![쿠팡 본사. [사진=이뉴스투데이DB]](https://images-cdn.newspic.kr/detail_image/181/2025/12/3/e551e917-d12f-4323-9e18-67b9bc47f562.jpg?area=BODY)
[이뉴스투데이 박재형 기자] 국내 1위 대형 플랫폼 쿠팡에서 약 3370만개 소비자 정보가 유출되면서 전직 직원의 접근 권한 악용 정황과 함께 내부 통제 실패 논란이 확산하고 있다. 용의자가 중국 국적 인력으로 지목된 가운데 C커머스 확산 국면에서 데이터 안전성에 대한 불신도 커지는 분위기다.
3일 쿠팡은 지난달 18일 약 4500개 계정의 개인정보가 무단으로 유출된 사실을 관련 당국에 신고하고, 후속 조사를 거친 결과 피해 규모가 약 3370만명으로 늘어난 것을 확인했다고 밝혔다.
이번 유출 사태는 지난 6월 쿠팡 내부에서 비정상적 정보 조회가 발생하면서 시작됐다. 지난 6월부터 11월 8일까지 약 5개월간 고객 계정 정보가 반복적으로 비인가 조회됐지만, 내부 시스템이 이를 감지하지 못한 상황에서 쿠팡은 고객 불만 접수를 통해서 파악한 것이다.
유출 내용에는 고객 이름과 이메일, 전화번호, 배송지 주소록 등이 포함됐다. 일부 고객의 경우 거주지 공동 현관 출입 비밀번호까지 유출된 것으로 알려졌다.
반면 신용카드 번호와 계좌 정보, 계정 비밀번호 등 정보는 별도 시스템에 분리돼 있어 사태 관련 피해 범위에 포함되지 않은 것으로 파악됐다.
하지만 이번 사고로 사실상 쿠팡 이용자 대부분의 정보가 외부로 빠져나간 것으로 보인다. 쿠팡의 3분기 월간 활성 고객 수는 약 2470만명 수준으로 비활성 고객과 탈퇴·휴면 계정까지 더해진 숫자가 반영된 것으로 보인다.
일각에서는 유출사태로 인해 단기적으로 이용자 일부가 타 이커머스로 이동할 수 있지만, 전 사회적으로 쿠팡 의존도가 높은 만큼온 쇼시장 판도 자체가 즉각적으로 바뀔 가능성은 크지 않다고 본다. 다만 이번 사고와 이후 사후 대응은 쿠팡의 장기적인 기업 이미지와 브랜드 신뢰에 부담으로 작용할 수 있다는 분석이 나온다. 이번 사고를 계기로 책임 있는 대처와소비자 설득 방안을 충분히 제시하는지가 향후 평가의 기준이 될 것이라는 의미다.
이커머스 업계 전반에는 경보음 역할로 작용한다. 대규모 데이터베이스를 기반으로 한 플랫폼 비즈니스 특성상 고객 데이터가 가장 핵심 경쟁력이자 동시에 가장 큰 리스크 요인이라는 점이 다시 부각됐기 때문이다. 업계에서는 타사들도 데이터 수집·저장·활용·폐기 전 과정에서 보안 절차를 재점검하고, 내부자 권한 관리와 원격·해외 인력 활용 구조까지 포함한 통제 기준을 강화할 것으로 내다본다. 이번 유출이 개별 기업 차원을 넘어 국내 이커머스 전체 보안 수준을 끌어올리는 계기가 될 수 있다는 시각도 나온다.
![국회 질의에 답변하는 박대준 쿠팡 대표이사(왼쪽). [사진=연합뉴스]](https://images-cdn.newspic.kr/detail_image/181/2025/12/3/bef3b7fe-7cbd-451f-b8f6-b3dddc57b3d6.jpg?area=BODY)
이번 사건이 전직 직원의 시스템 접근 권한과 연결된 정황이 확인되면서 기업이 감당해야 할 관리 책임과 현실적인 보안 한계를 어디까지 나눌 것인가도 쟁점으로 떠올랐다.
수사당국은 재직 시 부여된 인증 수단이 퇴사 이후까지 유지됐고, 이를 통해 로그인 절차 없이 고객 정보 조회가 이뤄진 것으로 보고 있다. 퇴사자 권한을 회수하지 못한 책임은 전적으로 쿠팡에 있지만, 정상 권한을 가진 내부자가 악의를 갖고 움직일 경우 사전에 완벽하게 막기는 구조적으로 어렵다는 시각도 공존한다.
