올해 SK텔레콤, KT 등 대형 통신사의 고객정보 유출 쇼킹에 이어 국내 이커머스 1위 쿠팡에서 3379만 명의 개인정보 노출 사태가 발생해 또 다시 개인정보 유출에 대한 충격파가 확산되고 있다.
3379만 명의 개인정보는 성인 4명 중 3명의 개인정보가 털린 '역대 최대 규모'의 정보유출 사고로 사실상 쿠팡 가입자 전체 정보가 유출됐다고 봐도 무방하다. 정부는 올해 초부터 연이어 터지는 대기업의 정보유출 사태에 긴급대책 마련에 나섰고, 여야 모두 진상규명과 제도 개선을 요구했다. 특히 야당인 국민의힘은 정부 대응을 두고 '국정조사'를 요구하며 날을 세웠다.
문제는 개인정보 '접근'이 외부 해킹에 의한 것인지, 내부 직원의 소행인지 아직 정확히 밝혀지지 않았다는 점이다. 정부도 대책회의 이후 '서버 해킹을 통한 정보 유출'인지 다른 공격 방식을 통한 범행인지는 단정하기 이르다고 밝혔다. 정부에 따르면 아직까지 쿠팡 서버에서 발견된 악성코드는 없다.
현재로선 회사를 퇴사한 중국인의 소행일 가능성이 커지면서 경찰은 쿠팡이 임의 제출한 서버 기록 등 관련 자료를 토대로 유출자를 추적 중이다. 특히 유출 직원이 '인증 업무'를 담당했던 것으로 알려지면서 쿠팡 측이 서명키를 제때 갱신하지 않아 발생한 유출로 밝혀진다면 '내부 관리 부실'과 '보안관리 미흡'에 따른 후폭풍이 거셀 것으로 보인다.
경찰은 정부 조사와 별개로 수사를 진행 중이다. 경찰은 쿠팡으로부터 서버 접근 기록과 관련 자료를 임의 제출받아 분석하고 있으며, 중국 현지 체류 가능성이 제기된 전 직원을 특정할 경우 국제 공조 수사도 검토할 방침이다.
앞서 지난 18일 쿠팡은 약 4500개 계정의 개인정보가 무단으로 노출된 사실을 인지했다고 밝혔지만 후속 조사 과정에서 노출된 계정 수가 3379만개로 확인됐다. 이 같은 유출 규모는 2011년 싸이월드-네이트의 정보 유출 사고인 약 3500만 명 사태 이후 최대치로 사실상 성인 인구 대부분이 피해자에 해당한다는 평가다.
멤버십 해지하고 집단소송…2차 피해 공포에 소비자 분통
온라인에선 멤버십 해지 인증 글과 함께 집단소송 참여자가 늘어나는 등 소비자 이탈이 빠르게 번지고 있다. 집단소송에 참여하는 인원도 최대 수십 만 명에 이를 것으로 전망된다.
1일 오전 기준 쿠팡을 상대로 한 집단소송을 준비하는 네이버 카페는 10개에 달한다. 가입자 규모는 더 커질 것으로 전망되며 올해 초 SK텔레콤, KT, GS리테일 등 대기업의 정보 유출 사고가 이어지며 소비자 불안이 최고조에 달한 상황에서 쿠팡 사태까지 겹치자 소비자들의 분노가 번지고 있는 모양새다.
소송 준비 카페에선 현재 대형 로펌과 상담 중이며 이번 달 중순 실제 소송 준비에 착수한다는 공지를 찾아볼 수 있다. 카페에 가입한 이들은 "개인정보가 공공재마냥 공유되는 것이 맞냐", "스팸 전화가 늘어난 게 쿠팡 때문인가", "보이스피싱 전화가 이틀에 한 번 꼴로 온다", "아침부터 070 전화가 온다", "외국 발신 문자가 엄청 온다", "쿠팡의 성의 없는 공지에 화가 난다" 등 회원 개인정보 유출에 대한 확실한 조치와 사과를 요구하며 집단소송 참여의사를 밝혔다.
정부 긴급회의 열고 철저한 사고조사…민관합동조사단 가동
정부는 쿠팡의 개인정보 유출 사태와 관련해 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 긴급회의를 열고 철저한 사고 조사를 약속했다.
배 부총리는 30일 오후 정부서울청사에서 관계 부처 긴급 대책회의를 열고 "국민들이 많이 이용하는 플랫폼까지 침해사고 및 개인정보유출이 발생해 송구하다"고 밝혔다.
