이 문제는 해소되지 않은채 여전히 진행중이다. 계속 업데이트 예정.
https://www.hankookilbo.com/News/Read/A2025112917570000564?did=NA
쿠팡 개인정보 3370만 개 털렸다… 이름·주소·주문정보 유출 확인 (한국일보, 송주용 기자, 2025.11.29 18:09)
쿠팡, 고객 정보 3370만 개 유출 확인
이름, 전화번호, 배송지 주소 등 광범위
해외서버 통해 6월 24일부터 해킹 추정
국내 최대 인터넷 쇼핑몰인 쿠팡에서 개인정보 약 3,370만 개가 해킹으로 유출되는 사고가 발생했다. 지난 18일 약 4,500개 개인정보가 노출된 사실을 인지한 지 11일 만에 약 7,500배 이상 늘어난 규모다.
29일 쿠팡은 "11월 18일 약 4,500명의 고객 계정과 개인정보 무단 접근 사실을 인지한 이후 후속 조사 결과 고객 정보 약 3,370만 개가 무단으로 유출된 것을 확인했다"며 "해킹 피해를 입은 정보는 사용자 이름, 전화번호, 이메일 주소, 배송 주소록, 주문 정보 등이다"고 밝혔다. 다만 쿠팡은 "고객 결제 정보와 신용카드 번호, 로그인 정보는 유출되지 않았다"고 덧붙였다.
쿠팡은 이번 해킹이 해외 서버를 통해 지난 6월 24일부터 이뤄진 것으로 추정하고 있다. 쿠팡은 이번 사건에 대해 관련 기관인 경찰청과 한국인터넷진흥원, 개인정보보호위원회에 신고를 마쳤고 현재 수사가 진행되고 있다. 또 추가적인 해킹 피해를 막기 위해 무단 접근 경로를 차단하고 내부 모니터링 강화, 보안기업 전문가 영입 등의 후속 조치를 취했다고 밝혔다.
대다수 국민이 쿠팡을 이용하고 있어 이번 개인정보 유출 사건에 따른 후폭풍이 거셀 전망이다. 쿠팡을 한 번이라도 이용한 고객 수를 의미하는 '활성 고객 수'는 올해 3분기 기준 2,470만 명에 달하는 것으로 알려졌다. 이번 해킹으로 카드정보 등 결제 정보 유출은 아직 확인되지 않았으나, 해킹한 개인정보가 다른 범죄에 악용될 가능성도 배제할 수 없다. SK텔레콤은 지난 4월 해킹 사고로 가입자 2,700만 명의 개인정보가 유출돼 이달 개인정보보호위원회로부터 1,374억9,100만 원의 과징금 처분을 받았다.
쿠팡은 입장문을 통해 "진심으로 사과의 말씀을 드리며 쿠팡을 사칭하는 전화, 문자 등에 각별한 주의를 부탁한다"며 "고객들의 불편과 심려를 신속하게 해소할 수 있도록 노력하겠다"고 말했다.
https://www.hani.co.kr/arti/economy/economy_general/1231961.html
쿠팡 3300만개 계정 개인정보 노출…사실상 전 고객 정보 (한겨레, 노현웅 기자, 2025-11-29 18:27)
당초 4500건에서 무려 7500배 늘어
쿠팡 “이름·메일·주소·전화번호·주문정보 노출
결제 정보·카드 번호 및 비밀번호 미노출” 주장
쿠팡에서 노출된 고객 개인정보가 무려 3300만개 계정에 달하는 것으로 나타났다. 당초 4500개 계정에서 개인정보가 노출됐다고 밝힌 것과 비교해 7500배 많은 수치로, 사실상 모든 고객 정보가 노출된 것으로 추정된다.
쿠팡은 29일 현재까지 노출된 고객 계정이 3370만개로 확인됐다고 밝혔다. 쿠팡에 따르면, 노출된 정보는 이름, 이메일 주소, 배송지 주소, 배송지 전화번호, 주문 정보 등이다. 그러나 쿠팡은 결제 정보나 신용카드 번호, 비밀번호 등은 노출되지 않았다고 밝혔다.
쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 올해 6월24일부터 무단으로 개인정보에 접근한 것으로 추정된다”며 “(현재) 무단 접근 경로를 차단했고 내부 모니터링을 강화했다”고 밝혔다. 쿠팡은 또 보안기업 전문가를 영입해 조사를 진행하는 동시에 사법기관 및 규제당국과 지속적으로 협력하고 있다고 덧붙였다.
https://www.hani.co.kr/arti/society/society_general/1231965.html
쿠팡 개인정보 유출 피해자 3370만명…경찰 “모든 가능성 열고 추적” (한겨레, 방준호 기자, 2025-11-29 22:10)
경찰, 쿠팡 쪽 ‘신원 불상 피의자’ 고소장에 수사 착수
중국 국적 전 직원 연루설에 “가능성 열어두고 조사”
쿠팡 이용자 3370만명의 개인정보가 무단으로 유출된 사실이 드러난 가운데, 경찰이 관련 수사에 착수했다.
서울경찰청 사이버수사과(과장 이병진)는 지난 25일 쿠팡 쪽으로부터 고소장을 접수 받아 쿠팡 개인정보 유출 사건과 관련한 수사에 착수했다고 29일 밝혔다. 고소장에는 개인 정보를 유출한 피의자가 불상(알 수 없음)으로 적힌 것으로 전해졌다.
앞서 쿠팡은 이날 개인 정보가 무단으로 노출된 고객 계정 수가 3370만개로 확인됐다고 밝혔다. 지난 18일 쿠팡 쪽이 밝힌 노출 계정 4500개의 7500배 수준으로, 사실상 쿠팡 이용자 전체의 개인정보가 유출된 것으로 보인다.
쿠팡은 이날 보도자료를 내어 “현재까지 조사 결과 해외 서버를 통해 올해 6월24일부터 무단으로 개인정보에 접근한 것으로 추정된다”고 했다. 유출된 정보에는 고객 이름, 이메일 주소, 배송지 주소록(수령인 이름·전화번호·주소), 일부 주문 정보 등이 포함됐다고 한다.
일각에서는 쿠팡 개인정보 유출 핵심 관련자가 중국 국적인 쿠팡 전 직원으로, 이미 출국한 상태라는 의혹도 제기된다. 경찰 관계자는 “현재는 모든 가능성을 열어 두고 유출 경로를 살펴보는 단계”라고 설명했다.
https://www.edaily.co.kr/News/Read?newsId=01738406642370968
‘3379만명 유출’ 쿠팡, 보안·내부 통제 부실에 신뢰·성장 동반 위기 (이데일리 오희나 기자, 2025-11-30 오후 4:31:22)
쿠팡, 고객 개인정보 3379만 계정 유출
온라인 커뮤니티 "계정 탈퇴"·"플랫폼 이동" 언급도
정보 유출 넘어 기업 경쟁력·생존까지 위협받아
전문가들 "책임있는 사과·재발방지 대책, 보상 방안 제시해야"
쿠팡 고객 3379만 계정의 개인정보가 유출되는 사태가 발생한 가운데 이번 사태는 단순한 보안 사고를 넘어 쿠팡의 성장 모델과 기업 가치, 나아가 생존 전략 전반을 흔드는 중대 위기라는 평가가 나온다. 내부 통제와 정보보호 체계의 구조적 취약성이 드러난 데다 규제 리스크와 집단소송 가능성까지 겹치며 쿠팡의 성장 엔진에 제동이 걸릴 수 있다는 우려가 커지고 있다.
30일 업계에 따르면 쿠팡은 약 3379만개 고객 계정에서 이름, 이메일, 전화번호, 배송지 주소, 일부 주문 정보 등이 무단 노출됐다고 지난 29일 밝혔다. 결제정보나 신용카드 번호, 로그인 정보는 유출 대상에서 제외됐지만, 일상 생활과 밀접한 개인 식별 정보가 대규모로 새어나갔다는 점에서 피해 민감도가 매우 높다.
현재까지 파악된 내용에 따르면 해외 서버를 통한 무단 접근이 지난 6월 24일부터 시작된 것으로 추정되며, 쿠팡이 문제를 인지하고 대규모 유출 사실을 공식 확인하기까지 5개월이 소요됐다. 또 지난 20일 4500개 계정 노출로 발표했다가 3379만 계정으로 정정하는 과정에서 축소·은폐 의혹과 함께 고객 불신이 증폭됐다.
이번 사건은 기술적 해킹 여부를 넘어, 장기간 무단 접근을 탐지하지 못한 모니터링 체계와 사고 인지 후 대응·통지 절차 전반의 허점을 드러냈다는 점에서 비판을 받고 있다. 특히 쿠팡은 로켓배송, 간편결제 등 고도화된 디지털 서비스 위에 사업을 확장해 온 만큼, 개인정보 보호와 내부 통제 미흡에 대한 비판이 거세다.
전문가들은 이전부터 노조와의 갈등, 물류센터 노동·안전 이슈, CFS(쿠팡풀필먼트서비스) 퇴직금 미지급 의혹 등 경영 리스크가 반복 노출돼 왔다는 점을 들어, 이번 개인정보 유출도 ‘성장 우선, 거버넌스 후순위’ 구조가 낳은 결과라고 지적한다. 이성훈 세종대학교 경영전문대학원 교수는 “그동안 쿠팡이 대항마 없는 고속성장을 해오면서 정보보안을 등한시한 것으로 보인다”며 “이번 사태와 관련한 대책을 신속하게 마련하지 않으면 고객 신뢰가 크게 흔들릴 수 있다”고 경고했다.
실제 사고 직후 온라인 커뮤니티와 SNS에는 “쿠팡 탈퇴” “타 플랫폼 전환”을 언급하는 글이 급증하는 등 체감 불안이 확산되고 있다.
전문가들은 이번 사태가 기업의 문제가 아니라 고객 개개인의 문제로 전환된 지점을 주목한다. 그동안 배송 편의성과 가격 경쟁력 때문에 불만이 있어도 쿠팡을 유지해 온 고객들까지 개인 안전을 이유로 이탈할 명분을 갖게 되면서, 충성 고객층을 제외한 광범위한 이탈 가능성이 거론된다.
이종우 아주대 경영학과 교수는 “그동안 쿠팡 사태는 타인의 문제였지만 이번에는 고객 개개인의 문제로 전환됐기 때문에 고객 이탈은 물론 소송 이슈로 확산될 수 있다”며 “네이버쇼핑 등 경쟁사와 가격·배송 속도 등에서 차별화가 줄어드는 상황에서 신뢰도 격차까지 벌어진다면 장기적으로 쿠팡의 시장 지위에도 균열이 생길 수 있다”고 말했다.
쿠팡의 경쟁력은 데이터 기반 주문 패턴 분석, 풀필먼트 운영 최적화, 구독·결제 연동 등 고객 데이터 활용을 전제로 한 ‘플라이휠’ 구조에 기초해 왔다. 개인정보 유출과 신뢰 훼손은 이 플라이휠의 출발점인 고객 데이터 축적과 활성 고객 유지에 직격탄을 날리는 요인으로 작용할 수 있다.
전문가들은 쿠팡이 위기 확산을 막기 위해서는 ‘신뢰 회복’을 목표로 전략을 재설계해야 한다고 주문한다. 명확한 사고 경위 공개, 최고 경영진이 책임을 분명히 하는 공식 사과, 외부 전문가가 참여하는 보안·내부 통제 전면 재점검, 피해 고객에 대한 실질적 보상 패키지 제시 등이 핵심 과제로 꼽힌다.
한편 정부는 과학기술정보통신부, 개인정보보호위원회, 민간 전문가 등이 참여하는 민관 합동조사단을 꾸려 사고 원인과 보안 체계 전반에 대한 조사에 착수했다. 경찰 역시 서울경찰청 사이버수사 전담 부서를 중심으로 수사에 나섰다. 조사와 수사 결과에 따라 개인정보보호법 위반에 따른 과징금, 형사 책임, 임직원 개인 책임 등 복합적인 법적 리스크가 현실화될 수 있다.
