광고닫기

쿠팡 정보유출 이번이 4번째…모두 내부 사고, 과징금 16억뿐

중앙일보

2025.11.30 01:39 2025.11.30 04:12

  • 글자크기
  • 인쇄
  • 공유
글자 크기 조절
기사 공유
서울 송파구 쿠팡 본사모습. 뉴스1

‘로켓 배송’으로 국내 이커머스 1위에 오른 쿠팡에서 3370만명 분의 고객 정보가 유출됐다. 국내 성인 4명 중 3명 꼴로. 쿠팡의 개인정보보호 부실로 사실상 전 국민의 이름과 집주소가 유출된 초대형 사고다.

특히 쿠팡 내부 직원이 정보를 유출했을 가능성이 큰데, 쿠팡은 5개월간 유출 사실조차 모르고 있었던 것으로 나타나 쿠팡 책임론이 커지고 있다. 쿠팡이 과거 세 차례의 개인정보 유출 사건으로 처벌을 받고도 개선 없이 문제를 키웠다는 지적이 나온다.



정보 유출, 5개월간 몰랐다

박대준 쿠팡 대표가 30일 정부서울청사에서 대규모 개인정보 유출 사고에 대해 공개 사과하고 있다. 연합뉴스

배경훈 부총리 겸 과학기술정보통신부 장관은 30일 서울 종로구 정부서울청사에서 긴급 대책 회의를 주재하고 “쿠팡에 대한 현장 조사 결과 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 3000만개가 넘는 고객 계정의 이름, 이메일, 배송지, 전화번호를 유출한 것으로 확인했다”고 말했다.

또 “정부는 면밀한 사고조사 및 피해 확산 방지를 위해 금일부터 민관합조단을 가동하고 있다”며 “쿠팡이 개인정보보호와 관련한 안전 조치 의무를 위반했는지 여부도 조사 중에 있다”고 했다.

조사 결과 지난 6월 24일부터 최근까지 해외 서버에서 쿠팡의 고객 정보 약 3370만 건에 대한 비정상적인 접근이 발생한 것으로 확인됐다. 쿠팡은 “(개인정보 비인가 접근을 확인 후) 제3자가 사용했던 접근 경로를 차단했다”고 공지했지만 소비자들은 불안감을 호소하고 있다. 쿠팡이 개인정보 유출 사실을 뒤늦게 파악한데다 규모조차 잘못 파악했던 점 때문에 피해가 예상보다 클 수 있다는 우려도 나오고 있다.

앞서 쿠팡은 “지난 18일 4500개 고객 계정 정보가 무단으로 노출된 사실을 확인했다”며 20일 경찰청, 한국인터넷진흥원, 개인정보보호위원회에 해당 사실을 신고했다. 하지만 발표 이후 열흘 가까이 지나서야 피해 계정 규모를 3370만개로 정정 공지했다.

쿠팡은 지난 3분기 실적 발표 당시 구매 이력이 있는 고객(프로덕트 커머스 부문 활성고객)이 2470만명이라고 밝혔는데, 이번 쿠팡의 개인정보 유출 건수는 그보다도 더 많다. 이는 개보위의 개인정보 보호 위반 역대 최대 과징금(1348억원) 처분 사례(SK텔레콤, 2324만명 정보 유출)보다 유출 규모가 더 크다.

이날 박대준 쿠팡 대표는 정부서울청사에서 열린 긴급 관계부처 장관회의를 앞두고 “국민 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과한다”고 밝혔다. 또 “현재 기존 데이터 보안 장치와 시스템에 어떤 변화를 줄 수 있는지 검토하고 있다”며 “민관합동조사단과 긴밀히 협력해 추가적인 피해 예방에 최선을 다하겠다”고 말했다.



개인정보 관리, 어떻게 하길래

이번 사건은 내부 직원이 정보 유출을 시도했고, 쿠팡은 그 사실을 5개월간 모르고 있었다는 점에서 외부 해킹 사례보다 더욱 심각하다는 지적이 나온다. 쿠팡은 지난 20일 입장문에서 “쿠팡 시스템과 내부 네트워크망을 확인한 결과 외부 침입 흔적은 없었다”고 공개했다. 현재 퇴사한 중국 국적 직원이 고객 정보를 유출했다는 의혹도 제기되고 있다. 박 대표는 이에 대해 “수사와 관련된 부분이라 말씀 드릴 수 없다”며 “조사를 통해 명확해질 것”이라는 입장을 밝혔다.