그는 "정부는 지난 19일 쿠팡으로부터 침해 사고 신고를 받았고, 지난 20일 개인정보유출을 신고 받은 이후 현장 조사를 진행 중"이라고 설명했다.
이어 "공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 3000만 개 이상의 고객 계정의 고객명, 이메일, 발송지 전화번호 및 주소를 유출한 것으로 확인했다"며 "정부는 면밀한 사고조사 및 피해 확산 방지를 위해 금일부터 민관 합동 조사단을 가동하고 있다"고 전했다.
현재 정부는 쿠팡이 개인정보보호와 관련한 안전 조치 의무를 위반했는지 여부도 조사 중이다.
배 부총리는 "이번 사고를 악용해 피싱, 스미싱 공격을 통해 개인정보 및 금전 탈취 등 2차 피해가 발생하지 않도록 대국민 보안공지를 진행했고, 금일부터 3개월간 '인터넷상 개인정보 노출 및 불법유통 모니터링 강화 기간'으로 운영한다"고 전했다.
정부는 현재까지 쿠팡 서버에서 발견된 악성코드는 없다고 밝히면서도 서버 해킹을 통한 정보 유출인지 다른 공격 방식을 통한 범행인지는 아직 단정하기 이르다고 설명했다.
최우혁 과기정통부 네트워크정책실장은 "공격 방식이 다양하기 때문에 유출이다 해킹이다 단정적으로 말하긴 어렵다. 과거 특정 사례에서 내부자가 정보를 들고 나가는 케이스도 있었고 (인증) 계정을 가지고 하는 경우도 있었다"고 말했다.
정부는 쿠팡이 금융 정보가 유출되지 않았다며 정보 변경 필요가 없다고 밝혔지만 추후 조사 결과를 더 지켜봐야 하는 상황이라고 전했다. 국가 배후 해킹 공격 등 다양한 가능성을 모두 열어놓고 접근 중이다.
박대준 쿠팡 대표도 비공개로 진행된 회의 도중 합류해 회사 측이 파악한 사고 경위와 대응 현황을 정부에 보고했다.
박 대표는 이후 쿠팡 내 공지를 통해 "올해 6월 24일 시작된 쿠팡의 최근 사고에 유감을 표명한다"며 "국민 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과드린다"고 말했다.
"개인정보 갖고 있다" 쿠팡에 협박 이메일…경찰 추적 중
쿠팡은 '유출 정보를 공개하겠다'는 협박 이메일도 받은 것으로 확인됐다. 다만 협박 이메일에는 금전 요구는 없었던 것으로 알려졌다.
쿠팡 개인정보 유출 사건을 수사 중인 서울경찰청 사이버수사2대는 쿠팡 측이 "회원들의 개인정보를 보유하고 있다. 보안을 강화하지 않으면 유출 사실을 언론에 알리겠다"는 협박성 이메일을 받은 사실을 포착했다.
경찰은 이 이메일이 쿠팡 이용자들의 개인정보를 빼돌린 인물과 동일인이 보낸 것인지 추적 중이다.
경찰은 지난 21일 이 사건에 대해 입건 전 조사(내사)에 착수했으며, 25일 정보통신망법상 정보통신망 침입 혐의로 '성명불상자'를 수사해달라는 쿠팡의 고소장을 접수해 수사로 전환했다.
경찰은 28일 쿠팡 측 고소인 조사를 쳤으며 쿠팡으로부터 서버 기록 등 이번 사건과 관련한 자료를 임의제출 받아 분석 중이다.
![서울 송파구 쿠팡 본사. [사진=연합뉴스]](https://images-cdn.newspic.kr/detail_image/530/2025/12/1/980e0923-6324-417b-a7e5-deb50dd7c492.jpg?area=BODY&requestKey=L1SvO37V)
민주당 과방위 "플랫폼 기업 보안 체계 전면 재점검 할 것"
국회 과학기술정보방송통신위원회 소속 더불어민주당 의원들은 30일 쿠팡에서 대규모 정보유출 사고가 발생한 것과 관련해 "신속하고 단호히 점검해 나가겠다"고 밝혔다.
최민희 과방위원장을 비롯한 민주당 과방위원들은 성명을 내고 "이름, 연락처, 주소, 배송지 등 민감한 생활 기반 정보가 대규모로 노출된 만큼 이는 단순한 기술 사고를 넘어 국민의 신뢰를 근본적으로 훼손할 수 있는 중대한 사건"이라고 전했다.