앞서 대규모 개인정보 유출로 제재를 받은 SK텔레콤 사례는 쿠팡이 직면할 수 있는 재무 리스크의 ‘하한선’으로 거론된다. 개인정보위는 SK텔레콤에 대해 기술·관리적 보호조치 미비와 통지 의무 위반 등을 이유로 1348억원 규모의 역대 최대 과징금을 부과한 바 있다. 더 나아가 개인정보분쟁조정위원회는 SK텔레콤 피해자 1인당 30만원의 손해배상금 지급을 권고했다. 쿠팡 역시 유사한 수준의 과징금, 집단분쟁조정 및 민사소송이 연쇄적으로 발생할 경우, 영업이익뿐 아니라 투자·성장 전략에도 중대한 압박을 받게될 전망이다.
https://www.hani.co.kr/arti/opinion/editorial/1232055.html
[사설] 쿠팡 3400만 고객정보유출, 관리 얼마나 허술했길래 (한겨레, 2025-11-30 18:10)
국내 최대 전자상거래 업체인 쿠팡에서 고객 계정 3370만개의 정보가 무단으로 유출됐다. 사실상 모든 고객의 정보가 최소 5개월 동안 유출된 것인데, 이런 사실을 파악조차 하지 못하고 있었다. 피해자 규모가 매우 광범위한 만큼, 정부는 2차, 3차 피해로 이어지는 일이 없도록 엄중히 대처해야 한다.
정부는 30일 쿠팡 개인정보 유출 사고에 대해 민관합동조사단을 꾸려 철저히 조사하겠다고 밝혔다. 이번에 유출된 정보는 이름과 이메일 주소, 전화번호, 주소, 일부 주문정보 등이다. 쿠팡에서 구매 경험이 있는 모든 소비자의 정보가 유출된 것으로 보인다. 쿠팡 쪽은 결제 정보나 신용카드 번호, 로그인 비밀번호 등은 유출되지 않았다는 입장이다. 하지만 다른 해킹 사고에서도 조사가 진행되면서 추가 피해가 확인된 바 있어 안심하기엔 이르다. 무엇보다 유출된 정보를 악용해 스미싱(문자메시지 등으로 악성 링크를 보내는 금융사기) 등 2차 피해가 발생할 수 있다는 점이 우려된다. 쿠팡을 비롯한 여러 해킹 사고에서 유출된 개인정보를 조합해 개인을 특정하는 방식의 3차 피해가 벌어질 가능성도 배제하기 어렵다. 정부는 최우선적으로 추가 피해가 발생하지 않도록 총력을 기울여야 한다.
이번 유출 사고는 외부 해킹이 아닌 내부 직원의 소행으로 알려졌다. 쿠팡은 지난 20일 정보 유출 규모가 4500명이라고 했다가 29일 3370만명으로 재공지했다. 심지어 정보 유출은 지난 6월24일부터 시작됐는데 그간 내부에서 전혀 파악하지 못했다. 제대로 관리가 이뤄졌다면 데이터별로 접근 권한을 갖는 직원들이 있었을 텐데, 한명이 모든 고객의 정보를 빼가는 동안 그 사실을 인지조차 못 했다는 것인가. 도무지 납득이 가지 않는다. 특히 유출자는 쿠팡의 인증 취약점을 악용해 정상적인 로그인 없이도 3천만명 이상의 개인정보를 빼간 것으로 확인됐다. 그동안 쿠팡이 얼마나 허술하게 고객 정보를 관리해온 것인지 책임을 묻지 않을 수 없다. 앞으로 조사단이 철저히 진상을 밝혀야 한다.
정부도 반복되는 유출 사고를 더 이상 방치해선 안 된다. 통신사와 금융사에 이어 플랫폼 기업까지 국민 대다수가 이용하는 곳에서 유출 사고가 끊이지 않고 있다. 주무부처 수장의 사과로만 끝낼 일이 아니다. 정부의 느슨한 관리감독과 솜방망이 제재가 기업의 정보보안 투자를 소홀하게 만든 것은 아닌지 다각도로 점검해야 한다. 좀 더 근본적이고 강력한 재발 방지 대책이 필요하다.
https://www.hani.co.kr/arti/economy/economy_general/1232076.html
“유출 아니고 노출입니다”…쿠팡은 피해 축소 급급했다 (한겨레, 서혜미 기자, 2025-11-30 19:18)
‘피해자 3370만여명’이라는 전례를 찾기 힘든 대규모 개인정보 유출 사고가 발생한 쿠팡의 대응을 두고 비판의 목소리가 나온다. 쿠팡은 결제·신용카드·로그인 정보는 유출되지 않았다고 강조했지만, 정작 피해 사실을 사건 발생 5개월 뒤에야 인지했고, 초기엔 피해 규모조차 제대로 파악하지 못했기 때문이다. 더욱이 고객 정보가 외부 해킹 등이 아닌 내부 직원에 의해 빠져나갔을 가능성이 제기되면서, 장기간 조직 내 개인정보 관리·감독 기능이 작동하지 않았을 것이란 분석도 나온다.
30일 쿠팡의 월간 활성 사용자 고객 현황을 보면, 지난 3분기 기준 2470만명이다. 이번 유출 사고로 3370만명의 개인정보가 빠져나간 점을 고려하면, 비활성 고객까지 포함한 사실상 대다수 고객 정보가 모두 유출된 것으로 보인다. 하지만 쿠팡은 이번 사태 초기부터 안내문 등에서 ‘개인정보 유출’이 아닌 ‘노출’이라는 표현을 고수해왔다. ‘시스템이 해킹당했으면 유출인데, 이번 사건은 시스템 해킹이 아니다’라는 것이 쿠팡 쪽 주장이다.
최경진 한국인공지능법학회장(가천대 법학과 교수)은 “노출은 일반적으로 데이터들이 일반인이 접근할 수 있도록 공개된 상태를 일컫는데, 경우에 따라선 경미한 과실로 인해 발생할 수도, 중대한 과실로 인해 발생할 수도 있다”고 설명했다. 반면 그는 유출에 대해서는 “외부 해킹이나 내부자의 악의적인 행위, 기업의 중대한 과실로 생긴 상황을 가리키는 경우가 많다”고 덧붙였다. 전날 3370만개 계정의 피해가 확인됐는데도 쿠팡은 여전히 ‘경미한 과실’이라는 뜻을 고수하고 있는 셈이다.
이번 쿠팡 사태는 앞서 발생한 에스케이티(SKT)·케이티(KT) 등 통신사나 롯데카드 등에서 발생한 개인정보 유출 사고와는 규모나 기업의 개인정보 관리·감독 면에서 더욱 심각하다는 지적이 나온다. 앞서 발생한 사건은 해킹으로 인한 악성코드 감염, 불법 팸토셀(초소형 기지국) 등 외부적 요인이 원인이지만, 쿠팡의 경우엔 내부 직원에 의한 개인정보 유출 가능성이 거론되고 있기 때문이다. 정부는 지금까지 쿠팡 서버에서 발견된 악성코드는 없다고 밝혔다.
쿠팡은 이번 사고 원인에 대해 ‘해외 서버를 통한 비인가 조회’라고 설명하고 있다. 접근 권한이 없는 기업의 내외부자가 고객 개인정보에 접근했다는 뜻이다. 배경훈 부총리 겸 과학기술정보통신부 장관은 30일 정부서울청사에서 긴급 관계부처 장관회의를 열고 “공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 3천만개 이상 고객 계정의 고객명, 이메일, 배송지 전화번호 및 주소를 유출한 것으로 확인했다”고 밝혔다. 쿠팡은 중국 국적의 전 직원이 범행을 저질렀을 가능성이 있다는 일부 보도에 이렇다 할 부인을 하지 않는 상황이다.
김명주 서울여대 교수(정보보호학과)는 “내부 직원이 고객 개인정보를 빼간다면 정보 유출 방지시스템(DLP)에 의해 자동으로 파악되기 마련”이라며 “내부 보안 전문가나 시스템 관리자에 대한 관리·감독이 제대로 되고 있었는지 살펴봐야 한다”고 말했다.
개인정보보호법은 관련 고시에서 개인정보처리자가 개인정보를 다룰 때 반드시 지켜야 하는 최소한의 보호 기준을 제시하고 있다. 예컨대 정당한 권한을 가진 자가 개인정보에 접근하도록 해야 하고, 개인정보 취급자가 바뀌거나 해당 직원의 업무가 바뀔 경우, 개인정보처리시스템의 접근 권한을 즉시 조정하거나 말소하도록 해야 한다는 것이다.
이 때문에 향후 쟁점은 쿠팡이 접근 권한 관리와 통제를 제대로 하고 있었는지가 될 것으로 보인다. 업계에서는 이번 사고로 역대 최대 과징금 처분이 나올 것이란 관측이 제기되고 있다. 지금까지 개인정보 유출에 따른 최대 과징금은 에스케이(SK)텔레콤의 1347억9100만원이다. 이번 사고로 유출된 개인정보 규모가 에스케이텔레콤 사고 때보다 큰데다, 외부 공격이 아닌 내부 직원 소행이라면 책임을 더욱 무겁게 볼 여지가 있다는 것이다. 김도승 개인정보보호법학회장(전북대 법학전문대학원 교수)은 “내부적인 문제에서 비롯된 측면이 있다면 중대한 과실을 추단할 수밖에 없고, 내부 관리 시스템 자체가 무너졌다고 비판해도 할 말이 없는 상황”이라고 말했다.
https://www.hankookilbo.com/News/Read/A2025113013550003490?did=NA
최대 쇼핑몰 쿠팡서 최악의 정보유출… 전 국민이 추가 피해 노출 (한국일보, 박경담 기자, 2025.11.30 19:30)
피해자 수, 14년 전 네이트 해킹과 맞먹어
직원 소행에 무게, 내부 통제 허점 드러내
카드번호 없다지만 범죄 악용되기에 충분
국내 이커머스(전자상거래) 업체 1위 쿠팡에서 고객 3,370만 명의 정보가 유출됐다. 2011년 네이트 해킹 사고(3,500만 명 피해) 이후 14년 만에 최악의 개인정보 유출 사고다. 더욱이 쿠팡 내부자 소행일 가능성이 높은 것으로 추정돼 이미 소비자와 국민들의 신뢰에는 금이 갔다. 통신사, 금융사에 이어 국내 최대 이커머스 기업 쿠팡까지 개인정보 유출 사고가 터지면서 사실상 전 국민이 보이스피싱 등 범죄에 노출된 상황이다.
과학기술정보통신부는 30일 민관합동조사단을 구성하고 서울 송파구 쿠팡 본사에서 '개인정보 유출 사고' 원인 분석·대책 마련을 위한 회의를 가졌다. 이미 쿠팡으로부터 1차(11월 20일)와 2차(11월 29일) 유출 신고를 접수해 지난 21일부터 조사 중인데, 개인정보 유출 피해 규모가 급증해서다. 쿠팡은 지난 20일 최초 신고 당시 개인정보보호위원회에 4,536개 계정의 고객명, 연락처, 주소, 이메일, 일부 주문 정보 등의 정보가 유출된 것으로 신고했지만 3,370만 개로 피해 범위가 크게 확대됐다. 쿠팡이 올해 3분기 실적 발표 때 공개한 프로덕트 커머스 부분 활성고객(구매 이력이 있는 고객) 2,470만 명보다 많아 사실상 전 고객의 정보가 유출된 것으로 보인다. 박대준 쿠팡 대표는 30일 "피해 입은 쿠팡 고객들과 국민들에게 심려를 끼쳐 드려 사과 말씀을 드린다"고 고개를 숙였다.
정부가 주말 사이 긴급 대응에 나선 건 사실상 모든 쿠팡 가입자 정보가 노출돼 파급력이 크기 때문이다. 중복 가입이 어렵고 만 14세 이상부터 쿠팡에 가입할 수 있는 점을 감안하면 해당 인구 약 70%의 개인정보가 샌 것으로 추정된다. 쿠팡은 결제·신용카드 정보 등은 포함되지 않았다고 설명했으나 현재 유출 정보만으로도 충분히 범죄에 악용될 수 있다.
개인정보 유출은 해커 대신 고객 개인정보에 접근 권한을 가진 내부 직원 소행에 무게가 실린다. 쿠팡이 1차 개인정보 유출 사고를 인지하고 알린 20일 "쿠팡 시스템과 내부 네트워크망을 확인한 결과 외부 침입 흔적은 없었다"고 밝혀서다. 퇴사한 중국인 직원이 범인이라는 의혹도 나오고 있다.
