국내 이커머스(전자상거래) 1위 쿠팡이 보유한 사실상 모든 고객 개인정보가 유출된 정황이 확인되면서 파장이 커졌다. 쿠팡은 지난 29일 약 3370만 건의 고객 정보가 외부로 무단 조회된 사실을 공식 발표했다. 유출된 정보엔 이름, 이메일, 전화번호, 배송지 주소, 일부 주문 정보 등이 포함됐고, 결제 정보와 비밀번호 등 민감 인증 정보는 유출되지 않았단 게 쿠팡 측의 설명이다. 하지만 정보 유출 규모로는 국내 플랫폼 사업자 중 가장 많아 '역대급 사고'로 기록될 전망이다.
30일 쿠팡에 따르면 이번 고객 개인정보 유출이 사건이 발생한 시점은 올해 6월 24일부터로 파악됐다. 하지만 회사가 이를 실질적으로 인지해 최초 외부에 공개한 시점은 지난 11월 19일로 약 5개월의 시차가 발생했다. 이에 대해 쿠팡의 정보 보안관리가 허술한 측면이 있단 지적이 나온다.
이번 사건을 처음 인지한 시점에 쿠팡은 약 4500건의 고객정보가 제3자 비인가 접근 방식으로 무단 조회됐다고 발표했다. 하지만 후속 추가 조사에서 실제 규모는 약 7500배 확대됐다.
이에 대해 관련 업계에선 "쿠팡 내부의 접근 권한 관리 체계와 로그·감사 인프라가 구조적으로 취약한 것 아니냐"는 지적이나온다. 한 개발자 출신 업계 관계자는 "사실상 모든 계정의 개인정보가 유출된 것은 전례가 드물다"며 "외부 공격이 아닌 내부자에 의한 유출이라면 이는 회사의 보안 기술이 취약하다기 보단 회사 전반적인 보안인식이 약했단 의미"라고 말했다.
하지만 쿠팡이 정보보안 투자 자체에 소홀한 것은 아니었다. 한국인터넷진흥원(KISA) 공시에 따르면 지난해 쿠팡의 정보보호 투자액은 약 860억원으로 삼성전자(2974억원), KT(1218억원)에 이어 세 번째로 컸다. 쿠팡의 정보보호 부문 전담 인력은 215명이며 이 가운데 50여명이 외주 직원으로 파악된다.
![[서울=뉴시스] 권창회 기자 = 30일 오전 서울 송파구 쿠팡 본사 모습. 쿠팡의 사실상 모든 고객 개인정보가 유출됐다. 쿠팡은 고객 계정 3370만개가 무단으로 노출된 것으로 확인됐다고 밝혔다. 당초 쿠팡은 지난 18일 4500개 계정의 개인정보가 노출된 사실을 인지했다고 발표했는데, 11일 만에 노출 계정이 약 7500배 늘어난 것이다. 2025.11.30. kch0523@newsis.com /사진=권창회](https://thumb.mt.co.kr/cdn-cgi/image/f=avif/21/2025/11/2025113012513277649_2.jpg)
이번 사건은 대형 플랫폼 기업에서 내부자의 정보 접근 관리 중요성을 부각시켰다. 특히 해외 체류 중인 전 직원이 연루됐다는 정황까지 드러나면서, 퇴사자 계정 회수 절차, 접근 권한 정리 프로세스, 내부 데이터 접근에 대한 실시간 감시 체계 등 전반적인 보안 거버넌스 체계 재정비가 불가피해졌다. 특히 개인정보 DB(데이터베이스) 접근 권한이 일정 범위 이상 부여돼 있었을 가능성, 퇴사 후에도 특정 자격이 유지됐을 가능성, 또는 비밀번호·API 키·내부 시스템 토큰 관리가 부실했을 가능성 등이 모두 문제로 지목된다.
수사당국은 관련자 소재 파악과 구체적 유출 경로 규명에 집중하고 있다. 하지만 관련 핵심 인물이 이미 해외에 체류 중이라는 점에서 실질적인 조사와 처벌 과정이 장기화될 가능성도 낮지 않다. 전문가들은 "내부자 소행일 경우, 국외 체류자가 연루된 상태에서 실체 규명이 어려울 수 있다"며 "기술적 대응뿐 아니라 법적·제도적 차원의 내부자 통제 시스템이 필수적"이라고 강조했다.
한편, 개인정보 유출 피해가 사실상 전국 단위의 대규모 소비자를 포괄하는 만큼, 스미싱·보이스피싱, 주소 기반 피싱, 사칭 배송 연락 등 2차 피해 우려도 커지고 있다. 배송지 주소와 전화번호가 함께 유출된 점은 '타깃형 피싱'에 악용될 가능성이 크다는 점에서 소비자 불안이 확산 중이다. 개인정보보호위원회와 과학기술정보통신부 등 관계 부처는 합동 조사에 착수했으며, 쿠팡은 외부 보안 전문기관과 협력해 추가 피해 방지 조치를 시행하고 있다고 설명했다.