[the300]
![[서울=뉴시스] 권창회 기자 = 30일 오전 서울 송파구 쿠팡 본사 모습. 쿠팡의 사실상 모든 고객 개인정보가 유출됐다. 쿠팡은 고객 계정 3370만개가 무단으로 노출된 것으로 확인됐다고 밝혔다. 당초 쿠팡은 지난 18일 4500개 계정의 개인정보가 노출된 사실을 인지했다고 발표했는데, 11일 만에 노출 계정이 약 7500배 늘어난 것이다. 2025.11.30. kch0523@newsis.com /사진=권창회](https://thumb.mt.co.kr/cdn-cgi/image/f=avif/21/2025/11/2025113013372832297_1.jpg)
3370만여명의 개인정보를 유출한 쿠팡이 정부로부터 두 차례나 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 받은 것으로 확인됐다. 2021년과 지난해 ISMS-P를 취득 및 갱신하고도 총 4차례 개인정보 유출 사고를 낸 것인데 가장 심각한 이번 유출 사고는 갱신 인증 후 발생했다.
30일 국회 정무위원회 소속 한창민 사회민주당 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면 쿠팡은 로켓배송·쿠팡이츠 등 자사 서비스 전체에 대해 2021년 ISMS-P를 취득한 뒤 지난해 3월 갱신 인증을 받았다.
ISMS-P는 개보위와 과학기술정보통신부가 공동으로 운영하는 국내 유일의 국가 인증 개인정보보호 관리체계 인증이다. 2018년 과기부의 정보보호 관리체계 인증(ISMS)과 개보위의 '개인정보보호 관리체계 인증(PIMS)'이 통합된 것으로 전년도 정보통신서비스 부문 매출 100억원 이상 기업은 인증 의무 대상으로 분류된다.
문제는 해당 인증을 전후로 쿠팡의 개인정보 유출이 더욱 심각해지고 빈번해졌단 점이다. 쿠팡은 최초 인증 전후인 2020년 8월부터 2021년 11월 사이 쿠팡이츠 배달원 13만5000명의 개인정보를 유출했다. 인증 후인 2021년 10월에는 앱 업데이트 테스트 과정에서 14건의 유출 사고가 발생했으며 2023년 12월에는 판매자 전용 시스템 윙(Wing)에서 특정 판매자에게만 보였어야 할 주문·수취인 2만2440명의 개인정보가 다른 판매자에게 노출되는 사고가 발생했다.
최초 인증을 전후로 3차례 개인정보 유출 사고를 일으킨 쿠팡에 정부는 ISMS-P를 갱신했고, 갱신 후 3370만명의 고객 이름, 이메일 주소, 배송지 주소, 배송지 전화번호 등을 외부에 유출된 것이다. 머니투데이 취재에 따르면 유출은 중국 국적의 쿠팡 전 직원이 일으켰으며 해당 전직 직원은 현재 중국으로 귀국한 상태인 것으로 확인된다.
한창민 의원은 "국정감사에서도 지적했듯이 개인정보 유출 사전 예방 제도로서 ISMS-P 인증의 효과에 강한 의구심이 든다. 개보위는 인증 제도를 보완할지 새로운 예방 제도를 도입할지 결단해야 한다"고 강조했다.