쿠팡 측은 회의에서 "중국 직원의 소행일 가능성을 염두에 두고 있다"고 발언한 것으로 전해졌다. 경찰은 쿠팡이 "회원 개인정보를 갖고 있다. 보안을 강화하지 않으면 유출 사실을 언론에 알리겠다"는 협박성 이메일을 받은 사실을 포착한 것으로도 알려졌다. 다만 이메일에는 금전 요구는 없었다고 한다. 아울러 이 이메일을 보낸 인물이 중국인 직원과 동일인인지도 추적 중이다.
쿠팡은 대형 개인정보 유출 사고로 정보 보안·관리에 큰 허점을 보였다. 우선 개인정보 유출이 수면 위로 오른 1차 사고를 고객 신고가 있었던 18일에 파악하기 시작했다. 고객 신고가 없었다면 개인정보 유출 사실을 더 늦게 알아챘을 수 있었다는 의미다. 쿠팡은 또 후속 조사 결과 개인정보 3,370만 개 유출과 관련한 해외 서버 무단 접근이 6월 24일부터 시작됐다고 봤다. 약 5개월 동안 속수무책이었던 셈이다.
연이은 정보 유출 '불안'... 정부 "3개월간 모니터링 강화"
정보보안업계에선 쿠팡의 내부 통제 시스템이 제대로 작동했는지 의문을 제기한다. 통상 보안 관련 직원이 접근할 수 있는 개인정보는 제한적이고 접근 기록도 남는다. 만약 같은 직원이 연달아 개인정보를 다운로드할 경우엔 이상 징후로 포착, 관리자에게 통보된다. 개인정보를 여러 차례에 걸쳐 나눠 가져간 것으로 추정되는 이번 사고 주요 원인을 관리 소홀로 판단할 수 있는 이유다.
개인정보를 훔쳐 가는 과정에서 생기는 트래픽(정보 이동량)이 일정 범위 내에 있었다면 유출을 알기 쉽지 않았을 것이라는 시각도 있다. 쿠팡은 평소 거래가 많고 특정 할인 행사 땐 고객이 더 몰려 트래픽 범위도 넓은 편이다. 염흥열 순천향대 정보보호학과 교수는 "개인정보를 다루는 직원은 권한을 가진 만큼 오남용 유혹에 빠질 수 있다"며 "이를 막을 내부자 보안 대책을 쿠팡이 갖췄는지 조사해야 한다"고 말했다.
올해 들어 SK텔레콤·KT·LG유플러스 등 통신사, 롯데카드에 이어 쿠팡까지 대규모 개인정보 유출사고가 계속 터지면서 국민들의 불안감은 커지고 있다. 2차 피해가 예상돼서다. 유출된 전화번호가 보이스피싱이나 문자 메시지를 통해 개인정보를 탈취하는 스미싱 범죄에 사용될 수 있다. 쿠팡 측으로 가장해 '개인정보 유출 사실을 확인해 보세요'라는 식의 문자 메시지를 보내고 악성 링크를 누르도록 유도하는 게 대표적인 수법이다. 배경훈 부총리도 "통신사, 금융사에 이어 국민들께서 많이 이용하시는 플랫폼사까지 침해사고 및 개인정보 유출이 발생해 송구하다"고 고개를 숙이고, "2차 피해가 일어나지 않도록 각별히 유의해달라"고 당부했다. 정부는 이날부터 3개월간 '인터넷상(다크웹 포함) 개인정보 유·노출 및 불법유통 모니터링 강화 기간'으로 운영한다.
전문가들은 기업이 정보 보안·관리에 적극적이지 않으면 개인정보 유출 사고는 반복될 수밖에 없다고 입을 모은다. 김명주 서울여대 지능정보보호학부 교수는 "정보 보안 영역에서 사고가 나지 않으면 비용을 쓴다고 여기고, 투자·인력을 줄이는 기업이 적지 않다"며 "주춧돌이 튼튼해야 건물을 잘 세울 수 있듯 기업은 기초 인프라인 정보 보안 투자를 늘려야 한다"고 말했다. 곽진 아주대 사이버보안학과 교수 역시 "쿠팡이 개인정보 추가 유출을 막는다는 건 단편적인 대응책"이라며 "인력 증원, 투자 확대 등 보안 체계 전반을 점검해야 한다"고 말했다.
https://www.khan.co.kr/article/202511301939001
[사설] 수천만 고객 정보까지 유출, ‘죽음의 일터’ 쿠팡 엄벌하라 (경향, 2025.11.30 19:39)
국내 1위 전자상거래 업체 쿠팡에서 3370만건의 개인정보 유출 사고가 났다. 소비자들은 쿠팡의 늑장 대처와 2차 피해 우려에 분통을 터뜨리고 있다. 과로사·산재 논란에도 침묵하며 ‘죽음의 일터’로 불리더니, 보안 사고 예방·대응마저 뚫린 것이다. 기업 윤리와 사회적 책임 모두 총체적 문제 기업이 됐다.
정부는 30일 쿠팡 개인정보 유출 사태 관련 긴급회의를 열고 “쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 3000만개 이상 고객 계정의 고객명, e메일, 발송지 전화번호 및 주소가 유출된 것으로 확인했다”고 밝혔다. 올해 3분기 구매 이력 있는 고객이 2470만명이었으니 사실상 모든 쿠팡 이용자 정보가 노출된 셈이다. 해킹 사고 역대 최대 과징금 처분(1348억원)을 받은 SK텔레콤의 유출 규모(2324만명)를 뛰어넘는다.
문제는 전체 피해 규모조차 안갯속이라는 점이다. 쿠팡은 지난 18일 4500개 계정의 개인정보가 노출됐다고 20일 관계당국에 신고했지만, 열흘 만에 노출 계정이 약 7500배 늘어났다. 또 쿠팡이 개인정보 유출 사실 자체를 장기간 모른 것도 문제다. 지난 6월24일 해커가 해외 서버로 개인정보에 접근했는데도 5개월 동안 인식하지 못했다. 혹여 올해 해킹 사고를 낸 SKT·KT·롯데카드처럼 정보 누출 사실을 알고도 쉬쉬하다 피해를 키운 건 아닌지 정부 조사에서 철저히 밝혀야 한다.
사고 후 쿠팡의 소비자 보호 조치는 적극적·능동적이지 않다. 주문조회나 배송정보에 기반한 스팸·스미싱 문자로 2차 피해 걱정이 늘고, 현관 비밀번호까지 유출된 건 아닌지 불안해하는 소비자도 많다. 또 쿠팡은 결제정보·신용카드번호·패스워드 등 로그인 관련 정보는 노출되지 않았다 하지만 이 역시 안심할 수만은 없다. 지난 9월4일 롯데카드가 “고객 정보 유출 사실은 확인되지 않았다”고 공지한 2주 뒤 카드번호와 CVC(카드보안)번호 등이 유출된 것으로 밝혀진 바 있다. 이러니 포털과 소셜미디어에서 손해배상 청구 피해자 모임이 태동한 것도 당연하다.
쿠팡은 반노동 기업으로 악명이 높다. 11월에만 새벽 배송·물류 일 등을 하다 3명의 노동자가 사망했지만, 숨진 노동자들의 주당 근무시간 등을 알리는 데 급급해하고 있다. 최근엔 노동자 건강권 보호를 위한 새벽배송 제한 요구가 커져도 침묵으로 일관하고 있다. 쿠팡은 문지석 부장검사의 양심선언으로 부천지청의 쿠팡풀필먼트서비스(CFS) 퇴직금 미지급 무마 사건과 관련해 특검 수사도 앞두고 있다.
현대판 막장 기업을 자초할 셈인가. 쿠팡은 때늦은 대표 사과를 넘어 개인정보 노출 피해를 본 고객에게 충분한 정보와 납득할 만한 보상 대책을 내놔야 한다. 정부 역시 보안·안전 조치 의무 위반 사항이 있는지 철저히 조사해 엄중히 처벌해야 한다. 나아가 과로사·새벽배송·부당노동행위 등 쿠팡이 야기한 사회적 문제들도 더 이상 방관하지 말고, 법적·윤리적·제도적 해법을 찾아야 한다.
https://www.donga.com/news/Opinion/article/all/20251130/132872905/2
[사설]3370만 계정 털린 쿠팡… 최악의 개인정보 유출 사태 (동아일보, 2025-11-30 23:30)
국내 최대 유통기업 쿠팡에서 3370만 명의 개인정보가 유출되는 초유의 사건이 발생했다. 이름, 전화번호, 자택 및 배송지 주소, e메일 주소와 최근 주문 내역까지 민감한 정보가 무더기로 빠져나갔다. 유출된 정보의 규모와 민감성을 감안하면 ‘역대 최악의 개인정보 유출 사건’이라고 해도 과언이 아니다.
이번 개인정보 유출은 6월 24일부터 이뤄졌다고 한다. 그런데 쿠팡은 소비자 신고를 받고 지난달 18일에야 처음 피해 사실을 파악했다. 무려 5개월 동안 대규모 정보 유출을 전혀 감지하지 못한 건 내부 정보보호 시스템이 있으나 마나 했다는 뜻이다. 쿠팡 측은 현재 퇴사한 중국 국적 직원이 해외 서버를 경유해 무단으로 고객 정보에 접근한 것으로 의심하고 있다. 경찰의 수사 결과를 봐야겠지만 직원 한 사람이 모든 고객 정보를 빼낼 수 있었다면 접근 통제 시스템 역시 무용지물이었다는 지적을 피하기 어렵다.
처음 4500건이라고 보고됐던 피해 규모가 불과 9일 만에 7500배로 늘어난 경위도 석연치 않다. 쿠팡 측은 “조사 과정에서 추가 유출 사실을 알게 됐다”고 설명했지만 사건을 은폐하거나 축소하려 한 건 아닌지 철저한 수사가 필요하다. 쿠팡 측은 피해 고객들에게 “결제·로그인 정보는 유출되지 않았으니 계정 관련 조치는 필요 없다”고 안내했는데 이 또한 지나치게 성급한 판단으로 보인다. 추가 조사에서 유출 정보가 더 있는 것으로 나타나면 피해가 커질 수밖에 없다.
현재까지 유출된 정보만으로도 심각한 2차 피해가 우려되는 상황이다. 유출된 배송지 정보에 공동현관 비밀번호가 포함된 경우 스토킹이나 주거침입 범죄로 이어질 수 있다. 성인 4명 중 3명꼴로 피해를 입은 만큼 피해 조회·보상, 환불, 애플리케이션(앱) 업데이트 등을 빙자한 ‘피싱 사기’도 기승을 부릴 것으로 예상된다. 쿠팡은 “사칭 전화와 문자에 주의해 달라”는 공지만 하고 손 놓을 게 아니라 2차 피해를 막기 위해 보다 적극적이고 책임 있는 자세로 나서야 한다.
쿠팡은 2021, 2024년 두 차례 국가 공인 정보보호 인증인 ISMS-P를 취득했지만 인증 이후 이번까지 4번이나 개인정보 유출 사고를 겪었다. SK텔레콤(2324만 명)과 롯데카드(297만 명) 역시 ISMS-P를 취득한 상태에서 올해 대규모 개인정보 유출 사건이 발생했다. 정부는 이번 사태를 유명무실해진 인증 제도를 전면 재점검하고 실효성 있는 개선 방안을 마련하는 계기로 삼아야 한다.
https://www.hankookilbo.com/News/Read/A2025113014590004586
[사설] 고객 신상, 쇼핑 취향까지 털린 쿠팡… ‘2차범죄 악용’ 우려 (한국일보, 2025.12.01 00:10 27면)
국내 최대 전자상거래 업체 쿠팡에서 3,300만 명의 개인 정보가 유출되는 초대형 보안 사고가 터졌다. 내부 직원 소행이라는 점에서 쿠팡이 엄중한 관리 책임을 져야 한다. 고객 신상 정보에 더해 쇼핑 주문 정보까지 새 나간 만큼, 피싱 범죄나 강력범죄에 악용될 가능성을 유의해야 한다.
29일 쿠팡은 “고객 계정 3,370만 개가 무단으로 노출됐다”며 “노출된 정보는 이름, 이메일, 주소, 배송지 주소록(전화번호 등), 일부 주문 정보”라고 밝혔다. 결제와 로그인 정보를 제외하고는 사실상 고객이 쿠팡에 맡긴 모든 정보가 털린 셈이다. 2011년 네이트 해킹(3,500만 명)에 이은 역대 두 번째 보안 사고이고, 사상 최대 과징금(1,348억 원)을 받은 SK텔레콤 유심 정보 유출(2,324만 명)보다 더 큰 규모다.