이어 "고객 정보보호 관제와 사고 감지 체계가 사실상 작동하지 않았으며 기업의 최소한의 정보보호 의무조차 부실하게 수행해 온 결과"라며 쿠팡을 겨냥했다.
민주당 과방위원들은 "지난 정부에서 반복되는 해킹 사고에도 불구하고 근본적 대책을 마련하지 못해 보안 공백을 누적해 왔다"며 "이러한 위험이 결국 국민 피해를 키우는 결과로 이어졌다"고 주장했다.
그러면서 "정부와 민주당 과방위 위원들은 반복되는 보안 공백을 해소하기 위해 체계적이고 선제적으로 대응해 왔다"며 "정부와 긴밀히 협력해 유출 경위를 투명하게 규명하고, 피해자에 대한 실질적 지원과 2차 범죄 방지 조치와 개인정보를 대량 보유한 플랫폼 기업 전체에 대해 보안 체계를 전면 재점검하겠다"고 강조했다.
與최민희 "장기 유효 인증키 방치…정보유출은 예고된 인재"
최민희 의원이 쿠팡으로부터 받은 자료에 따르면 쿠팡의 개인정보 유출이 가능했던 이유는 인증 관련 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키가 장기간 방치됐기 때문인 것으로 드러났다.
최 의원이 1일 쿠팡으로부터 받아 공개한 자료를 살펴보면 쿠팡은 이번 해킹에 악용된 인증키 유효기간에 대해 "5~10 년으로 설정하는 사례가 많다는 걸로 알고 있다"며 "로테이션 기간이 길며 키 종류에 따라 매우 다양하다"고 답변했다.
최 의원실이 확인한 결과 쿠팡 로그인 시스템상 토큰은 생성 후 즉시 폐기돼야 함에도 불구하고 토큰 생성에 필요한 서명정보를 담당직원 퇴사 시 삭제하거나 갱신하지 않고 방치했고 이를 내부 직원이 악용한 것이다.
일회용인 인증 토큰은 생성과 폐기가 빠르면 1시간 이내로 완료되는 등 주기가 짧은데 이를 생성하기 위해 필요한 것이 서명키다. 쿠팡이 해당 직원 퇴사 후에도 서명키를 갱신하거나 삭제하지 않았다면 해당 직원이 인증 토큰을 악용해 데이터베이스(DB) 접속할 수 있게 된다.
최 의원은 "서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다"며 "장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아닌 인증체계를 방치한 쿠팡의 조직적, 구조적 문제의 결과"라고 지적했다.
그러면서 "KT 펨토셀 사태에서 드러난 장기 인증키 방치 문제가 쿠팡에서도 동일하게 재현된 것은 우리 기업들의 낮은 보안 책임 의식을 보여준다"며 "IT, 테크 기업들은 인증키 로테이션을 포함해 전반적인 보안체계를 긴급히 재정비해야 한다" 고 촉구했다 .
![국민의힘 송언석 원내대표가 1일 국회에서 열린 최고위원회의에서 발언하고 있다. [사진=연합뉴스]](https://images-cdn.newspic.kr/detail_image/530/2025/12/1/7f3993c0-93ac-4620-a85f-2f7161900c38.jpg?area=BODY&requestKey=L1SvO37V)
국힘 "쿠팡 개인정보, 중국으로 다 넘어가…특검·국조해야"
야당인 국민의힘은 쿠팡의 개인정보 유출을 지적하며 정부를 향해 철저한 조사를 요구했다.
국민의힘은 "개인정보 3400만 건이 다 중국으로 넘어갈 수도 있는 이런 엄중한 상황에 대해서 왜 말이 없나"며 "특별검사도 채택하고 국정조사도 당장 실시해야 한다"고 주장했다.
신동욱 최고위원은 1일 국회에서 열린 최고위원회의에서 "언론 보도를 보면 중국 직원의 소행으로 보인다는 얘기가 나오고 있다"며 "3370만 명 대한민국의 개인 정보를 가장 많이 가지고 있다고 해도 과언이 아닐 쿠팡의 개인 정보 문제에 대해서 정부가 그동안 전혀 몰랐나"라고 질타했다.
신 최고위원은 "과기정보통신부 장관은 정말로 언론 보도를 통해 알았나. 개인정보보호위원회는 언론 보도 전에 알았나. 국정원은 전직 중국인 쿠팡 직원이 3400만 명의 정보를 빼나가는데 아무도 몰랐다는 사실이 납득이 되지 않는다"고 비판했다.
이어 "이런 것이야말로 정말로 우리 과기정통부에서 또 개인정보보호위원회에서 몰랐는지 국정조사를 당장 실시해야 한다"고 밝혔다.