쿠팡의 사무직 직원은 약 1만명으로, 고객 개인정보는 정보기술(IT)·전산 담당 중 권한이 부여된 직원만 접근할 수 있다. 쿠팡은 최고정보보호책임자(CISO)와 최고개인정보보호책임자(CPO)를 분리 운영하는 등 정보보호 수준을 강화했다고 설명했지만, 쿠팡 서버 인증의 취약점을 잘아는 내부 직원에게 벽이 뚫렸다.

이커머스 업계 관계자는 “그간 쿠팡이 몸값 비싼 IT 인력을 대거 채용하다보니 정보보호 수준도 뛰어날 것이라는 막연한 기대가 있었다”며 “고객 정보 관리는 기본 중의 기본인데, 민감 정보에 대한 접근 권한 관리를 제대로 한 건지 의문이 든다”고 말했다.

박춘식 서울여대 정보보호학과 교수는 “이번 정보 유출 사고가 직원으로 인해 발생했다면 내부적으로 보안 관리 중요성이 덜 강조됐다는 의미”라며 “이는 외부의 해킹 공격보다 더 심각한 피해를 초래할 수 있다”고 말했다.

박경민 기자


재발 방지 약속하고도 반복

쿠팡은 과거에도 개인정보 유출 사고로 과징금 등 행정처분을 받은 이력이 있다. 모두 외부 공격이 아닌 내부 문제로 발생했다는 공통점이 있다.

2021년 10월에는 앱 업데이트 중 발생한 오류로 상품 검색창 밑에 고객 14명의 이름·배송지 주소가 1시간 가량 노출됐다. 2020년 8월부터 2021년 11월까지는 음식 배달 플랫폼인 쿠팡이츠 배달원 13만5000여명의 이름·전화번호 등이 음식점에 전송됐다. 2023년 12월에는 쿠팡의 판매자 전용 시스템에서 주문자와 수취인 2만2440명의 개인정보가 노출됐다.

3건의 개인정보 노출·유출 사고로 쿠팡에 부과된 과징금 및 과태료는 총 16억원 수준이다. 이번에 다시 한번 내부 문제로 인한 정보 유출 사고가 발생하며 ‘솜방망이 처벌’이 사고를 키운 것 아니냐는 비판이 나온다. 염흥렬 순천향대 정보보호학과 교수는 “정부가 매출 100억원 이상인 기업에 대해 정보보호 인증(ISMS-P)을 의무화하고 있지만 이는 최소한의 기준”이라며 “국가가 지금보다 기준을 강화하고 관리 강도를 높여야 한다”고 말했다.

박경민 기자
쿠팡은 지난해 연매출 41조원 돌파하는 등 매년 가파르게 성장했지만, 정보보호 예산 투자는 그에 못 미쳤다. 한국인터넷진흥원(KISA)에 따르면 쿠팡이 올해 정보보호 목적으로 투자한 금액은 약 890억원으로, IT 투자 총액 대비 4.6%다. 투자 금액 자체는 지난해(660억원)보다 늘었지만, IT 투자액 대비 비중은 2022년 7.1%(535억원), 2023년 6.9%(639억원), 지난해 5.6%로 최근 4년간 계속 줄었다. 지난해 쿠팡의 매출 대비 정보보호 부문 투자액은 0.2%로 같은 기간 카카오·SK텔레콤(약 0.7%), 네이버· KT(0.4%) 보다 낮았다.

박 교수는 “정보 보안 분야는 사고가 터졌을 때 반짝 투자에 그쳐서는 안된다. 꾸준한 예산 집행이 필요하다. 정보 보호 지출은 비용이 아닌 투자”라고 지적했다. 염 교수는 “정보보호 규제를 강화할 필요도 있지만 결국은 기업 스스로 보안 사고를 예방하고, 적극적인 대책을 수립해야 한다”고 말했다.



김경미.노유림([email protected])

많이 본 뉴스

      실시간 뉴스