먼저 쿠팡의 허술한 대응을 지적하지 않을 수 없다. 이번 사태는 외부 해킹이 아닌 내부 직원(외국인)에 의해 시작됐을 가능성이 크다. 직원 범죄 연루 가능성을 걸러내지 못한 쿠팡의 책임이 막중하고, 직원 한 명이 수천 만 고객의 온갖 정보를 빼돌릴 수 있었던 느슨한 보안 체계도 문제다. 올해 6월 시작된 유출을 5개월이 지난 최근에야 사태를 파악했을 정도로 쿠팡의 대응엔 빈틈이 많았다. 외형 확장과 수익에만 신경 쓰느라 보안에 소홀했다는 비판을 면키 어렵다.
주목할 점은 유출 정보가 추가 범죄에 악용될 가능성이다. 이미 수차례 대규모 정보 유출 사태가 터지면서 ‘한국인의 개인정보는 공공재’라는 비아냥까지 나오는 상황인데, 쿠팡의 광범위한 신상·주문 정보가 조합되면 범죄조직이 피해자 개개인 특성을 짜맞춰 정교한 피싱을 시도할 위험성이 커진다. 이번 사고 탓에 사기 범죄가 훨씬 교묘해질 우려가 크다.
쿠팡은 책임을 피하지 말고 수습과 배상에 최선을 다해야 한다. 정부도 경각심을 갖고 유출 사고가 2차 범죄로 이어지지 않도록 대책 마련에 나서야 한다. 관련 법령에 예방 및 처벌 조항 강화나 기업의 민·형사 책임 확충 등 대형 보안 사고의 반복을 막을 제도적 노력도 뒤따라야 한다.
https://www.chosun.com/opinion/editorial/2025/12/01/EHLQ63FQF5D3XLTXNLXUWED3HI
[사설] 쿠팡 3370만명 정보 유출, '보안 위험국' 된 한국 (조선일보, 2025.12.01. 00:20)
쿠팡만이 아니다. 올해에만 SK텔레콤·KT를 비롯해 디올, 루이비통, 아디다스, GS리테일, 파파존스 등 여러 업종의 대표적인 기업들에서 고객 정보 유출 사고가 발생했다. 지난 달 말에는 가상 자산 거래소 업비트가 북한 소행으로 추정되는 해킹 공격을 받아 580억원 상당 코인을 탈취당하기도 했다. 주요국 중에서 이렇게 보안 사고가 빈발하는 나라도 없을 것이다. IT 선진국이라더니 ‘보안 위험국’이 돼 버렸다.
솜방망이 처벌이 기업들의 보안 의식을 안이하게 만들고 있다. 미국에서는 정보 유출 시 징벌적 손해배상과 집단소송으로 천문학적 배상을 받아낼 수 있다. 반면 한국은 피해자가 ‘금전 피해’를 직접 입증해야 하고 정신적 피해 배상액도 1인당 10만~20만원 수준에 그친다. 업계에서 “보안 시스템에 투자하는 것보다 사고 뒤 과징금 내는 게 더 싸다”는 말이 공공연하게 나온다.
고객 정보를 유출한 기업에 대해 강력한 제재를 내리고 경영진 책임도 엄중히 물어야 한다. 기업들도 보안이 ‘비용’이 아닌 생존과 성장의 필수 조건이란 인식을 가져야 한다. 국민의 정보가 글로벌 범죄의 먹잇감이 되게 놔둘 수는 없다.
https://www.joongang.co.kr/article/25386362
[사설] 3370만 정보 유출 쿠팡, 정보보호 국가 인증도 무색 (중앙일보, 2025.12.01 00:30)
5개월 전부터 내부 유출 정황, 정보관리 구멍
관련 인증 두 번이나 취득…제도 허점 드러나
과거 이동통신사 등의 개인정보 유출 사고는 대부분 해킹이 원인이었지만 이번엔 퇴사한 중국 국적 직원의 소행일 가능성이 거론된다. 내부 직원이 5개월간 고객 정보를 무더기로 빼갔는데도 회사가 몰랐다면 조직 내부의 고객 정보 관리와 접근 권한 관리에 심각한 문제가 있었음을 보여준다. 2020년부터 2023년까지 쿠팡은 세 차례의 정보유출 사고를 냈고, 모두 16억원의 과징금을 맞았다. 사고가 날 때마다 재발 방지를 약속했지만 구두선(口頭禪)에 그쳤다. 왜 비슷한 사고가 반복되는지 쿠팡은 통렬하게 반성하고 납득할 만한 개선책을 내놓아야 한다.
과학기술정보통신부와 개인정보보호위원회가 공동으로 운영하는 국내 유일의 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 쿠팡이 2021년과 2024년 두 차례 취득했는데도 정보유출 사고가 계속됐다. 개인정보위가 장관급 중앙행정기관으로 격상된 2020년 이후부터 이달까지 총 27개의 ISMS-P 인증 기업에서 34건의 개인정보 유출 사고가 발생했다. 이럴 거면 국가 인증제가 무슨 소용이냐는 불만이 나올 수밖에 없다. 개인정보 유출을 예방하겠다고 도입한 ISMS-P 인증 제도를 보완하거나 아예 새로운 제도가 필요한 건 아닌지 정부가 면밀하게 다시 검토할 때가 됐다.
쿠팡의 국내 고용자는 10만 명에 달한다. 삼성·현대차·LG·SK 4대 그룹에 이어 5위 수준이다. 일자리를 많이 만들지만 택배 기사·물류센터 노동 문제와 쿠팡풀필먼트서비스(CFS) 퇴직금 미지급 사건과 관련한 수사 외압 의혹 등으로 이런저런 구설에도 자주 올랐다. 부실한 고객정보 관리 탓에 거대 플랫폼 기업 이미지에 생채기가 하나 더 늘게 됐다.
https://www.hankookilbo.com/News/Read/A2025113012150004374
"집 주소 털려" "이번에 탈퇴" 쿠팡 사태로 치솟는 불안·분노... 집단 소송도 (한국일보, 권정현 문지수 남병진 기자, 2025.12.01 04:30 3면)
쿠팡, 3370만 명 개인정보 유출
이름부터 연락처, 집 주소까지 털려
2·3차 피해 가능성에 불안 커져
집단소송 모집 하루 만에 1000명 훌쩍
"여성 혼자 사는 집 주소까지 유출됐는데, '사과드린다'는 말 한마디면 다인가요."
서울 동대문구에서 자취하는 대학생 유모(27)씨는 30일 자신의 개인정보가 유출됐다는 쿠팡의 안내 문자 메시지를 받고 심장이 철렁 내려앉았다. 식재료나 생수 살 때마다 쿠팡 '로켓배송'을 이용한 유씨는 "집 주소와 아래 써둔 빌라 공동 현관 비밀번호도 유출됐다니 범죄 표적이 될 수 있을지 모른다는 걱정에 집주인에게 현관 비밀번호 변경 요청까지 했다"고 털어놨다.
전자상거래(이커머스) 국내시장 점유율 1위 쿠팡의 개인정보 유출 사태로 이용자들의 불안과 분노가 치솟고 있다. 쿠팡이 자체 조사로 밝힌 노출 이용자 계정만 3,370만 명 규모로, 사실상 일상에서 쿠팡을 끼고 소비를 해온 전체 이용자 개인정보를 모두 노출해버린 셈이라 후폭풍이 만만치 않다. 쿠팡 상대 집단 손해배상 청구 소송 움직임도 본격화됐다. 무엇보다 역대 최다 규모 정보 유출 탓에 2·3차 피해 우려도 커지고 있다.
"도저히 못 참겠다" 원성 터져
개인정보 유출 안내를 받고 곧장 쿠팡 이용을 중단하는 이용자들도 잇따랐다. 경기 성남시에 사는 안모(36)씨는 "전날 아침만 해도 쿠팡으로 라면을 주문했는데, (3,370만 명 정보 유출) 뉴스를 보고 아찔했다"며 "(과거 쿠팡의 문제적 행태로) '불매' 움직임이 있을 때마다 이용을 고민했는데, 이번엔 바로 탈퇴했다"고 말했다. 쿠팡의 유료 멤버십 서비스('와우멤버십')를 3년 쓰며 월 10건 이상 주문했다는 '단골' 이모(26)씨도 "빠른 배송 편의로 써왔는데, 이 사태는 도저히 그냥 넘어가기 어렵다"고 분개했다.
사태의 심각성에 비해 느슨한 쿠팡의 대응도 불신을 키웠다고 이용자들은 꼬집었다. 쿠팡은 올해 6월 24일 유출이 시작됐다고 했는데, 5개월간 유출을 인지 못한 보안 실패를 자인한 셈이다. 엉성했던 피해 규모 파악도 불신을 부채질했다. 쿠팡은 한국인터넷진흥원(KISA)에 피해 규모를 4,500명이라 신고했으나, 11일 만에 3,370만 명 규모로 7,488배 폭증했다. 직장인 김태욱(28·서울 강남구)씨는 "5개월간 유출 사실조차 인지 못하고, 피해 규모가 갑자기 터무니없게 불어난 이 상황을 누가 선뜻 이해하겠느냐"고 반문했다. 이용자가 즐겨쓰는 쿠팡 애플리케이션에 신속한 공지도 없이 피해 이용자에게 개별 문자만 순차 발송한 점도 미흡했다고 지적됐다. 김씨는 "안내에 구체적 설명과 진정성 있는 사과는 없었다"고 꼬집었다. 한 이용자는 "피해자에게 안내된다 해서 아침부터 휴대폰만 끼고 초조해했는데, 오후에야 문자가 왔다"고 분통을 터뜨렸다.
쿠팡을 실제 이용하는 월간 활성 이용자(3,200만 명)를 넘어선 초대형 유출 규모에 탈퇴한 회원과 휴면 계정까지 털린 것 아니냐는 우려도 번졌다. 서울 은평구에 사는 문모(27)씨는 "1년 전 새벽배송 딱 한번 이용한 뒤 안 썼는데 이름과 연락처, 집 주소 등이 털리는 대가를 치렀다"고 허탈해했다.
"정신적 피해 배상하라"... 집단소송 본격화
집단 소송 움직임도 본격화됐다. 카카오톡 오픈 채팅방 '쿠팡 개인정보 유출 피해자 모임'과 네이버 커뮤니티 공간 등이 전날 개설돼 피해 사례와 대응 방안 공유가 이뤄졌다. 집단소송 모집에 나선 김경호 법률사무소 호인 변호사는 "대다수가 피해를 입었고, 쿠팡이 '늑장 대응'해 분명한 책임이 있다"며 모집 하루 만에 1,000여 명(오후 5시 30분 기준)이 참가 의사를 보였다"고 했다.
2·3차 피해 우려... "민관 조사 속도내야"
2·3차 피해로 확산될 여지도 있어 이용자 불안은 당분간 사그라들지 않을 걸로 보인다. 쿠팡은 신용카드 번호나 결제 정보 등의 유출은 없었다지만, 사태 규모를 감안하면 후속 피해가 잇따를 수 있다는 관측이 나온다. 박춘식 서울여대 정보보호학과 교수는 "대규모 유출이라 피해가 어디까지 번질지 가늠하기 어렵다"며 "유출 기업 발표만으로 유출 정보 범위를 단정하기도 어렵다"고 했다. 이에 민관 합동조사단이 속도감 있게 조사해야 한다고 강조했다.
서울경찰청 사이버수사대는 이달 25일 쿠팡의 고소장을 접수한 뒤 28일 고소인 조사를 했으며, 유출 규모와 경위를 확인하는 수사에 속도를 낼 방침이다. 유재성 경찰청장 직무대행은 "다수 국민이 피해를 입은 만큼, 철저히 수사해 진상을 규명하고 피의자를 신속히 검거하겠다"고 밝혔다.
https://www.yna.co.kr/view/AKR20251130013200017
[AI돋보기] "내 정보는 이미 공공재?"…쿠팡 사태가 드러낸 현실 (서울=연합뉴스, 심재훈 기자, 2025-12-01 06:33)
쿠팡 3천370만 계정 노출…이름·주소·구매이력 포함한 생활 데이터 위험
최근 10년간 3억건 유출…국민 평균 6회 이상 정보 노출된 셈
"제 개인정보는 이미 공공재 아닌가요?" 대규모 개인정보 유출 사고가 터질 때마다 온라인 커뮤니티에 올라오던 이 자조 섞인 농담은 이제 더 이상 웃어넘길 수 없는 섬뜩한 현실이 됐다.
