛰어넘었고, 2011년 싸이월드·네이트 3,500만 명 해킹에 필적하는 역대급 사고다. 무엇보다 이번 사건이 “외부 해커”가 아니라 내부자에 의한 장기 침입으로 드러나면서, 특정 기업의 실수를 넘어 한국 디지털 경제의 구조적 취약성을 드러내는 상징 사건으로 떠올랐다.
5개월간 방치된 침입, 뒤늦게 발견된 타임라인
사건의 시작은 2025년 6월 24일로 거슬러 올라간다. 쿠팡의 **중국 국적 전 직원(인증 시스템 개발자)**이 퇴사 후에도 남아 있던 접근 권한과 서명키(전자서명 비밀키)를 이용해, 해외 서버를 통해 쿠팡 메인 서버에 접속한 것이 출발점이었다. 그는 고객 로그인 과정에서 쓰이는 액세스 토큰이 아니라, 그 토큰을 만들어주는 장기 유효 서명키를 쥐고 있었고, 이를 활용해 정상 로그인 절차 없이 고객 정보를 반복 조회·다운로드한 것으로 드러났다.
쿠팡이 이상 징후를 처음 인지한 것은 5개월이 지난 11월 18일. 그것도 내부 모니터링이 아니라, 일부 고객에게
“당신의 쿠팡 주문 내역을 알고 있다”
는 내용과 함께 실제 주문 화면 캡처가 첨부된 협박 메일이 도착하면서였다. 초기 내부 조사에서 “4,500개 계정 노출”로 발표했던 쿠팡은, 정부 조사와 로그 분석이 이어지자 11월 29일 “3,370만 계정 유출”로 규모를 정정했다.
서울경찰청 사이버수사대는 인터폴 적색수배까지 검토하며 수사에 나섰지만, 피의자가 이미 중국으로 출국했고 중국의 ‘불인도 원칙’이 적용될 경우 실제 신병 확보는 쉽지 않다는 전망이 우세하다.
요약하면 이렇다.
퇴사한 내부자가 장기 유효 서명키를 쥔 채 해외로 나갔고, 그가 5개월 동안 3,370만 명의 정보를 빼내는 동안 쿠팡은 아무것도 눈치채지 못했다.
핵심 원인 – ‘한 명의 일탈’이 아니라 내부 통제의 붕괴
직접 실행자는 분명 한 명의 전 직원이다. 하지만 그가 이런 범죄를 저지를 수 있었던 토양은 쿠팡 내부의 보안·운영 관리 부실이다.
퇴사자 권한·서명키 미회수
개인정보보호법과 ISMS-P 기준에 따라, 퇴사·전보 시 계정 및 접근 권한은 즉시 회수해야 한다.
특히 서명키 같은 장기 유효 인증수단은 정기적으로 교체·폐기되어야 한다.
그럼에도 쿠팡은 핵심 인증 시스템 담당자가 퇴사했는데도 서명키를 살아 있도록 방치했다.
DLP·이상행위 탐지 시스템 미작동
수개월 동안 해외 IP에서 특정 키로 대량 조회가 이뤄졌다면, DLP·이상행위 탐지 시스템이 경보를 울렸어야 한다.
하지만 쿠팡은 처음부터 끝까지 이를 탐지하지 못했고, 고객 협박 메일로 거꾸로 사건을 알게 됐다.
‘노출’이냐 ‘유출’이냐, 단어 싸움
쿠팡은 고객 통지 문자에서 일관되게 “개인정보 노출”이라는 표현을 사용하며 사고의 성격을 축소하려 했다.
개인정보보호위원회와 국회는 이를 “명백한 유출”이라고 정정 요구했고, 뒤늦게 문구를 수정하는 해프닝까지 벌어졌다.
결국 이 사건은 “중국인 전 직원 1명의 일탈”이라기보다,
퇴사자 관리, 키 관리, 내부 모니터링, 위기 커뮤니케이션까지 회사 전체의 통제 시스템이 동시에 무너진 사건
에 가깝다.