실제 쿠팡은 △정보보호·개인정보보호 관리체계(ISMS-P) △정보보호경영시스템(ISO/IEC 27001)·27701(개인정보보호관리체계)·27017(클라우드 보안 관리체계) △APEC·Global CBPR △PCI DSS △프라이버시(ePrivacy) 총 7개의 국내외 보안·프라이버시 인증을 보유하고 있다.
전담 조직을 두고 접근 권한 설정, 로그 관리, 데이터 암호화 절차를 운영해 온 만큼 업계에서는 보안 인프라 측면에서 상위권으로 분류됐다.
전례 없는 대규모 정보 유출로 인해 쿠팡의 취약점 보완과 이용자 불안 해소 가능 여부가 핵심으로 떠올랐다.
최근 G마켓과 알리바바의 합작법인 설립 과정에서 공정거래당국이 고객 정보 공유를 제한한 사례가 있는 만큼 이번 사고 이후에는 국경을 넘는 데이터 이동과 활용에 대한 설명 책임과 투명성 요구가 더욱 커질 전망이다. C커머스가 가격 경쟁력과 물량을 앞세워 영향력을 넓히는 가운데 이번 사고로 국내 플랫폼의 안정성 우위에도 균열이 생겼다는 우려도 나온다. 유출 용의자가 중국 국적 전직 직원으로 지목된 점이 알려지면서 국경 밖으로 데이터가 흘러갔을 가능성을 둘러싼 소비자 불안 역시 증폭되는 모양새다.
일부 전문가들은 이번 사건이 국내 플랫폼만의 문제가 아니라 C커머스 확산 국면에서 데이터 이동과 활용에 대한 불신을 키우는 계기가 됐다고 분석한다. 해외 사업자와의 제휴·합작 구조에서 소비자 정보가 어떤 절차를 거쳐 수집·보관·활용·폐기되는지 구체적으로 공개하고, 해외 법인이나 제 3자에 대한 통제 장치를 명확히 제시해야 한다는 지적이다. 특히 일부 중국 온라인 거래 사이트에 쿠팡 계정이 매물로 올라오는 사례가 나오면서 유출 정보가 마케팅·광고 목적으로 재가공되거나 2차 금융·피싱 피해로 이어질 수 있다는 걱정섞인 목소리도 높아지고 있다.
이번 사태가 C커머스에 대한 경계심과 맞물려 불안 심리를 자극할 소지가 있다는 주장도 제기되지만, 실질적으로는 국내외 사업자 모두에게 개인정보 관리 기준을 한층 강화하라는 경고성 신호로 작용할 공산이 크다는 전망이 지배적이다.
규제 당국 역할에 대한 문제 제기도 있다. 그간 대형 통신·플랫폼 기업을 대상으로 이뤄져 온 점검·인증 절차가 사실상 형식에 그친 것 아니냐는 비판이다. 전문가들은 이번 사고를 계기로 기업의 자율 관리에만 의존하는 방식을 넘어 대규모 개인정보를 보유한 사업자에 대한 상시 점검 등 관리 체계 구축의 필요성을 내놓는다.
한편 쿠팡은 비인가 조회에 사용된 접근 경로를 차단하고 인증키·토큰 관리 절차와 내부 모니터링 체계를 강화하는 작업에 착수했다.
외부에서 독립성이 인정되는 보안 전문 인력을 영입해 기존 시스템을 점검하고, 필요시 구조 개편과 추가 투자를 병행하는 방안도 검토 중이다. 수사기관과 개인정보보호위원회, 과학기술정보통신부 등 관계 당국에는 관련 자료를 제공하며 조사에 협조하고 있으며, 결제 정보와 신용카드 번호 등은 이번 사고 범위에 포함되지 않았다는 점에 근거해 전반적인 데이터 보호 장치와 운영 프로세스를 점검하는 절차를 진행하고 있다.
박대준 쿠팡 대표이사는 “국민 여러분께 불편을 끼쳐드려 진심으로 사과드린다”며 “모든 고객 정보를 보호하는 것이 쿠팡의 가장 중요한 우선순위고, 향후 고객 정보 안전과 보안을 최우선으로 생각할 것”이라고 밝혔다.
Copyright ⓒ 이뉴스투데이 무단 전재 및 재배포 금지