국내 이커머스 업계 1위인 쿠팡이 최근 "회원 3천370만 명의 계정 정보가 외부로 무단 노출된 사실을 확인했다"고 시인하면서다. 우리나라 전체 인구가 약 5천100만 명임을 고려하면 사실상 경제 활동을 영위하는 국민 대다수의 정보가 잠재적 위협에 노출된 셈이다.
이번 사태는 단발성 사고가 아니라 지난 10년간 끊임없이 반복되며 '일상화된 위험'이 되어버린 우리나라 보안의 현주소를 적나라하게 보여준다. 지난 10년간의 유출 역사와 변화하는 해킹 트렌드, 그리고 AI 시대에 더욱 교묘해지는 보안 위협을 분석해봤다.
◇ 이름·주소에 구매 이력까지… '데이터의 질'이 달라졌다
쿠팡 측은 이번 사고로 유출된 정보가 고객의 이름, 이메일, 전화번호, 주소, 그리고 일부 주문 정보라고 밝혔다. 다행히 신용카드 번호나 비밀번호 등 직접적인 금융 정보는 포함되지 않은 것으로 파악된다.
그러나 보안 전문가들은 이번 사태를 단순한 아이디(ID) 노출보다 훨씬 심각하게 받아들이고 있다. 과거의 해킹이 단순히 시스템에 접근할 '열쇠'를 훔치는 수준이었다면 이번에 노출된 정보는 개인의 실생활을 낱낱이 파악할 수 있는 '고품질 데이터'이기 때문이다.
실명과 전화번호, 집 주소에 '무엇을 샀는지'에 대한 정보가 결합하면 범죄의 목표는 소름 돋을 정도로 정교해진다. 예를 들어 최근 유모차를 구매한 고객에게 택배사를 사칭해 "배송 주소 확인" 문자를 보내거나 특정 고가 가전제품의 구매 이력을 미끼로 AS 센터를 가장한 보이스피싱을 시도하는 식이다. 정보의 질이 달라진 만큼 범죄의 적중률도 높아질 수밖에 없다.
◇ "전 국민 정보 다 털렸다"… 과장 아닌 통계적 사실
"전 국민의 정보가 다 털렸다"는 말은 과장된 수사가 아닌 통계적 팩트에 가깝다. 2014년부터 2024년까지 지난 10년간 국내에서 발생한 주요 대형 개인정보 유출 사고를 복기해보면 그 심각성이 드러난다.
2014년 카드 3사 대란(약 1억 건)을 시작으로 대형 통신사, 숙박 앱, 포털 사이트, 그리고 이번 이커머스 사태까지 사고는 끊이지 않았다.
보안 업계 추산에 따르면 지난 10년간 유출된 개인정보 누적 건수는 최소 3억 건을 상회한다. 중복 유출을 감안하더라도 산술적으로 국민 1인당 평균 6~7회 이상 자신의 정보가 유출된 꼴이다.
한 보안 업계 관계자는 "이미 다크웹 등 음지에서는 한국인의 개인정보가 '기본 DB'로 취급되어 패키지 형태로 거래되는 실정"이라며 "이제는 '내 정보가 유출됐을까'를 우려할 단계는 지났으며 이미 유출된 내 정보를 범죄자들이 어떻게 조합해 공격해올지를 방어해야 하는 단계"라고 지적했다.
◇ '돈'에서 '생활'로, '해킹'에서 '주워 먹기'로
지난 10년 사이 해커들의 공격 방식과 목표물도 교묘하게 진화했다. 2010년대 초중반만 해도 카드사나 금융기관 서버를 직접 타격하거나 내부 공모자를 통해 DB를 통째로 빼돌려 금전을 요구하는 '힘의 해킹'이 주를 이뤘다.
하지만 2010년대 후반부터는 이른바 '크리덴셜 스터핑(Credential Stuffing)' 공격이 대세로 자리 잡았다. 사용자들이 여러 사이트에서 동일한 ID와 비밀번호를 쓴다는 점을 악용해 보안이 취약한 사이트에서 확보한 계정 정보를 대형 사이트에 무차별 대입해 로그인하는 방식이다.
2020년대 들어서는 '라이프스타일 정보'가 핵심 타깃이 됐다. 배달 앱, 이커머스, 여행 플랫폼 등이 보유한 위치 정보와 소비 패턴은 개인을 특정하기 가장 좋은 데이터이기 때문이다. 이번 쿠팡 사태 역시 앱 내 특정 페이지의 취약점을 노려 정보를 긁어모으는 방식이 사용된 것으로 추정된다.
◇ AI, 해커의 창 vs 보안관의 방패
정보 유출이라는 소리 없는 전쟁터에 인공지능(AI)이 참전하면서 공방은 더욱 치열해졌다. AI는 공격자에게 더없이 강력한 무기다. 과거 해커가 수작업으로 찾던 보안 취약점을 이제는 AI 에이전트가 24시간 쉬지 않고 자동 탐색한다. 나아가 유출된 정보를 바탕으로 생성형 AI를 활용해 아주 자연스러운 한국어로 피싱 메일을 작성하거나 딥페이크 기술로 가족의 목소리를 흉내 내는 등 범죄 수법을 고도화하고 있다.
방어하는 입장에서도 AI는 선택이 아닌 필수다. 사람이 일일이 감시할 수 없는 수천만 건의 트래픽 홍수 속에서 '평소와 다른 미세한 접속 패턴'을 AI가 실시간으로 감지해 차단하는 기술이 속속 도입되고 있다. 이번 사태처럼 정상적인 경로를 가장한 비정상적인 접근을 막기 위해서는 AI 기반의 '이상 징후 탐지' 시스템이 유일한 대안으로 꼽힌다.
보안 전문가들은 개인정보가 이미 공공재처럼 퍼진 상황에서 기업의 보안 패러다임이 바뀌어야 한다고 조언한다. '유출 제로'를 장담하기보다는 유출되더라도 데이터가 무용지물이 되도록 암호화 수준을 높이고 내부망조차 신뢰하지 않는 '제로 트러스트(Zero Trust)' 체계를 구축해야 한다는 지적이다.
https://www.mediatoday.co.kr/news/articleView.html?idxno=330456
쿠팡 최악의 개인정보 유출...조선일보 “문 앞까지 털렸다” (미디어오늘, 김예리 기자, 2025.12.01 07:41)
[아침신문 솎아보기] 쿠팡 계정 3370만개 무단 노출 사태 일제히 1면
늑장 인지에 축소 신고 의혹, 점유율 높이기 골몰에 로비·착취·사망 의혹까지
일간지들, 1면에 비상계엄 내란사태 1년 기획 시작
국내 유통업계 1위인 쿠팡에서 발생한 초유의 개인정보 유출 사태가 1일 아침신문 1면에 올랐다. 외부로 누출된 고객 계정이 국내 성인 4명 중 3명 꼴인 초유의 대규모인 데다, 쿠팡 내부 직원 소행으로 알려지면서 파문이 커지고 있다.
쿠팡은 지난달 30일 “쿠팡 계정 3370만개가 무단으로 노출된 것으로 확인됐다. 노출된 정보는 이름, 이메일 주소, 배송지 주소록, 일부 주문 정보”라며 “쿠팡은 현재 기존 데이터 보안 장치와 시스템에 어떤 변화를 줄 수 있는지 검토하고 있다”고 말했다. 쿠팡은 전날 모바일 앱과 피해자 개별 연락을 통해 개인정보 유출 사실을 공지했다. 쿠팡은 이날 박 대표 명의로 공개 사과를 했다. 전날 고객 계정 3370만건이 무단으로 노출된 사실을 알렸다.
이는 올해 3분기 밝힌 활성고객(구매 이력이 있는 고객) 2470만명보다 큰 규모로, 업계 안팎에선 사실상 쿠팡의 모든 고객 정보가 노출된 것으로 추정한다. 동아일보 등 다수 신문들은 “쿠팡의 활성 이용자 수가 3200만 명인 점을 고려하면 사실상 모든 회원의 개인정보가 유출된 셈”이라고 전했다. 유출된 개인정보는 고객 이름과 전화번호, 집주소, 이메일, 주문 정보다. 외부 해킹이 아니라 내부 직원의 유출로 보인다.
9개 전국단위 아침종합신문 가운데 경향신문, 국민일보, 동아일보, 세계일보, 조선일보가 1면 상단에 이를 보도했다. 중앙일보와 한겨레, 한국일보는 1면 하단에 이를 보도했다. 다음은 신문들이 1면에 올린 관련 기사 제목이다.
경향신문 : 쿠팡 3370만명 정보, 6월부터 샜다
국민일보 : 3370만명… 사실상 전 국민 개인정보 털렸다
동아일보 : 3370만명 정보 털린 쿠팡 “中직원 소행 의심”
서울신문 : 4명 중 3명이 털렸다 쿠팡발 ‘정보유출 포비아’
세계일보 : 고객정보 다 털린 쿠팡, 5개월간 몰랐다
조선일보 : 대한민국이 ‘문 앞까지’ 털렸다
중앙일보 : 쿠팡 중국인 전 직원, 고객에 협박메일
한겨레 : 쿠팡 3370만명 고객정보 유출
한국일보 : 3370만명…쿠팡 사실상 전고객 정보 털렸다
세계일보에 따르면 정부는 지난달 19일 쿠팡으로부터 침해사고 신고, 20일(1차)과 29일(2차) 정보유출 신고를 각각 받았다. 이후 현장 조사 과정에서 공격자가 정상적인 로그인 없이 3370만개 이상 고객 계정의 고객명, 이메일, 배송지 전화번호 및 주소, 일부 구매 이력 등을 유출한 것으로 확인했다. 쿠팡의 1차 신고 당시 4536개 계정으로 파악된 피해 규모는 2차 신고 때 약 7500배나 폭증했다.
조선일보는 “특히 쿠팡의 경우 이름, 휴대전화 번호, 집 주소 같은 기본 신상 정보뿐 아니라 새벽 배송을 위해 소비자들이 기입한 아파트·빌라 공동 현관 비밀번호와 최근 주문 상세 내역까지 악용 소지가 큰 민감 정보가 모조리 유출됐다”며 “개인 정보를 활용한 문자나 전화 사기뿐 아니라, 주거 침입 같은 물리적 범죄로 이어질 수 있다는 공포가 확산하는 이유”라고 했다.
유출 규모도 신고 당시보다 7500배 커 축소 신고 의혹도 일고 있다. 경향신문은 “개인정보 유출 규모도 당시의 4500명에서 7500배나 많아 피해 규모를 축소하려고 한 것 아니냐는 의혹이 일고 있다”고 했다. 국민일보는 “지난 11월 초 개인정보 유출 사실을 인지했다. 뒤늦게 경찰청·한국인터넷진흥원·개인정보보호위원회에 관련 내용을 신고했으나 당시만 해도 4500개 계정의 개인정보가 유출된 것으로 파악하는 데 그쳤다. 조사 결과 피해자 수가 7500배가량 늘어났다”고 했다.
세계일보는 “쿠팡의 1차 신고 당시 4536개 계정으로 파악된 피해 규모는 2차 신고 때 약 7500배나 폭증했다”며 “앞서 개인정보 보호 위반으로 역대 최대 과징금(1348억원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만명)보다 1000만여명이나 더 많다”고 했다.
당장 이용자들의 불만이 터져 나왔다. 집단 소송 움직임도 일고 있다. SNS에 ‘집단 손해배상 청구’를 제안한 김경호 변호사는 통화에서 “대규모 플랫폼인 쿠팡에 요구되는 보안 수준은 매우 높다”며 “민감한 정보를 보호하기 위한 관심과 투자가 부족했을 개연성이 크다”고 지적했다.
서울경찰청 사이버수사대는 최근 쿠팡으로부터 이번 사태와 관련한 고소장을 접수하고 정확한 개인정보 유출 경로를 파악하기 위해 서버기록 등 관련 자료를 임의제출받아 분석 중이다. 쿠팡 고소장에는 피고소인이 특정되지 않고 ‘성명불상자’로 기재됐다.