‘로켓 성장’의 어두운 그림자 – 지배 구조와 규제의 공백
쿠팡은 10년 넘게 수조 원대 적자를 감수하며 ‘로켓 성장’ 전략으로 시장 지배력을 키워왔다. 그 과정에서 노동·안전 문제, 입점업체와의 불공정 거래 논란 등이 반복되었지만, 보안·개인정보 보호는 상대적으로 후순위에 머물렀다.
여기에 지배 구조와 규제의 공백이 겹쳤다.
이중 지배 구조
지배 회사는 미국 NYSE 상장사(쿠팡 Inc.), 한국 법인은 사실상 ‘운영 자회사’다.
한국에서 수천만 명이 피해를 봐도, 최고 의사결정권자는 미국에 있고 국내에서는 대표이사·CISO만 전면에 나선다.
해외 결제 알림, 이상 로그인 시도 캡처가 SNS에 공유되고, 070 번호·해외 번호 발신 스팸이 폭증했다는 제보가 이어진다.
통관번호·택배 정보 악용 우려
관세청 통관고유부호 변경 요청이 몰리면서 사이트 접속 장애가 발생했고, 일부 이용자는 “블프 직구를 앞두고 통관번호 재발급만 몇 시간”이라고 호소했다.
해외 플랫폼에서의 계정 거래
중국 타오바오·시엔위 등에서 한국인 명의 쿠팡 계정이 수천 원~수만 원에 거래되는 정황이 확인됐다.
판매자들은 “인증 완료 계정, 바로 로그인 가능”을 내세우고 있어, 쿠팡의 “로그인 정보는 안전하다”는 설명과도 괴리가 생긴다.
집단소송과 주가 충격
1인당 10만~20만 원 위자료를 목표로 한 집단소송 참여자는 이미 수십만 명 수준으로 추산된다.
뉴욕 증시에서 쿠팡 주가는 사건 직후 4~9% 하락하며, “성장 스토리의 신뢰가 깨졌다”는 평가를 받는다.
정부·정책 대응 – 최대 1조 원대 과징금, 징벌적 손배 시험대
현행 개인정보보호법은 위반 기업에 대해 **전년도 매출의 최대 3%**까지 과징금을 부과할 수 있다. 쿠팡의 연 매출이 약 38조 원임을 감안하면, 이론상 과징금 상한선은 1조 원을 넘어설 수 있다. 실제 부과액은 조사 결과와 감경 사유에 따라 달라지겠지만, 이미 SK텔레콤(1,348억 원)을 훌쩍 뛰어넘는 “역대 최대 과징금”이 거론된다.
이재명 대통령은 국무회의에서
“5개월 동안 유출 사실을 파악하지 못했다는 게 놀랍다. AI·디지털 시대 핵심 자산인 개인정보 보호에 대한 인식을 완전히 바꿔야 한다.”
며 과징금 상향과 징벌적 손해배상 제도 현실화를 지시했다.
이번 사건은, 종이에만 존재하던 징벌적 손배 규정과 매출연동 과징금이 실제로 어떻게 적용될지 시험하는 첫 사례가 될 가능성이 크다. 결과에 따라 기업들의 보안 투자와 경영진 책임 인식은 완전히 달라질 수 있다.
이미 유출은 끝났다 – 지금 개인이 할 수 있는 ‘최선의 방어’
중요한 사실은 하나다. 유출은 이미 벌어졌고, 정보는 다시 주워담을 수 없다. 그렇다면 개인은 지금 무엇을, 어디까지 해야 할까. 과도한 공포에 휘둘리지 않으면서도, 최소한의 방어선을 올리기 위한 현실적인 대응 가이드를 정리하면 다음과 같다.
계정 보안: “쿠팡만 바꾸면 끝”이 아니다
쿠팡 비밀번호 즉시 변경
영문 대·소문자, 숫자, 특수문자를 섞어 12자 이상으로 설정한다.
이름·생일·전화번호 일부 등 추측 가능한 패턴은 피한다.
“같은 비밀번호” 쓰는 다른 사이트도 전부 교체
쿠팡과 같은 비밀번호를 쓰던 이메일, 쇼핑몰, 금융 관련 사이트가 있다면 모두 바꿔야 한다.
해커 입장에서는 한 번 탈취한 비밀번호를 수십 개 사이트에 자동 대입하는 ‘크리덴셜 스터핑’ 공격이 일반적이다.
