정부, 민관합동조사단 가동
“공격자, 쿠팡 서버 약점 악용
정상 로그인 없이 계정 유출”
배후 ‘국가’가 있는지도 검토
피싱 등 2차 피해 우려 큰데
쿠팡은 “계정 바꿀 필요없다”
박대준 대표 “보상방안 아직”
“공격자, 쿠팡 서버 약점 악용
정상 로그인 없이 계정 유출”
배후 ‘국가’가 있는지도 검토
피싱 등 2차 피해 우려 큰데
쿠팡은 “계정 바꿀 필요없다”
박대준 대표 “보상방안 아직”
![30일 정부서울청사에서 쿠팡 관련 긴급 관계부처 장관회의가 열린 가운데 박대준 쿠팡대표가 회의장을 나서며 기자들의 질의에 답하고 있다. 2025.11.30 [이승환 기자]](https://thumb.zumst.com/780x0/https://static.news.zumst.com/images/18/2025/11/30/aa4e297761c7465892b22a4aaa3f8ca4.png) |
30일 정부서울청사에서 쿠팡 관련 긴급 관계부처 장관회의가 열린 가운데 박대준 쿠팡대표가 회의장을 나서며 기자들의 질의에 답하고 있다. 2025.11.30 [이승환 기자] |
국내 최대 이커머스 플랫폼 쿠팡에서 계정 3370만개의 이름·전화번호·이메일·주소 등 민감한 개인정보가 유출되면서 이들 자료가 보이스피싱·스미싱에 악용될 수 있다는 염려가 커지고 있다. 중국 국적 전 직원이 지난 6월 24일부터 해외 서버를 통해 정보를 유출한 것으로 추정되는 가운데, 쿠팡이 5개월여 동안 이를 몰랐다는 데 대해 ‘안일한 보안 의식’이라는 비판이 쏟아지고 있다. 또 쿠팡이 지난 11월 18일 유출 계정이 4500여 건이라고 밝혔다가 이 수치가 7500배로 늘어난 점이나 민감한 정보가 흘러나가 보이스피싱 등에 악용될 우려가 있는 데도 “고객 여러분은 계정 관련 조치를 취할 필요가 없다”고 안내하는 점 등에 대해서도 사태를 과소평가한다는 비난이 나오고 있다.
쿠팡 이용자와 이커머스 사용자의 대부분, 전 국민의 3분의 2가량이 유출 피해를 당하자 정부는 즉각 비상 대응에 나서 민관합동조사단을 꾸리고 원인 규명과 피해 확산 차단에 나섰다.
30일 정부는 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 관계기관이 참석한 긴급 대책회의를 열고 사고 조사와 피해 확산 방지를 위해 민관합동조사단 가동을 시작했다. 개인정보보호위원회는 쿠팡이 개인정보 보호와 관련해 접근 통제와 접근 권한 관리, 암호화 등 안전조치 의무를 위반했는지를 집중 조사 중이다. 배 장관은 “공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 사용자 계정의 정보를 유출한 것으로 확인했다”고 설명했다.
쿠팡에서 정보가 유출된 계정은 3370만개에 달한다. 쿠팡의 월간활성이용자수(MAU)가 3400만여 명, 국내 이커머스 사용자가 3900만여 명으로 추산되는 점을 감안하면 거의 모든 사람이 해당한다. 또 성인 4명 중 3명꼴로 유출 피해를 입었다는 해석도 가능하다.
 |
유출 경로를 둘러싸고 외부 해킹보다는 내부 소행에 무게가 실린다. 쿠팡과 경찰 등에 따르면, 고객 정보는 쿠팡에 근무했던 중국 국적자가 해외 서버를 통해 유출한 것으로 추정된다. 경찰은 이러한 가능성을 포함해 쿠팡 내부 자료를 확보해 용의자를 추적 중이다.
앞서 11월 19일 쿠팡은 개인정보 유출을 외부에 알렸을 때도 “비인가 접근을 통한 개인정보 노출”이라며 외부 침입 흔적은 없다고 강조했다. 이어 지난 25일 서울경찰청 사이버수사대에 ‘성명불상자’를 개인정보 유출 혐의로 고소했다.
5개월여 간 사실상 3370만명의 개인정보가 지속적으로 빠져나갔는데, 쿠팡이 이를 인지하지 못해 제대로 된 조치를 하지 못했다는 점에도 이용자의 불안감은 커지고 있다. 이름, 전화번호, 이메일, 배송 정보(수령자 이름·전화번호·주소 포함), 상품 구매 이력, 공동 현관 비밀번호 등 민감한 정보들이 빠져나갔고, 이는 보이스피싱 등에 이미 이용됐거나 악용될 가능성이 있기 때문이다.
