광고닫기

"당신 개인정보 알고 있다" 쿠팡 중국인 前 직원, 고객에 협박메일

중앙일보

2025.11.30 12:00 2025.11.30 16:21

  • 글자크기
  • 인쇄
  • 공유
글자 크기 조절
기사 공유
서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 이번 개인정보 유출 사고와 관련한 고소장을 접수해 수사를 진행하고 있다. 뉴스1
국내 이커머스 1위 쿠팡에서 3370만 명분의 이름·이메일·집주소 등 계정 정보가 유출됐다. 성인 4명 중 3명꼴로, 쿠팡의 개인정보보호 부실로 인해 사실상 전 국민의 이름·집주소 정보 조합이 유출된 초대형 사고다. 특히 쿠팡 내부 직원이 정보를 유출했을 가능성이 큰데, 쿠팡은 이를 5개월간 전혀 몰랐다. 해당 직원이 퇴사 후 소비자에게 협박성 이메일을 보낸 후에야 쿠팡은 정보 유출 사실을 인지한 것으로 확인됐다.

배경훈 부총리 겸 과학기술정보통신부 장관은 지난달 30일 서울 종로구 정부서울청사에서 긴급 관계부처 장관 회의를 주재하고 “쿠팡에 대한 현장 조사 결과 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 3000만 개가 넘는 고객 계정의 이름, 이메일, 배송지, 전화번호를 유출한 것으로 확인했다”고 말했다. 이날 과기정통부는 민관 합동조사단을 구성했으며, 지난달 20일 쿠팡이 4536건의 개인정보 유출을 신고한 이후 개인정보보호위원회도 유출 규모·경위 등에 대해 조사 중이다.

합동조사단에 따르면 지난 6월 24일부터 최근까지 해외 서버에서 쿠팡의 고객 정보 약 3370만 건에 대한 비정상적인 접근이 발생했다. 쿠팡은 “(개인정보 비인가 접근을 확인 후) 제3자가 사용했던 접근 경로를 차단했다”고 공지했지만 유출 정보를 악용한 2, 3차 피해가 우려되는 상황이다.

쿠팡은 자체 조사를 바탕으로 지난달 25일 ‘중국 국적 직원이 직원이 쿠팡의 해외 서버를 통해 국내 메인 서버에 무단 접근해 고객 정보를 유출했다’고 경찰에 신고했다. 지난 10월 퇴사한 이 직원이 이달 초 일부 쿠팡 고객에게 최근 주문 목록, 전화번호 등 쿠팡 계정 정보을 촬영한 사진 파일을 첨부해 ‘당신의 개인 정보를 알고 있다’는 내용의 협박성 이메일을 보냈고, 해당 소비자의 항의를 받고서야 쿠팡이 자체 조사에 나선 것으로 확인됐다. 고객이 신고하기 전까지 쿠팡은 유출 사실을 전혀 감지하지 못한 것이다.
박대준 쿠팡 대표가 30일 정부서울청사에서 대규모 개인정보 유출 사고에 대해 공개 사과하고 있다. 연합뉴스

이번 쿠팡의 개인정보 유출 규모는 개인정보보호법 위반 사례 중 역대 최대 규모의 과징금을 처분받은 SK텔레콤(2324만 명 정보 유출)보다 더 크다. 특히 해킹도 아닌 내부 직원이 정보 유출을 시도했는데, 쿠팡은 그 사실을 5개월간 모르고 있었다는 점에서 외부 해킹 사례보다 더욱 심각하다는 지적이 나온다. 박대준 쿠팡 대표는 이날 관계부처 장관 회의에 출석하며 중국인 직원 유출 의혹에 대해 “수사와 관련된 부분이라 말씀드릴 수 없다”고 말했다. 경찰은 쿠팡에서 서버 기록 등 관련 자료를 임의제출 형식으로 확보해 분석하고 있다.

쿠팡에 따르면 사무직 직원은 약 1만 명으로 고객 개인정보는 정보기술(IT)·전산 담당 중 권한이 부여된 소수 직원만 접근할 수 있다. 그동안 쿠팡은 최고정보보호책임자(CISO)와 최고개인정보보호책임자(CPO)를 분리 운영하는 등 정보보호 수준을 강화했다고 설명해 왔지만 정작 쿠팡의 벽을 뚫은 건 서버 인증의 취약점을 잘 아는 내부 직원에게 벽이 뚫렸다.