비밀번호 관리 도구 활용
서비스별로 모두 다른 비밀번호를 기억하기 어렵다면, 검증된 비밀번호 관리자(패스워드 매니저)를 이용하는 것도 방법이다.
한 개의 마스터 비밀번호를 길고 복잡하게 만들고, 나머지는 도구에 맡기는 편이 안전하다.
2단계 인증·로그인 알림 켜기
쿠팡 및 주요 서비스에서 가능한 범위 내에서
SMS·앱 푸시를 이용한 2단계 인증,
새로운 기기 로그인 알림 기능 을 활성화해두면, 이상 징후를 빨리 포착할 수 있다.
집·생활 동선: “공동현관 비밀번호”를 잊지 말자
이번 유출에서 특히 문제가 되는 부분이 공동주택 출입 비밀번호와 배송 메모다.
아파트 공동현관 비밀번호,
“택배는 현관문 앞에 두세요, 비밀번호는 ****입니다” 같은 메모,
특정 시간대에 집을 비우는 패턴
이 유출되면, 단순 스팸을 넘어 실제 침입·스토킹 위험으로 이어질 수 있다.
따라서,
공동현관·문앞 비밀번호 변경
경비실·관리사무소를 통해 공동현관 비밀번호 변경 여부를 확인하고, 가능하면 교체한다.
현관문 비밀번호도, 쿠팡·다른 쇼핑몰 메모에 쓴 적이 있다면 바꾸는 편이 안전하다.
‘배송 메모’ 정리
앞으로는 배송 메모에 비밀번호·자녀 정보·상세 생활 패턴 등 민감한 내용을 남기지 않는 습관이 필요하다.
“택배는 경비실에 맡겨주세요”처럼 상대적으로 안전한 방식으로 바꾸는 것도 고려할 만하다.
금융·통신: “이상 징후를 빨리 알아채는 것”이 핵심
현재까지 카드·계좌정보 유출은 확인되지 않았지만, 연락처·이름·주소만으로도 금융 사기 시도가 가능하다.
카드사·은행 알림 서비스 점검
모든 카드·계좌에 대해
결제·인출 즉시 알림(앱 푸시·문자)을 켜두고,
해외 결제·고액 결제 한도도 점검한다.
평소와 다른 국가·금액에서 결제가 시도되면 즉시 카드사에 연락해 정지·취소를 요청해야 한다.
명의도용·신용정보 모니터링 서비스 활용
국내 주요 신용정보사(예: 나이스, KCB 등)에서 제공하는
‘명의도용 방지 서비스’,
‘신용정보 변동 알림 서비스’를 활용하면, 모르는 대출·카드 발급을 비교적 빠르게 포착할 수 있다.
전화·문자는 “의심부터”
“본인 확인을 위해 OTP·보안카드 전체 번호를 알려달라”,
“앱을 설치해야 환불이 가능하다”,
“원격제어를 위해 화면을 공유해달라” 는 요청은 100% 사기라고 봐도 좋다. 금융기관·공공기관은 이런 방식을 쓰지 않는다.
스미싱·피싱 구분법: 링크를 타지 말고, 직접 들어간다
문자 링크 대신 직접 접속
“쿠팡 보상 신청”, “계정 보호 조치 안내” 등의 문자를 받았을 때,
문자 속 링크를 누르지 말고,
쿠팡 앱 또는 브라우저에서 직접 주소를 입력해 접속해 확인하는 것이 원칙이다.
앱 설치·파일 다운로드 요구는 차단
안드로이드 apk 설치, PC용 실행 파일 다운로드를 요구하면 즉시 차단해야 한다.
정식 앱은 구글 플레이·앱스토어에서만 받는다는 기본 원칙을 지켜야 한다.
의심 가는 연락은 118·공식 고객센터에 신고
한국인터넷진흥원(KISA) 118 상담센터는 24시간 무료로 보안·피싱 관련 상담을 제공한다.
애매하다 싶으면, 문자에 적힌 번호가 아니라 직접 검색한 공식 고객센터 번호로 전화해 확인하는 습관이 필요하다.