“노동자 목숨도, 고객 보안도 못 지켜”
국민일보, 동아일보, 서울신문, 조선일보, 중앙일보, 한겨레, 한국일보 등 다수 신문이 1면에 이어 2면과 3면 등 주요 지면 전면을 털어 관련 보도를 이어갔다. 쿠팡 이용자들의 원성과 보안 주의사항, 유출된 정보 유형, 그간 쿠팡의 잘못된 사업 방식과 대응 태도를 짚는 보도들이 이어졌다.
한국일보는 쿠팡이츠가 점유율을 높이는 이면에 노동을 불법 착취한 의혹을 보도했다. <“실적 못 채우면 강제야근, 연차 사용 제한”…쿠팡이츠 불법 노동착취 폭로도>에서 쿠팡이츠가 광고영업 부서 노동자들에게 강제로 야근을 강요하고 연차사용을 제한하는 등 노동착취를 일삼는다는 내부 폭로를 보도했다. 이 신문은 60여 명의 계약직 노동자와 3개월 단위로 재계약하고 이들을 정규직 노동자 10여명이 관리하는 구조 속에서 퇴근을 안 시키고 할당량 채우기를 강요하고 있다는 현직 노동자 증언을 전했다.
경향신문은 3면 <노동자 목숨·고객 보안 못 지킨 쿠팡…‘내실 없는 성장’의 민낯> 기사에서 “일용직 퇴직금 미지급 사건과 관련한 불기소 외압 의혹으로 상설특검 출범을 앞둔 데다 심야 배송에 따른 물류센터 노동자와 택배기사의 과로사 논란이 계속되는 상황에서 쿠팡은 e커머스 업체로서는 기본인 고객 정보 보호에도 소홀했다는 비판에 직면하게 됐다”고 짚었다.
경향신문에 따르면 프로덕트 커머스 활성고객은 2470만명으로 2020년 대비 1000만명가량 늘었고 연간 매출도 지난해 40조원을 돌파했다. 이 신문은 업계 관계자들을 인터뷰해 “쿠팡이 노동자 복지와 고객 데이터 보호 등 겉으로 드러나지는 않고 비용이 들어가는 문제는 관리를 소홀히 했던 것 아닌가”, “e커머스는 가지고 있는 고객의 민감한 정보가 많다보니 보안 관련 예산을 매출 대비해 계속 늘려야 한다”, “대외적 로비에 집중하느라 내실을 기했을지 의문”이라고 전했다. 쿠팡은 정부 대관 업무 등을 위해 국회의원 보좌관 등 퇴직공직자를 올해 18명(계열사 포함) 영입했다.
조선일보는 4면에서 <로비로 각종 논란 틀어막아온 쿠팡, 올해 정부·국회 출신 18명 채용> 기사에서 “쿠팡은 전현직 대표 모두 대관 분야 출신이고, 야간 근무자의 잇따른 사망 사고, 입점 업체 수수료 문제 등 각종 논란을 막고 경영권을 방어하기 위해 정치권 인사를 대거 영입해 왔다”며 “야권에선 ‘대관 조직을 동원해 당장의 논란을 막는 데만 집중하다 보니 소비자는 안중에 없었던 것’이라며 ‘5개월간 정부도 쿠팡도 개인 정보 유출을 몰랐다는 게 말이 되냐’는 비판이 나온다”고 썼다.
일부 신문은 중국 국적 직원이 연루됐다는 의혹을 강조해 보도했다. 국민일보와 조선일보, 중앙일보는 1면 본문 주요 대목에서 쿠팡에서 퇴사한 중국 국적 지원이 관여한 것으로 알려졌다고 했다. 중앙일보는 제목에 보도했다. 경향신문과 세계일보는 기사 끝무렵에 이를 언급했다. 세계일보는 1면 기사 말미에 “일각에선 유출 주범으로 거론된 중국 국적의 전 쿠팡 직원은 한국을 떠난 것으로 전해졌다. 이 직원은 쿠팡 측에 협박성 이메일을 보냈던 것으로 알려졌다”고 했다.
동아일보는 쿠팡이 정부의 ‘정보보호와 개인정보보호 관리체계 인증’을 두 차례 취득하고도 네 차례 개인정보 유출 사고를 반복한 사실이 드러났다고 했다.
https://www.khan.co.kr/article/202512011301001
쿠팡 퇴사 직원은 어떻게 고객 정보를 빼 갔나…“접근권한 관리 부실 때문” (경향, 송윤경 이성희 기자, 2025.12.01 13:01)
고객 3370만명의 이름·전화번호·주소 등을 유출당한 쿠팡이 데이터 접근 권한을 부실하게 관리했다는 지적이 나왔다. 이번 정보 유출은 인증 업무를 담당했던 직원의 소행으로 알려졌는데, 퇴사 이후에도 접근 권한이 유지돼 대규모 정보 수집이 가능했던 것으로 추정된다.
1일 국회 과학기술정보방송통신위원장인 더불어민주당 최민희 의원이 쿠팡으로부터 받은 자료에 따르면, 쿠팡은 인증 업무 담당자에게 발급되는 토큰의 인증키 유효기간에 대해 “5~10년으로 설정하는 사례가 많다는 걸로 알고 있다”면서 “로테이션(주기적 교체) 기간이 길며, 키 종류에 따라 매우 다양하다”고 밝혔다.
‘토큰’은 전자 출입증과 같아서, 토큰이 있으면 아이디·비밀번호 입력 등 정상적 로그인 절차를 거치지 않고도 내부 시스템 접근이 가능하다. 이 토큰을 신뢰할 수 있는지 여부는 ‘인증키’가 검증하는데, 인증키를 제때 교체하지 않아 퇴사자의 토큰도 ‘정상’으로 간주됐을 가능성이 있다.
인증키 방치 의혹은 정부가 내놓은 설명과도 맥을 같이한다. 과학기술정보통신부는 전날 “공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 3000만개 이상의 고객 계정 정보를 유출한 것으로 확인했다”고 밝힌 바 있다. 퇴사자는 토큰을 통해 정상적 로그인을 건너뛰었을 가능성이 있고, 인증키를 잘 교체하지 않아 이 같은 진입이 어렵지 않다는 것을 미리 알고 악용했을 수 있다.
쿠팡은 이날 “인증키가 5~10년간 방치되었다는 것은 사실이 아니다”라고 반박했으나, 정부가 ‘서버 인증 취약점’을 공식 언급한 만큼 퇴사 직원에 대한 접근 통제 부실이 유출로 이어졌다는 지적을 피하기는 어려워 보인다.
‘인증 부실’은 KT의 무단 소액결제에서도 드러난 국내 보안 시스템의 고질적 문제다. KT는 모든 초소형 기지국(펨토셀)에 동일한 인증서를 사용하면서 유효기간을 10년으로 설정하는 등 인증 관리를 허술하게 했다. 이 때문에 불법 펨토셀의 KT 통신망 접속이 가능했고, 무단 소액결제 사태가 이어졌다.
최민희 위원장은 “(쿠팡 정보유출 사태는) 내부 직원의 단순한 일탈이 아니라, 쿠팡이 인증체계를 방치한 결과”라며 “KT 펨토셀 사태에서 드러난 인증키 방치 문제가 쿠팡에서 재현된 것은 우리 기업들의 낮은 보안 의식을 보여준다. IT기업들은 인증키 로테이션을 포함해 전반적인 보안체계를 긴급히 재정비해야 한다”고 말했다.
https://www.khan.co.kr/article/202512011843001
[사설] 사과문 덜렁내고 과실·노출이란 쿠팡, 시민 불안 안보이나 (경향, 2025.12.01 18:43)
고객의 개인정보가 대거 유출된 쿠팡이 지난달 30일 홈페이지에 게시한 사과문은 내용·형식 모든 면에서 낙제 수준이다. 사과문에는 피해를 본 3370만개 고객 계정 숫자도 적시하지 않고, 개인정보 ‘유출’이라는 단어 대신 ‘노출’이라며 교묘하게 말을 바꿔놓았다. 이런 걸 사과문이라고 할 수 있나.
1일 쿠팡 홈페이지를 접속하면, 바로 보이는 팝업 메시지가 아니라 화면 상단의 광고 옆에 한 번 더 들어가야 볼 수 있는 사과문 배너가 실려 있다. 이 배너를 클릭하면 무단으로 접근된 고객 정보는 이름, e메일, 전화번호, 배송지 주소, 특정 주문 정보로 제한되었다고 설명한다. 중차대한 고객 정보 유출 사태에도 아무런 언급이 없다가 뒤늦게 사과하면서도 구체적으로 무엇이 잘못됐고, 재발 방지를 위해 어떤 조치를 취할지는 밝히지 않았다. 잇따른 노동자들의 죽음에 일관되게 책임을 부정하던 쿠팡답게 사태 파장 축소와 책임 회피에만 급급한 사과에 분노가 치민다.
지난 6월24일 해외 서버로 시스템이 해킹당했으면 개인정보 유출인데, 퇴사한 중국 국적 직원의 소행으로 보이는 정황이 포착돼 노출이라는 주장도 해괴하다. 이 직원이 일부 고객에게 ‘개인정보를 알고 있다’는 e메일을 보냈고, 해당 고객이 신고 전까지 몰랐다는데, 이걸 변명이라 하는 건가. 조사가 진행되면서 유출 피해가 더 커질 수 있다는 점도 우려스럽다.
쿠팡은 결제 정보는 유출되지 않았다며 진화에 나섰지만, 당국 조사와 경찰 수사로 규명될 때까지 속단할 수 없다. 쿠팡이 올해 2월 미국 증권거래위원회(SEC)에 제출한 보고서만 봐도 앞서 벌어진 사고의 보안 인식 부재가 드러난다. 사이버보안 위협이 회사에 중대한 영향을 미치지 않았고, 앞으로도 없을 것이라고 했다. 이처럼 유출 사고가 반복되는 것은 노동자들의 건강권은 도외시하고 로켓처럼 성장하면서도 보안 투자는 등한시한 결과다.
전 국민 플랫폼이라 불리는 쿠팡의 개인정보 유출 사고는 파급효과가 크다. 불안한 시민들은 계정을 삭제하는가 하면, 소비자 집단소송 움직임까지 인다. 쿠팡은 어떤 경우에도 후속 피해가 발생하지 않도록 철저한 조치를 취해야 한다. 강훈식 대통령비서실장은 이날 징벌적 손해배상 제도가 무색해진 현실을 지적하며 개선 방안을 주문했다. 기업이 경각심을 갖고 보안 투자를 강화하도록 행정적·법적으로 엄중한 책임을 물어야 한다.
https://www.hani.co.kr/arti/economy/economy_general/1232269.html
쿠팡, 퇴사한 인증 담당자 접근권한 그대로 방치해 사고 불렀다 (한겨레, 서혜미 신형철 방준호 기자, 2025-12-01 19:10)
쿠팡 이용자 3370만명의 이름·전화번호·주소 등 개인정보를 유출한 혐의를 받는 전직 쿠팡 직원은 재직 당시 내부 전산망 인증 관련 업무를 담당했던 것으로 파악됐다. 쿠팡은 이 직원이 퇴사한 뒤에도 인증 절차 보안을 갱신하지 않고 사실상 방치해 유례없는 규모의 개인정보 유출 사고를 불러왔다는 분석이 나온다. 경찰은 쿠팡이 제출한 서버 로그 기록(사용 기록)과 범행에 사용된 것으로 추정되는 아이피(IP) 주소를 추적 중이다.
1일 국회 과학기술정보방송통신위원회(과방위) 최민희 위원장(더불어민주당)은 쿠팡에서 받은 자료를 토대로 이번 사건의 원인을 두고 “인증 관련 담당자에게 발급되는 서명된 액세스 토큰(데이터 접근 열쇠)의 유효 인증키가 장기간 방치돼, 담당 직원이 퇴사한 후에도 이를 악용했기 때문으로 분석된다”고 밝혔다. 이번 개인정보 유출 사태를 일으킨 이는 쿠팡의 인증 업무를 담당하던 전 직원으로, 이 직원이 퇴사했는데도 회사가 시스템 접근 권한을 회수하거나 보안 수단을 갱신하지 않아 관련 자료가 유출됐다는 얘기다. 쿠팡은 토큰 인증키 유효기간과 관련한 질의에 “5~10년으로 설정하는 사례가 많다는 것으로 알고 있다”고 답했다고 최 의원실은 전했다. 이번 사태가 ‘예견된 인재’라는 지적이 나오는 이유다.