이커머스 업계 관계자는 “그간 쿠팡이 몸값 비싼 IT 인력을 대거 채용하다 보니 정보보호 수준도 뛰어날 것이라는 막연한 기대가 있었다”며 “고객 정보 관리는 기본 중의 기본인데, 민감 정보에 대한 접근 권한 관리를 제대로 한 건지 의문이 든다”고 말했다. 쿠팡은 지난해 연매출 41조원을 돌파한 ‘유통 공룡’이지만 지난해 쿠팡의 매출 대비 정보보호 부문 투자액은 0.2%(660억원)로 같은 기간 카카오·SK텔레콤(약 0.7%), 네이버· KT(0.4%)보다 낮았다.

보안 전문가들은 쿠팡의 개인정보 관리 체계가 미흡했고, 그에 따른 추가 대책 마련이 필요하다고 지적했다. 염흥열 순천향대 정보보안학과 교수는 “보안이 우수한 기업의 경우 개인정보 취급자의 데이터 다운로드 양이나 기간이 강하게 제한되고, 이상 행위가 자동으로 모니터링된다”면서 “이번 사태 정도 규모의 고객 정보가 장기간에 걸쳐 빠져나갔다면 보안 통제가 제대로 작동하지 않았다는 것으로 보인다”고 지적했다. 박춘식 서울여대 정보보호학과 교수는 “직원으로 인한 유출 사고라면 내부 보안관리에 문제가 있었던 것”이라며 “외부의 해킹 공격보다 더 심각한 피해를 초래할 수 있다”고 말했다.

쿠팡은 과거에도 개인정보 유출 사고로 과징금 등 행정처분을 받은 이력이 있다. 모두 외부 공격 아닌 내부 문제로 발생한 사고였다. 2021년 10월에는 앱 업데이트 중 발생한 오류로 상품 검색창 밑에 고객 14명의 이름·배송지 주소가 1시간가량 노출됐다. 2020년 8월부터 2021년 11월까지는 음식 배달 플랫폼인 쿠팡이츠 배달원 13만5000여 명의 이름·전화번호 등이 음식점에 전송됐다. 2023년 12월에는 쿠팡의 판매자 전용 시스템에서 주문자와 수취인 2만2440명의 개인정보가 노출됐다. 이 같은 세 차례 사고에도 쿠팡에 부과된 과징금 및 과태료는 총 16억원 수준이다. 이 때문에 ‘솜방망이 처벌’이 사고를 키운 것 아니냐는 비판도 나온다.

쿠팡 새벽 배송을 이용하기 위해 아파트·오피스텔 공동비밀번호와 집주소 등을 쿠팡에 입력했던 사용자들은 불안에 떨고 있다. 쿠팡 유료서비스 가입자인 손모(33)씨는 “개인정보가 노출됐다고 일방적으로 통보만 하면 다인가”라며 분통을 터뜨렸다. 박모(33)씨는 “너무 불안해서 아예 서비스를 다 탈퇴하고 있다”고 했다. 소셜네트워크서비스(SNS) 등에선 ’쿠팡 탈퇴’ 인증 글이 잇따라 올라오고 있다. 소비자 집단 소송 등 법적 대응 움직임도 있다. 카카오톡에 개설된 단톡방(‘쿠팡 개인정보 유출 단체 소송 준비방’)에선 “유출 관련 문의할 곳이 쿠팡 고객센터밖에 없는데, ‘안심하라’는 말만 하고 있다”라거나 “요즘 유독 스팸 전화가 많이 오고 있는데 (이번 사태가) 원인이지 않나 싶다” 등 항의가 이어지고 있다.

이날 쿠팡은 박대준 대표 명의의 사과문을 내고 “국민 여러분께 불편과 걱정을 끼쳐드려 진심으로 사과드린다”며 “현재 기존 데이터 보안장치와 시스템에 어떤 변화를 줄 수 있는지 검토하고 있다”고 밝혔다.
박경민 기자
박경민 기자



김경미.노유림.정용환.문상혁([email protected])

많이 본 뉴스

      실시간 뉴스