그런데도 쿠팡이 “어떠한 결제 정보, 신용카드 번호, 로그인 정보도 유출되지 않았다”며 “쿠팡 이용 고객은 계정 관련 조치를 할 필요 없다”고 안내하는 점도 고객들의 불만을 사고 있다. 오히려 정부 측에서 “쿠팡을 사칭한 전화·문자 등을 조심해 2차 피해를 막아달라”고 당부하는 상황이다.
이와 함께 추가 조사 과정에서 유출 계정의 규모가 늘어나거나, 결제 정보 같은 민감한 데이터까지 유출된 게 확인될 가능성도 배제할 수 없다는 지적이 나온다.
회사원 박 씨모(31)는 “이름·주소·전화번호가 다 나갔는데 어떻게 유출됐는지 명확한 해명도 없고 어떤 조치와 보상이 있을지도 설명이 부족하다”며 분통을 터뜨렸다.
한국인터넷진흥원은 이번 사태와 관련해 △출처가 불문명한 문자 바로 삭제 △통신사에 ‘번호도용 문자 차단’ 서비스 신청 △인터넷진흥원의 ‘털린 내 정보 찾기’ ‘보호나라(피싱·스미싱 확인)’ 서비스 이용 △결제 내역 수시 확인 및 백신 검사 △악성 애플리케이션(앱)이 깔렸을 때는 공인인증서 폐기 등 주의 사항을 내놓았다.
쿠팡의 개인정보 유출 사고와 관련한 안내 문자 발송 시점이 이용자마다 달라 혼선이 빚어지고 있다. 쿠팡 측은 안내 대상이 3370만명 규모에 달하는 만큼 발송 과정에서 불가피하게 시간 차가 발생하고 있다고 했다.
![30일 오후 정부서울청사 2층 회의실에서 쿠팡 관련 긴급 관계부처장관회의가 열리고 있다. 왼쪽부터 유재성 경찰청장 직무대행, 송경희 개인정보보호위원장, 국정원 관계자, 한 명 건너 배경훈 부총리 윤창렬 국무조정실장. [이승환 기자]](https://thumb.zumst.com/780x0/https://static.news.zumst.com/images/18/2025/11/30/0108c64f5a7d41dda3c315dc3213397e.jpg) |
30일 오후 정부서울청사 2층 회의실에서 쿠팡 관련 긴급 관계부처장관회의가 열리고 있다. 왼쪽부터 유재성 경찰청장 직무대행, 송경희 개인정보보호위원장, 국정원 관계자, 한 명 건너 배경훈 부총리 윤창렬 국무조정실장. [이승환 기자] |
이번 사태와 관련해 쿠팡에 내려질 처분과 개인 배상에 대해서도 관심이 쏠린다. 2023년 개정된 개인정보보호법에 따르면 관련법을 위반했을 경우 전체 매출의 3%까지 과징금이 부과될 수 있다. 쿠팡의 지난해 연매출은 41조2901억원, 올해 3분기까지 누적 매출은 36조원을 넘어섰다. SK텔레콤은 지난 4월 발생한 개인정보 유출 사고에 대한 과징금으로 매출의 약 1%가 적용돼 역대 최대 규모인 1348억원을 부과 받았다.
임종인 고려대 정보보호대학원 명예교수는 “국내 고객 정보가 해외로 무단 반출된 것으로 보이는데 신뢰 상실을 넘어 기업 존립에 영향을 미칠 심각한 사안”이라며 “시큐리티 퍼스트 관점에서 종합적 대응이 필요하다”고 강조했다.
염흥열 순천향대 정보보호학과 교수는 “각 기업은 개인정보 처리자가 내부자 보안 대책을 세우게끔 돼 있는데 거기에 허점이 있었던 것 같다”며 “특별히 내부자 보안쪽 정보보호 관리 체계를 개선할 필요성이 있다”고 지적했다.
정부는 스미싱·보이스피싱 등 2차 피해 예방 조치에도 나섰다. 유출된 주소를 기반으로 한 ‘배송 오류 안내’ 문자, 고객센터·택배사 사칭 전화, 악성 앱 설치 유도 등 피해 사례가 늘 수 있다는 이유에서다.
일부 고객은 카카오톡 단체 채팅, 네이버 카페를 만들며 ‘개인정보 유출 피해’에 대한 단체 소송 준비에 돌입했다. 변호사 선임, 피해 입증 방법, 진정서 작성을 논의하고 있다.
시민단체들은 쿠팡이 최소 5개월 동안 유출 사실을 파악하지 못한 이유와 개인정보 보호체계 운용 실태를 철저히 밝혀야 한다고 목소리를 높였다.
[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.