국내 최대 전자상거래 플랫폼 쿠팡에서 약 3,370만 명에 달하는 고객 개인정보가 유출되는 사고가 발생했다.
이번 사태는 이름, 주소, 전화번호 등 핵심 정보가 포함되어 있어 2차 피해 우려가 커지고 있다.
쿠팡은 사고 인지 후 늑장 대응과 정보 공개 미흡으로 비판에 직면했다.
정부와 관계 기관은 민관합동조사단을 꾸려 사고 경위와 기업의 안전 조치 위반 여부를 조사 중이다.
피해 고객들은 자신의 정보 유출 여부를 확인하고, 추가 피해를 막기 위한 조치를 취해야 한다.
1.국내 최대 전자상거래 플랫폼, 개인정보 유출 사건의 전말
지난 2025년 11월, 국내 주요 전자상거래 기업 쿠팡에서 대규모 개인정보 유출 사고가 공식 확인되었다. 이번 사태로 약 3,370만 개의 고객 계정 정보가 외부로 유출된 것으로 파악되었다. 유출된 개인정보에는 고객의 이름, 이메일 주소, 휴대전화 번호, 배송지 주소, 그리고 일부 주문 내역이 포함된다고 쿠팡 측은 밝혔다. 그러나 신용카드 정보, 계좌 번호 등 결제 관련 정보와 비밀번호 등 로그인 정보는 유출되지 않은 것으로 알려졌다.
관계 당국 조사에 따르면, 정보 침탈 시도는 2025년 6월 24일부터 시작된 것으로 추정된다. 쿠팡은 초기에는 소규모 계정의 정보 노출을 인지했으나, 후속 조사를 통해 피해 규모가 크게 확대되었음을 확인했다. 이는 대규모 플랫폼의 보안 관리 시스템에 대한 심각한 의문을 제기하는 대목이다.
이번 사건의 원인으로는 서버 취약점 악용과 비인가 무단 접근이 지목되고 있다. 특히 쿠팡에 근무했던 중국 국적의 전 직원이 개인정보를 유출한 정황이 포착되어 서울경찰청 사이버수사대가 수사에 착수했다. 해당 직원은 이미 한국을 떠난 것으로 파악되어 수사에 난항이 예상된다.
2.대규모 정보 유출, 기업의 사회적 책임 논란 심화
쿠팡은 이번 대규모 개인정보 유출 사태 초기 대응 과정에서 여러 논란에 휩싸였다. 처음에는 약 4,500개 계정의 정보 유출을 인지했다고 발표했으나, 이후 조사 과정에서 3,370만 개 계정으로 피해 규모가 약 7,500배 이상 늘어났다. 또한, 쿠팡이 ‘유출’이라는 표현 대신 ‘노출’이라는 용어를 사용하며 사태의 심각성을 축소하려는 의도가 아니냐는 비판도 제기되었다.
기업의 내부 통제 실패와 늑장 대응 또한 도마 위에 올랐다. 쿠팡은 2021년과 2023년 두 차례 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 획득했음에도 불구하고, 반복적으로 개인정보 유출 사고가 발생했다. 과거에도 쿠팡은 배달원 개인정보 유출 등으로 여러 차례 과징금 및 과태료 처분을 받은 이력이 있어 보안 시스템의 구조적 결함에 대한 지적이 이어지고 있다.
이에 정부와 관계 기관이 즉각 대응에 나섰다. 개인정보보호위원회와 과학기술정보통신부는 민관합동조사단을 구성하여 사고 원인과 경위를 면밀히 분석하고 있다. 특히 개인정보보호법상 안전조치 의무 위반 사항이 확인될 경우 엄정하게 제재하겠다는 방침을 밝혔다. 이는 기업의 사회적 책임과 데이터 보안의 중요성을 강조하는 정부의 강력한 의지를 보여준다.
3.개인정보 유출, 피해 확인 및 대처 방안
자신의 개인정보 유출 여부를 확인하는 것은 2차 피해를 예방하는 첫걸음이다. 쿠팡은 이번 사건의 피해 고객들에게 이메일 또는 문자 메시지를 통해 관련 사실을 개별적으로 안내하고 있다. 따라서 고객들은 쿠팡으로부터 온 알림을 꼼꼼히 확인해야 한다. 혹시 알림을 받지 못했더라도, 스팸 메일함이나 차단된 메시지함을 확인하는 것이 바람직하다.