이번 사건 규모가 드러나기에 앞서 개인정보 유출을 암시하는 협박성 전자우편(이메일)이 쿠팡 이용자들과 고객센터에 전달됐다는 사실도 경찰 수사 과정에서 확인됐다. 경찰 관계자는 “범행에 사용된 아이피 주소를 확인해 국제공조를 통해 추적 중”이라고 했다. 경찰은 이번 사태로 인한 보이스피싱·스미싱 등 2차 피해가 접수된 것은 아직 없다고 했다.
대통령실은 관련 제도 보완을 지시했다. 강훈식 대통령 비서실장은 이날 수석·보좌관 회의를 주재하며 “징벌적 손해배상 제도가 사실상 작동하지 않고 있는 현실은 대규모 유출 사고를 막는 데 한계가 있다”며 기업의 책임이 명백한 경우 제도가 실효성 있게 작동할 수 있도록 개선 방안을 검토하라고 주문했다고 전은수 대통령실 부대변인이 전했다. 강 실장은 또한 “인공지능(AI) 전환으로 데이터가 기업 경쟁력의 핵심이 된 시대에, 겉으로는 가장 엄격한 보호조치를 내세우면서도 정작 실제 관리체계는 뒷문이 열려 있는 형국”이라며 관련 부처에 근본적인 제도 보완, 현장점검 체계 재정비, 기업 보안 역량 강화 지원책 등을 신속히 보고해달라고 지시했다.
https://www.hani.co.kr/arti/economy/economy_general/1232291.html
퇴사자 ‘정보접근 열쇠’ 미회수…보안의 기본 안 지킨 쿠팡 (한겨레, 서혜미 기자, 2025-12-01 23:15)
쿠팡 고객 3370만명의 개인정보가 유출된 사태의 핵심은 허술한 보안 관리 체계와 내부 관리 실패로 요약된다. 쿠팡은 그동안 자사를 아이티(IT)·플랫폼 기업이라고 지칭하며 890억원에 이르는 정보보호 예산을 투자한다고 강조해왔지만, 전문가들은 정작 가장 기본적인 보안 절차가 작동하지 않았다고 지적한다.
국내 성인 인구 4분의 3의 개인정보가 유출된 초유의 사태가 일어난 직접적 원인은, 쿠팡 안에서 인증 업무를 담당하던 직원이 퇴사한 뒤에도 내부 시스템에 접근할 수 있는 암호화 수단을 여전히 갖고 있었기 때문이다. 최민희 국회 과학기술정보방송통신위원회 위원장(더불어민주당)이 1일 쿠팡에서 제출받은 자료를 보면, 이번 사건은 “인증 관련 담당자에게 발급되는 서명된 액세스 토큰(데이터 접근 열쇠)의 유효 인증키가 장기간 방치되어 담당 직원이 퇴사 후에도 이를 악용했기 때문에 벌어진 일”로 지목된다.
액세스 토큰은 인증을 마친 사용자가 내부 시스템과 특정 데이터에 접근할 수 있는 권한을 부여받았다는 걸 나타내는데, 보안을 위해 유효 기간이 설정된다. 의원실 설명을 종합하면, 쿠팡은 로그인 시스템상 이 토큰을 생성한 뒤 즉시 폐기한다. 하지만 정작 담당 직원이 퇴사했는데도 퇴사자의 계정이 비활성화되지 않았거나, 이 토큰을 생성하는 서명 정보를 갱신·삭제하지 않는 등 방치해 3370만명의 개인정보가 유출됐다는 것이다. 최 위원장은 “서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다”고 지적했다.
쿠팡의 미흡한 보안 체계는 이뿐만이 아니다. 쿠팡은 지난 6월 말부터 시작된 개인정보 유출을 5개월 동안 알아채지 못하다가 고객 제보로 뒤늦게 파악했다. 쿠팡이 개인정보 유출을 인지한 시점은 11월16일 쿠팡 일부 고객들이 개인정보 유출을 암시하는 협박성 전자우편(이메일)을 받으면서다. 쿠팡은 고객 문의를 계기로 뒤늦게 관련 조사를 벌였으나, 당시 파악한 개인정보 유출 규모는 최근 파악된 3370만명의 0.013%인 4500여명에 불과했다.
전문가들은 정보 보안 체계가 기본부터 작동하지 않은 사례라고 지적했다. 곽진 아주대 교수(사이버보안학과)는 “정보 보안 거버넌스가 잘 갖춰진 기업은 정기적으로 시스템 로그 기록(사용 기록)을 검사해 침해 시도, 해킹 등 유출 흔적을 발견한다. 쿠팡은 이 부분에 있어 미흡했던 것으로 보인다”고 했다. 실제 개인정보 유출자는 ‘로 앤드 슬로’(low and slow) 방식으로 천천히 조금씩 데이터를 긁어모아 쿠팡의 감시망을 무력화했을 가능성이 제기된다.
무엇보다 개인정보 유출자가 인증 관련 업무를 했던 직원으로 파악된 만큼, 쿠팡의 정보 보안 체계의 취약점을 알고 있었을 가능성도 제기된다. 곽진 교수는 “해당 직원이 인증 업무를 담당했다면, 내부 프로세스나 절차를 좀 더 많이 알고 그 정보를 이용해 접근을 시도했을 수 있다. 내부 통제가 제대로 이뤄지지 않는다는 점을 이용했을 가능성이 있다”고 짚었다. 김환국 국민대 교수(정보보안암호수학과)도 “기업들이 퇴사자의 계정이나 권한을 모두 말소시키는 게 일반적”이라고 말했다.
쿠팡의 이번 개인정보 유출 사태를 단순히 장비 투자 등 비용 문제로만 접근할 것이 아니라는 지적도 나온다. 쿠팡은 올해에만 정보기술 부문에 약 1조9171억원, 이 가운데 정보보호 부문에 약 890억원을 투입했지만, 대규모 개인정보 유출 사태를 막지 못했다. 곽 교수는 “보안 장비를 많이 사고, 솔루션을 도입하고 인력을 늘리는 것만으로는 조직의 보안 수준이 올라가지 않는다”며 “정작 그 장비와 인력이 어떤 역할을 수행하고, 이를 어떻게 운영·점검해야 하는지에 대한 조직적 관리 체계가 있어야 한다”고 말했다.
https://www.khan.co.kr/article/202512020700001
[점선면] 쿠팡 퇴사 직원은 어떻게 고객 정보를 빼갔을까 (경향, 유설희 기자, 2025.12.02 07:00)
국내 e커머스(전자상거래) 업계 1위 업체인 쿠팡에서 초유의 개인정보 유출 사고가 발생했습니다. 고객 계정 3370만건이 유출됐는데요. 이는 쿠팡이 올해 3분기 밝힌 활성고객(구매이력이 있는 고객) 2470만명보다 큰 규모로, 국내 성인 4명 중 3명에 달하는 개인정보가 유출된 겁니다. 지난 4월 SK텔레콤 유출 사건 피해 규모(2324만명)를 뛰어넘는데다 이름·주소·전화번호·e메일·주문정보 등 생활 밀착 정보가 빠져나간 만큼 ‘역대 최악의 정보 유출 사건’이라는 평가가 나오는데요. 오늘 점선면에서는 ‘쿠팡 개인정보 유출 사태’는 왜 벌어진 건지, 어떤 2차 피해가 일어날 수 있는지 등을 짚어볼게요.
점(사실들): 쿠팡 퇴사 직원은 어떻게 고객 정보를 빼갔나
쿠팡이 개인정보 유출을 인지한 건 지난달 16일입니다. 한 고객이 개인정보가 유출됐다는 민원을 제기한 건데요. 쿠팡은 이와 관련해 내부 검증에 나선 지 이틀 만인 지난달 18일 개인정보 유출 사실을 최종 확인하게 됩니다.
알고 보니, 정보 유출은 5개월 전인 지난 6월24일 시작되었습니다. 쿠팡에서 퇴직한 중국 국적 개발자 A씨가 유력한 용의자로 지목되고 있는데요. 인증 업무를 담당했던 A씨는 근무하면서 확보한 ‘토큰’을 통해서 퇴사 이후에도 개인정보를 빼돌릴 수 있었던 것으로 추정됩니다.
토큰은 일종의 전자 출입증이라고 할 수 있는데요. 토큰이 있으면 아이디·비밀번호 입력 등 정상적 로그인 절차를 거치지 않고도 내부 시스템 접근이 가능합니다. 이 토큰을 신뢰할 수 있을지는 일종의 마스터키 개념의 ‘인증키’가 검증하는데요. 쿠팡 측이 인증키를 제때 교체하지 않아 퇴사자가 내부 시스템에 접근할 수 있었던 것으로 보입니다.
결과적으로 쿠팡은 A씨 퇴사 이후에도 그가 알고 있던 인증키를 폐기하지 않는 등 데이터 접근 권한을 부실하게 관리한 정황이 드러난 겁니다. 또한 쿠팡은 고객이 민원을 제기하기 전까지 무려 5개월(147일) 동안이나 3370만명의 정보가 빠져나간 걸 전혀 알아차리지도 못했고요.
선(맥락들): 현관 비밀번호까지 유출…시민들 ‘패닉’
‘쿠팡 개인정보 유출 사태’로 인해 가장 우려스러운 점은 유출 정보를 악용한 2차 피해 가능성입니다. 이번 사건으로 유출된 정보에는 이름, 휴대전화 번호, 집주소, 아파트·빌라 공동현관 비밀번호, 최근 주문 상세 내역(5건) 등과 같은 민감한 정보가 포함되어 있는데요. 이러한 정보를 조합하면 ‘맞춤형 피싱’ 이 손쉬워집니다.
예를 들어서 최근 주문 정보를 이용해서 스미싱(문자 메시지를 이용한 휴대전화 해킹) 범죄조직이 “고객님이 주문하신 물건을 집 앞에 뒀습니다” “주문하신 물건의 재고가 부족해 환불해드립니다” 등과 같은 문자를 보내면, 고객 입장에서 문자를 클릭할 확률이 높아지는 것이죠. 쿠팡 고객 김모씨(29)는 “전화번호로 연락해 주소를 말하고, 샀던 물품까지 말하면서 보이스피싱을 하면 더 속기 쉬울 것 같다”고 우려했습니다.
특히 집주소와 공동현관 비밀번호 유출에 대해서도 불안감을 호소하는 사용자들이 많습니다. 스미싱 등 사이버 범죄를 넘어서서 주거 침입, 스토킹 등 물리적 범죄에 이용될 가능성도 배제할 수 없기 때문인데요. 남세은씨(43)는 “아파트 공동현관 출입번호도 주문정보에 적어뒀는데, (범죄자들이) 새벽에도 집 앞까지 올 수 있다는 생각이 든다”고 우려했습니다.
쿠팡 개인정보 유출 사태에 분노한 일부 시민들은 집단소송을 준비 중입니다. 어제(1일) 기준 쿠팡 상대 집단 소송을 준비하는 네이버 카페는 20여개에 달합니다.
면(관점들): 겉으로 드러나지 않는 비용은 소홀?
물류센터 노동자와 택배기사 과로사 논란, 일용직 퇴직금 미지급 사건 등 쿠팡을 둘러싼 각종 사회적 논란은 끊이지 않았는데요. 업계 한 관계자는 “리스크가 잇따라 터지는 것은 결코 우연의 일치가 아니다”라며 “쿠팡이 노동자 복지와 고객 데이터 보호 등 겉으로는 드러나지 않고 비용이 들어가는 문제는 관리를 소홀히 했던 것 아닌가 싶다”고 말했습니다.
쿠팡이 규제, 국정감사 등을 대응하기 위한 로비 비용에만 돈을 쓰다가 보안 문제는 뒷전이 된 것 아니냐는 지적도 나옵니다. 경향신문 데이터저널리즘 취재 결과, 쿠팡은 올해에만 정부 대관 업무를 위해 국회의원 보좌관, 퇴직 공직자 등 18명을 영입했습니다. 이는 삼성그룹에 이어 두 번째로 많은 수입니다.
