[이슈인 문답] 쿠팡 3천만명 개인정보 유출, 무엇이 문제인가

김영 기자기사입력 2025.12.01 15:33

내부자 인증토큰 악용 정황·경찰 IP 추적 등 사실관계로 쟁점 부상

쿠팡에서 약 3천만 명 규모의 개인정보가 유출된 사실이 확인되면서 사회적 충격이 확산하고 있다.

경찰은 서울경찰청 디지털증거분석 인력을 중심으로 서버 로그를 분석하고 피의자가 사용한 IP를 확보해 추적 중이며, 쿠팡은 내부 접근 권한 관리 전반을 재점검하고 있다.

이번 사안은 최근 수년간 발생한 정보유출 사례 중 가장 큰 규모로, 플랫폼 보안 의무와 제도적 개선 필요성이 동시에 제기되고 있다.

▲ 서울 송파구 쿠팡 본사 [연합뉴스 제공]

◆ 유출 규모는 얼마나 되며 어떤 정보가 빠져나갔나

서울경찰청은 1일 정례 기자간담회에서 쿠팡 고객 3천370만 명의 개인정보가 유출된 정황을 확인했다고 설명했다. 확보된 데이터에는 이름, 이메일, 전화번호, 배송지 주소 등이 포함됐으며, 일부 주문 내역까지 유출된 것으로 파악됐다. 특히 배송지 주소가 포함된 점은 보이스피싱·스미싱 등 2차 피해 우려를 키우는 요소로 지적된다.

경찰은 쿠팡이 제출한 서버 로그기록을 토대로 접근 시점, 요청 경로, 인증 정보 등을 분석해 유출 경위를 복원하고 있다. 쿠팡은 지난달 18일 자체 점검 중 피해 사실을 확인해 경찰에 신고했지만 당시 파악된 규모는 4천500여 명 수준이었다. 이후 경찰은 25일 정보통신망 침입 혐의 고소장을 접수해 정식 수사로 전환했으며, 28일 고소인 조사를 마쳤다.

다만 1일 기준으로 경찰에 접수된 보이스피싱·스미싱 등 2차 피해 사례는 없다는 점도 공식적으로 확인됐다. 경찰은 관계 부처와 협력해 추가 피해 예방 조치를 병행하고 있다.

◆ 내부자 소행 가능성은 왜 제기되나

이번 사건의 핵심 쟁점은 인증 관련 업무를 담당했던 전직 직원이 퇴사 후에도 인증토큰과 서버 인증키를 활용해 로그인 없이 데이터베이스(DB)에 접근했을 가능성이다. 최민희 국회 과학기술정보방송통신위원장은 해당 직원이 인증 관련 권한을 보유한 담당자였으며, 퇴사 이후에도 서명키가 갱신되지 않은 점이 유출에 악용된 것으로 의심된다고 밝혔다.

정보통신기술(ICT) 업계와 보안전문가들은 인증토큰이 발급되면 시스템 접근에 로그인 과정이 생략될 수 있고, 이를 생성하는 서명키가 제때 변경되지 않았을 경우 퇴사자도 토큰을 새로 발급해 접근할 수 있었다고 설명한다. 염흥열 순천향대 정보보호학과 교수는 “퇴사하면 계정·접근 권한을 즉시 회수해야 하는데, 이를 유지했다면 관리 기준에 문제가 있다”고 평가했다.

외부 공격이 아니라 내부자 소행이라는 점은 이번 사고의 가장 큰 특징이기도 하다. 2011년 싸이월드·네이트(3,500만 명 유출), 2024년 SK텔레콤(2,300만 명 유출) 등 기존 사례는 모두 ‘외부 해커 공격’에서 시작된 반면, 퇴사자가 직접 3천만 건 이상을 유출한 사례는 이번이 최초로 알려졌다.

◆ 업계와 소비자에게 어떤 영향이 예상되나

쿠팡은 올해 정보보호에 890억 원을 투자했으며, 최근 4년간 총 2천700억 원 넘는 예산을 투입해 정보보호 규모가 삼성전자·KT 다음 수준이다. 그럼에도 유출 사실을 5개월간 감지하지 못했다는 점에서 경보 시스템 작동 여부와 내부통제 체계의 실효성에 대한 문제 제기가 이어지고 있다.