개인정보 유출이 확인되거나 의심되는 경우 즉각적인 보안 조치를 취해야 한다. 가장 중요한 것은 쿠팡 계정의 비밀번호를 변경하는 것이다. 다른 웹사이트와 동일한 비밀번호를 사용하고 있었다면, 이번 기회에 쿠팡 전용의 강력한 새 비밀번호로 바꾸는 것을 권장한다. 또한, 계정 보안 강화를 위해 2단계 인증 기능을 활성화하는 것이 필수적이다. 쿠팡 앱은 비밀번호 변경 시 ‘다른 기기 자동 로그아웃’ 기능을 제공하여 보안 강화에 효과적이다.
이번 유출된 정보가 스미싱이나 보이스피싱 등 2차 피해로 이어질 가능성이 높으므로 각별한 주의가 요구된다. 출처가 불분명한 문자 메시지나 이메일 내의 링크는 절대 클릭하지 말아야 한다. 특히 ‘피해보상 신청’이나 ‘환불’ 등을 미끼로 악성 URL 클릭을 유도하거나, 원격제어 앱 설치를 요구하는 경우는 100% 사기이므로 주의해야 한다. 의심스러운 연락을 받거나 피해가 발생했다면 한국인터넷진흥원(KISA)의 보호나라(www.boho.or.kr)나 경찰청 사이버범죄 신고 시스템을 통해 즉시 신고 및 상담을 받아야 한다.
4.피해 보상 논의와 법적 쟁점
이번 쿠팡 개인정보 유출 사태와 관련하여 피해 보상에 대한 요구가 확산되고 있으며, 집단 소송 움직임도 나타나고 있다. 과거 유사한 대규모 개인정보 유출 사건의 선례를 살펴보면, 법원에서 1인당 10만원의 위자료를 인정한 경우가 있다. 이러한 선례를 바탕으로 단순 계산할 경우, 이번 쿠팡 사태의 총 배상금은 약 3조 3,700억 원에 달할 수 있다는 관측이 제기된다. 이는 쿠팡의 지난해 연매출 규모와 비교될 만큼 상당한 액수다.
현행 개인정보보호법은 사업자가 안전 조치 의무를 위반하여 개인정보를 유출한 경우, 민사상 손해배상 책임을 부담할 수 있다고 명시한다. 피해자가 실제 손해액을 입증하기 어려운 상황을 고려하여 일정액을 추정 손해로 인정하는 ‘법정 손해배상’ 규정 또한 존재한다. 나아가 고의 또는 중과실이 인정될 경우 손해액의 몇 배까지 배상할 수 있는 ‘징벌적 손해배상’ 제도에 대한 논의도 활발하다. 시민 단체와 일부 법조계에서는 현행 제도만으로는 피해자 구제에 한계가 있다며 집단 소송제와 증거 개시 제도 도입을 통해 기업의 책임을 강화해야 한다고 주장한다.
쿠팡 측은 현재까지 구체적인 보상안을 제시하지는 않았다. 다만, 박대준 쿠팡 대표는 입장문을 통해 국민께 불편을 끼쳐 죄송하다는 뜻을 밝히며, 유출 범위와 내용을 명확히 확정한 후 재발 방지 대책과 함께 합리적인 보상 방안을 마련하겠다고 언급했다. 이에 따라 쿠팡이 자발적으로 보상에 나설지, 혹은 법정에서 판가름 날지 귀추가 주목되고 있다.
5.반복되는 정보 유출 사고, 기업의 근본적인 변화 촉구
쿠팡을 비롯한 국내 유통업계에서 개인정보 유출 사고가 잇따르고 있어 기업의 근본적인 데이터 보안 강화가 시급하다는 지적이 나온다. 기업은 고객 정보를 대량으로 수집하고 관리하는 만큼, 지속적인 보안 투자와 함께 내부 관리 시스템을 혁신해야 한다. 특히 기술적 보안 조치뿐만 아니라 임직원에 대한 보안 교육 강화 및 내부 통제 시스템 개선이 필수적이다.
이번 쿠팡 사태는 기업의 투명한 정보 공개와 신속한 피해 구제 방안 제시가 얼마나 중요한지 다시 한번 일깨워주었다. 고객과의 신뢰는 기업의 지속 가능한 성장을 위한 핵심 요소이기 때문이다. 정부는 이러한 대규모 개인정보 유출 사고가 재발하지 않도록 강력한 제재를 부과하고, 개인정보 보호 관련 법규 및 제도를 지속적으로 개선해야 할 책무가 있다.
결과적으로 기업은 정보 주체의 소중한 데이터를 보호하기 위한 책임을 다하고, 정부는 이에 대한 철저한 관리 감독을 통해 안전한 디지털 환경을 조성해야 한다. 이는 단순히 한 기업의 문제를 넘어 사회 전반의 디지털 신뢰를 구축하는 데 매우 중요한 과제이다.