김민수 최고위원도 "중국인에 의한 해킹과 개인정보 유출 이미 위험 수위를 한참 넘었다"며 "개인 정보뿐 아니라 국내 주요 군사시설 정보까지 속속 털렸던 상황을 모두 기억하고 있다. 중국 국가정보법상 국가 지시가 있으면 모든 중국인은 정보활동에 협조해야 한다"고 말했다.
김 최고위원은 "이미 해외 주요국은 타국의 정보활동을 국가적 위협으로 규정한다. 오직 한국만 천하태평"이라며 "그럼에도 대한민국은 간첩죄조차 개정하지 못하고 있다. 간첩의 위협이 가장 많은 국가인 대한민국 이대로 괜찮겠나. 2024년 12월 민주당의 간첩죄 개정 반대로 간첩죄 개정이 불발됐다. 민주당이 또다시 간첩죄 개정을 막는다면 민주당도 공범"이라고 주장했다.
우재준 청년최고위원은 "국내 최대 플랫폼 기업 쿠팡에서 사실상 전 국민 규모의 이름, 주소, 전화번호 등의 생활 밀착형 개인 정보가 유출되는 초대형 보안 참사가 벌어졌다"며 "이재명 정부에서는 이러한 문제들을 기업의 보안 문제로 단순 치부하고 있지만 실제 사안은 더욱 중대할 수 있다"고 꼬집었다.
이어 중국발 사이버 공격 관련 사례를 언급하며 "지금이라도 당장 나서 중국 정부의 개인 정보를 유출한 중국인 직원에 대한 송환을 요청하고 수사 공조를 요구해야 하는 것 아닌가"라고 따져 물었다.
그는 "이재명 정부는 현실을 직시해야 한다. 지금 필요한 것은 기업에 대한 보여주기식 처벌이 아니라 정보보호 체계 전반의 재정비"라며 "필요하다면 중국을 포함한 외국에도 외교적 조치를 적극적으로 취해야 한다"며 정부 차원의 대응을 주문했다.
앞서 지난 30일 국민의힘 과방위원들도 성명을 내고 "대기업들이 정보보안을 도외시한 데다 정부와 법원의 미약한 제재가 사태를 키웠다"며 "개인정보 유출은 민생이자 국가 안보 문제로, 엄정한 책임 규명과 재발 방지 대책이 시급하다"고 주장했다.
참여연대 "정보 유출 책임져야…정부의 철저한 조사 필요"
쿠팡의 개인정보 유출 사태를 두고 참여연대는 이번 사태에 대해 쿠팡의 보상 대책 마련과 정부 차원의 철저한 조사를 촉구했다.
참여연대는 30일 논평을 내고 "미국기업 쿠팡은 미국에서 사업을 했어도 이렇게 허술하게 개인정보를 관리 했겠는가. 쿠팡은 피해를 입은 국민들에게 충분한 정보를 제공하고 납득할만한 보상대책을 내놔야 한다"고 전했다.
이어 "정부와 국회는 더 이상 생색내기 과징금에 그치지 말고, 조속히 집단소송법과 징벌적손해배상제도, 증거개시제도를 도입해 기업들의 책임을 강화하고 국민들이 제대로 된 피해구제를 받을 수 있도록 해야 한다"고 촉구했다.
그러면서 "무려 전 국민 3분의 2의 개인정보가 유출됐다. 주문조회나 배송정보에 기반한 스팸·스미싱 문자로 2차 피해가 우려되는 상황"이라며 "이 정도면 쿠팡 경영진은 본인들이 일으킨 갖은 사회적 논란에 대해 전 국민 앞에 고개 숙여 사죄하고, 전면적인 정책변화와 구조개혁을 약속해야 한다"고 주장했다.
정부에 대해서도 진상조사와 제대로 된 책임 규명, 피해자 보상대책 마련을 요구했다. 참여연대는 "쿠팡은 카드정보 등 결제정보는 유출되지 않았다고 밝혔지만 조사단은 이 부분에 대해서도 반드시 확인해야 한다"고 강조했다.
일부 언론 등에서 '중국 국적 출신 직원의 연루 의혹'을 제기한 데 대해선 우려를 나타내며 "이러한 의혹 제기가 쿠팡 측의 책임을 축소하기 위한 시도가 아닐지 매우 의심된다. 쿠팡은 민관합동조사단의 조사에 적극 협조하고 개인정보 보호체계를 어떻게 운용하고 있는지 철저히 밝혀야 한다"고 피력했다.