개인정보보호법 개정으로 인해 기업에는 매출액의 최대 3%까지 과징금이 부과될 수 있다. 지난 4월 SK텔레콤은 유출 사고로 1,347억9천만 원의 과징금을 부과받았고, 이를 기준으로 보면 쿠팡도 수천억 원대 제재 가능성이 언급되고 있다.

유출 사태가 길어질 경우 소비자들의 ‘쿠팡 이탈’로 이어져 식품·패션·뷰티·생활용품 등 납품기업 매출에도 간접적 타격이 예상된다. 업계 관계자들은 당장은 직거래·납품 차질이 없지만, 소비자 구매 회피가 발생하면 쿠팡 채널 의존도가 높은 기업부터 매출 감소가 나타날 수 있다고 보고 있다.

이커머스 업체들은 G마켓·SSG닷컴 등을 중심으로 긴급 보안점검에 착수했으며, 최근 글로벌 합작 사례 증가로 해외로 데이터가 이전될 가능성이 커진 만큼 추가적 소비자 우려도 확산하는 분위기다.

◆ 제도 개선 논의는 어떻게 전개될까

정부와 국회는 플랫폼의 내부자 통제 강화와 사고 보고 절차 투명성 확대를 검토 중이다. 경찰은 해외 IP 추적 등 국제 공조도 병행하며 피의자 특정에 속도를 내고 있고, 수사 결과에 따라 기업 보안 의무 기준이 강화될 가능성이 크다.

업계에서는 인증토큰 자동 폐기, 서명키 주기적 회전, 실시간 접근 감지 시스템 도입 등 기술·관리 절차 전반의 개편 필요성이 제기된다. 플랫폼 기업이 방대한 고객 정보를 다루는 만큼, ‘내부자 리스크’를 제도적으로 최소화하기 위한 기준 마련이 필수 과제로 꼽힌다.

☑️ 요약:
쿠팡 개인정보 3천만 명 유출 사건은 내부 인증 관리 부실과 퇴사자의 접근 권한 유지 가능성이 핵심 원인으로 지목되고 있으며, 경찰은 서버 로그 분석과 IP 추적을 통해 수사를 진행 중이다. 업계는 긴급 점검에 돌입했고, 정부·국회는 내부자 통제 강화와 보안 의무 상향 등 제도 개선 논의를 본격화할 것으로 전망된다.

#이슈인문답#쿠팡

이전 기사삼성전자, 고해상도·저선량 영상 솔루션 공개 다음 기사계엄 사태 1년, 윤 전 대통령 등 내란·외환 재판 본격화

관련 기사

안녕하세요2 이것은 테스트 기사입니다.

국민의 힘 한동훈 제명 확정…계파 갈등 고조

국민의힘 한동훈 전 대표가 29일 최고위원회 의결을 통해 공식 제명됐다. 오는 6·3 지방선거를 앞두고 고강도 징계가 현실화되면서, 국민의힘 내부의 분열과 후폭풍이 불가피할 것으로 보인다.

김건희 1심 징역 1년8개월…통일교 금품수수만 유죄

김건희 여사가 통일교 금품 수수 혐의로 1심에서 징역 실형을 선고받았다. 자본시장법·정치자금법 위반 등 다른 주요 혐의는 무죄 판결을 받으며 특검 구형의 일부만 인정됐다. 서울중앙지법 형사합의27부(우인성 부장판사)는 28일 김건희 여사에게 징역 1년 8개월과 추징금 1,281만5천원을 선고했다.

트럼프 “한국과 해법 찾을 것”…관세 인상 철회 시사

도널드 트럼프 미국 대통령이 한국산 제품에 대한 관세를 25%로 인상하겠다고 발표한 지 하루 만에 대화를 통한 해결 가능성을 시사했다. 이번 발언은 급격히 냉각됐던 한미 통상 관계에 숨통을 틔워주

미국, 韓에 ‘무역 합의 이행’ 사전 촉구 서한…사전 경고 성격

미국이 한미 무역 합의 이행을 촉구하는 외교 서한을 지난 13일 우리 정부에 발송한 사실이 확인되면서, 도널드 트럼프 대통령이 지난 26일(현지시간) 발표한 관세 복원 조치가 사전 예고된 외교적 압박의 성격으로 평가된다. 관련 업계와 외교 소식통에 따르면, 제임스 헬러 주한 미국대사대리는 배경훈 과학기술정보통신부 장관을 1차 수신인으로 한 서한을 전달했으며, 조현 외교부 장관, 김정관 산업통상자원