![1일 서울 시내 한 쿠팡 물류센터 인근에 차량이 주차돼 있는 모습. [사진=연합뉴스]](https://images-cdn.newspic.kr/detail_image/530/2025/12/1/24db84c4-08e6-42e3-8a87-4cab96582e32.jpg?area=BODY&requestKey=L1SvO37V)
언론사설, '보안 불감증' 전방위적 비판…노동 환경도 질타
쿠팡의 개인정보 유출 사고에 대해선 대다수의 언론이 기업의 허술한 관리 시스템과 안일한 대응을 질타했다.
조선일보는 1일 <쿠팡 3370만명 정보 유출, '보안 위험국' 된 한국> 이란 제하의 사설에서 "올해에만 SK텔레콤·KT를 비롯해 디올, 루이비통, 아디다스, GS리테일, 파파존스 등 여러 업종의 대표적인 기업들에서 고객 정보 유출 사고가 발생했다"며 "솜방망이 처벌이 기업들의 보안 의식을 안일하게 만들고 있다. 미국에서는 정보 유출 시 징벌적 손해배상과 집단소송으로 천문학적 배상을 받아낼 수 있다. 반면 한국은 피해자가 '금전 피해'를 직접 입증해야 하고 정신적 피해 배상액도 1인당 10만~20만원 수준에 그친다"며 제도적 개선을 촉구했다.
중앙일보는 1일 <3370만 정보 유출 쿠팡, 정보보호 국가 인증도 무색> 사설에서 "과학기술정보통신부와 개인정보보호위원회가 공동으로 운영하는 국내 유일의 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 쿠팡이 2021년과 2024년 두 차례 취득했는데도 정보유출 사고가 계속됐다"며 "이럴 거면 국가 인증제가 무슨 소용이냐는 불만이 나올 수밖에 없다. 개인정보 유출을 예방하겠다고 도입한 ISMS-P 인증 제도를 보완하거나 아예 새로운 제도가 필요한 건 아닌지 정부가 면밀하게 다시 검토할 때가 됐다"며 마찬가지로 제도 개선을 주문했다.
동아일보도 1일 <3370만 계정 털린 쿠팡…최악의 개인정보 유출 사태> 사설을 통해 "쿠팡은 2021, 2024년 두 차례 국가 공인 정보보호 인증인 ISMS-P를 취득했지만 인증 이후 이번까지 4번이나 개인정보 유출 사고를 겪었다"며 "SK텔레콤(2324만 명)과 롯데카드(297만 명) 역시 ISMS-P를 취득한 상태에서 올해 대규모 개인정보 유출 사건이 발생했다. 정부는 이번 사태를 유명무실해진 인증 제도를 전면 재점검하고 실효성 있는 개선 방안을 마련하는 계기로 삼아야 한다"며 제도 개선을 주장했다.
경향신문은 쿠팡의 노동 환경과 기업 윤리 문제까지 비판했다. 경향신문은 1일 <수천만 고객 정보까지 유출, '죽음의 일터' 쿠팡 엄벌하라> 에서 "과로사·산재 논란에도 침묵하며 '죽음의 일터'로 불리더니, 보안사고 예방·대응마저 뚫렸다. 기업 윤리와 사회적 책임 모두 총체적 문제 기업이 됐다"며 "쿠팡은 반노동 기업으로 악명이 높다. 11월에만 새벽 배송·물류 일 등을 하다 3명의 노동자가 사망했지만 숨진 노동자들의 주당 근무시간 등을 알리는 데 급급해하고 있다. 최근엔 노동자 건강권 보호를 위한 새벽배송 제한 요구가 커져도 침묵으로 일관하고 있다"고 비판했다.
한겨레는 1일 <쿠팡 3400만 고객정보유출, 관리 얼마나 허술했길래> 사설에서 "정부도 반복되는 유출 사고를 더 이상 방치해선 안 된다. 통신사와 금융사에 이어 플랫폼 기업까지 국민 대다수가 이용하는 곳에서 유출 사고가 끊이지 않고 있다"며 "주무부처 수장의 사과로만 끝낼 일이 아니다. 정부의 느슨한 관리감독과 솜방망이 제재가 기업의 정보보안 투자를 소홀하게 만든 것은 아닌지 다각도로 점검해야 한다. 좀 더 근본적이고 강력한 재발 방지 대책이 필요하다"며 계속되는 개인정보 유출 피해를 막기 위한 대책을 요구했다.
[폴리뉴스 김성지 기자]
Copyright ⓒ 폴리뉴스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