경향신문은 사설에서 “쿠팡은 때늦은 대표 사과를 넘어 개인정보 유출 피해를 본 고객에게 충분한 정보와 납득할 만한 보상 대책을 내놔야 한다. 정부 역시 보안·안전 조치 의무 위반 사항이 있는지 철저히 조사해 엄중히 처벌해야 한다”며 “나아가 과로사·새벽배송·부당노동행위 등 쿠팡이 야기한 사회적 문제들도 더는 방관하지 말고, 법적·윤리적·제도적 해법을 찾아야 한다”고 지적했습니다.
https://www.hankookilbo.com/News/Read/A2025120114200001082
미·유럽선 천문학적 과징금...대통령실 "징벌적 손해배상제 강화를" (한국일보, 김진욱 기자, 2025.12.02 07:00)
SKT·KT·롯데카드 이어 쿠팡까지
올해 6000만 건 개인정보 유출 추산
美, 2019년 페북에 7.3조원 부과
T모바일 1인 최대 3600만원 배상
독일 최소 총매출 4% 과징금 규정
한국은 '손해액 다섯배' 상한선뿐
솜방망이 처벌에 대형 사고 반복
올해 들어 SK텔레콤 유심 정보 해킹 사고, KT의 무단 소액 결제 사고, 롯데카드의 개인 신용정보 유출 사고, 그리고 이번 쿠팡 개인 정보 유출까지 최근 1년 동안 국내에서 일어난 개인 정보 유출이 6,000만 건에 달하는 것으로 추산된다. 그런데도 기업들이 보안 의식을 강화해야 할 필요성을 느끼지 못한 배경에 정부의 솜방망이 처벌이 있었다는 지적이 잇따른다. 개인 정보 유출을 되풀이하는 기업에 대한 징벌적 조치가 필요하다는 의견이 계속되면서 대통령실도 기업의 책임이 명백한 경우 징벌적 손해배상 제도가 실효성 있게 작동할 수 있도록 개선해야 한다고 목소리를 높였다.
1일 과학기술정보통신부 등에 따르면 쿠팡은 이번 사고로 3,370만 개 계정에서 이름·연락처·주소·주문 이력 등이 빠져나갔다. 앞서 SKT나 KT, 롯데카드와는 달리 악성코드 감염이 아닌 퇴사한 직원이 비정상적으로 접속해 정보를 빼앗은 것으로 알려졌다. 한 IT업계 관계자는 "한 명이 사실상 모든 가입자의 데이터를 빼낸 것은 데이터 관리가 심각하게 소홀했다는 방증"이라며 "임직원 인증 토큰별 권한 세분화나 데이터베이스 분산 등 기본 조치도 없었고 직원이 퇴직하면 말소해야 하는 서명 키가 그대로 있을 정도로 게을렀다"고 꼬집었다.
강훈식 대통령 비서실장은 이날 오후 수석보좌관회의에서 과기정통부와 개인정보보호위원회(개보위)에 근본적 제도 보완, 현장 점검 체계 재정비, 기업 보완 역량 강화 지원책 등을 신속히 보고해달라고 지시했다. 전은수 대통령실 부대변인은 "강 비서실장은 AI 전환으로 데이터가 기업 경쟁력에 핵심이 된 시대에 겉으로는 가장 엄격한 보호 조치를 내세우면서도 정작 실제 관리 체계는 뒷문이 열려있는 형국이라고 했다"고 꼬집었다. 그는 "또한 징벌적 손해배상제도가 사실상 작동하지 않은 현실은 대규모 유출 사고를 막는 데 한계가 있다"며 "기업의 책임이 명백한 경우 제도가 실효성 있게 작동할 수 있도록 개선 방안을 검토하라고 주문했다"고 덧붙였다.
독일은 '연간 총매출 4%' 과징금 부과
이미 쿠팡이 저지른 사고들은 수두룩하다. 쿠팡은 △2020, 2021년 쿠팡이츠 배달기사 정보 유출 △2021년 앱 업데이트 간 테스트 소홀로 인한 정보 유출 △2023년 쿠팡 판매자 전용 시스템 유출 등을 통해 18만 건에 달하는 정보를 빼앗겼다. 그럼에도 쿠팡이 기본 보안조차 지키지 못해 또다시 사고가 나면서 공분은 커지고 있다. 특히 쿠팡 한국법인의 사업은 한국에서 이뤄지지만 모기업은 한국계 미국인인 김범석 대표가 만들고 미국 뉴욕증권거래소(NYSE)에 상장된 미국 기업이라는 점에서 징벌적 손해 배상이 있는 미국에서도 이런 식의 보안 관리를 할 수 있었겠냐는 의문도 있다.
해외 주요국은 개인정보 유출에 대해 우리보다 강한 징벌적 규정을 적용하고 있다. 독일은 유럽연합(EU)의 개인정보보호규정(GDPR) 및 이를 국내법으로 구체화한 연방정보보호법(BDSG)에 따라 중대한 위반 시 최대 2,000만 유로(약 340억 원) 또는 전 세계 연간 총매출의 4% 중 더 큰 금액을 과징금으로 부과할 수 있도록 했다. 싱가포르도 연간 국내 매출이 1,000만 싱가포르달러(약 113억2,980만 원) 이상인 법인 등이 개인정보보호법상 개인 정보의 보호, 수집, 사용 및 공개 등에 관한 규정을 어기면 연 매출의 10% 또는 100만 싱가포르 달러(약 11억3,298만 원) 중 더 큰 금액을 과징금 상한으로 두는 등 강력한 제재를 운영하고 있다.
미국, 징벌적 과징금에 징벌적 손해배상까지... 한국도 행정벌 상향 검토
쿠팡 한국법인의 모기업 쿠팡 Inc가 있는 미국은 2019년 미국 연방거래위원회(FTC)가 이용자 8,700만 명의 개인 정보를 여론조사 기관에 임의로 빼돌린 페이스북(현 메타)에 50억 달러(약 7조3,517억 원) 징벌적 과징금을 부과했다. 기업의 보안 관리 소홀 정도가 단순 과실을 넘어 '고의·악의적, 또는 중대한 무시'에 해당한다는 사법 기관의 판단이 있다면 징벌적 손해 배상 대상이다. 미국 통신업체 T모바일은 2021년 고객 약 7,660만 명의 정보가 유출된 뒤 제기된 집단 소송에서 약 3억5,000만 달러(약 5,144억3,700만 원)를 배상하는 데 합의했다. 1인당 최대 2만5,000달러(약 3,675만 원) 수준이다.
다만 국내 제도는 사실상 행정 과징금에 일부 가중·감경을 주는 수준에 머물러 있다. 현행 개인정보보호법은 '손해액의 다섯 배를 넘지 않는 범위에서 손해 배상액을 정할 수 있다'고 정했을 뿐이고 과징금을 정할 때 위반 행위의 중대성·반복 여부에 따라 과징금을 줄였다 늘렸다 하는 정도다.
개보위는 10월 △유출 사고가 반복되는 기업에 대해 과징금 가중 요건을 구체화하고 △과징금 상향과 징벌적 과징금 도입을 검토하며 △온라인상 개인 정보를 불법 유통하는 행위에 대한 형사 처벌 근거를 개인정보보호법에 명시하는 방안도 논의하는 태스크포스(TF)를 발족했다. 중장기적으로 현행 행정벌 시스템을 한 단계 끌어올리겠다는 의미로 해석된다.
https://www.kookje.co.kr/news2011/asp/newsbody.asp?code=0100&key=20251203.22003000979
외국인 손에 맡긴 국민정보 도마위…李 “징벌적 손배 현실화”(종합) (국제신문, 김태경 기자, 2025-12-02 19:20:01)
국회, 쿠팡 고객정보 유출 질타
- “중국인 등 수백명 직원 데이터 접근권
- 아마존이면 이런 사고 있을 수 있나”
- 업체 “모른다”… 자료담당은 연락두절
- 과방위원장 ‘쿠팡청문회’ 개최도 시사
- 이 대통령, 과징금 강화 등 대책 지시
https://www.hani.co.kr/arti/society/society_general/1232481.html
정보유출 소송 ‘쥐꼬리 배상’…쿠팡 사태 계기로 “징벌적 손배 현실화” (한겨레, 조해영 기자, 2025-12-02 19:21)
쿠팡 피해자 단체 소송 봇물
쿠팡에서 벌어진 대규모 개인정보 유출 사태에 따른 손해배상 청구 움직임이 잇따르는 가운데, 기업의 배상 책임이 여전히 지나치게 가볍다는 지적이 나온다. 징벌적 손해배상 제도를 현실화하고, 대표 피해자가 승소하면 피해자 전원이 구제받는 집단소송제 도입을 검토할 필요가 있다는 목소리도 이어진다.
네이버 등 포털 누리집을 2일 보면, 쿠팡의 개인정보 유출에 대한 손해배상을 청구하려 개설된 온라인 카페는 20여개에 이르고, 누적 가입자도 40만명을 넘어섰다. 전날 법무법인 청이 피해자 14명을 모아 서울중앙지법에 소장을 제출한 데 이어, 3일에는 법률사무소 번화가 소송을 제기할 계획이다. 번화의 김병국 변호사는 “소송 계약을 체결한 피해자는 3천명이 넘었는데, 대리권 수여가 끝난 25명부터 먼저 소송을 제기한다. 1인당 30만원의 위자료를 청구할 것”이라고 했다. 법무법인 대륜과 지향 법률사무소 호인 등도 누리집, 구글 폼 등을 통해 소송 참여자를 모집하고 있다. 참여연대, 민주사회를위한변호사모임 등은 3일부터 ‘개인정보 분쟁조정’을 신청할 시민 참여자를 모집한다. 이는 소송 대신 개인정보분쟁조정위원회를 통해 개인정보 관련 분쟁을 비교적 신속하게 조정하는 제도다.
개인정보보호법은 개인정보 처리자의 법 위반으로 정보 주체가 손해를 입을 경우 손해배상을 청구할 수 있도록 별도로 규정한다. 개인정보 유출의 경우 손해액을 산정하고, 기업의 기술적 과실을 피해자가 입증하기 훨씬 까다로운 특성이 있어, 민법과 별도로 기업 입증 책임 등에 무게를 둔 손해배상 규정이 필요했기 때문이다.
하지만 실제 배상 액수는 미미하다. 2014년 신용카드사 3곳에서 발생한 개인정보 대량 유출 피해자들이 손해배상 소송에 나섰지만, 법원은 4년여 만에 1인당 10만원을 배상하라고 판결했다. “정신적 손해”에 따른 위자료 성격에 그친 탓이다. 2016년 인터파크에서 해킹으로 인한 개인정보 유출 사건이 발생했을 때도 1인당 10만원의 배상 책임만 인정됐다. 2011년 네이트·싸이월드 개인정보 유출 피해자들은 ‘회사의 보호조치 미이행과 해킹사고 발생 사이 상당한 인과관계가 인정되지 않는다’는 이유로 패소했다. 개인정보보호법에는 기업 중과실이 인정되면 손해액의 5배까지 배상할 수 있는 징벌적 손해배상 제도가 도입됐지만, 현재까지 적용된 사례는 없다.
반면 외국의 개인정보 유출 배상 책임과 과징금은 막대하다. 미국 통신사 티(T)모바일은 2021년 개인정보 유출로 1인당 많게는 약 3600만원을 배상했고, 페이스북은 2019년 이용자 개인정보 유출로 미국 연방거래위원회로부터 7조원이 넘는 징벌적 과징금을 부과받았다. 이재명 대통령은 이날 용산 대통령실에서 주재한 국무회의에서 “관계 부처는 해외 사례를 참고해 과징금을 강화하고 징벌적 손해배상제도를 현실화하는 등의 대책에 나서달라”고 지시했다.
김주호 참여연대 민생경제팀장은 “쿠팡의 경우 3370만여명의 개인정보가 유출됐는데 모두가 변호사 비용을 내면서 장시간 소송을 이어가는 것도 현실적으로 쉽지 않다”며 “집단소송법을 도입해 피해자가 소송에 쉽게 참여할 수 있게 하고, 증거개시제도를 통해 회사나 정부의 자료를 민사소송에서 활용할 수 있어야 한다”고 말했다. 다만 일각에선 쿠팡 사태의 경우 징벌적 손해배상이 가능하리라는 전망도 나온다. 곽준호 법무법인 청 대표변호사는 “(정보 유출이) 직원 소행이라면 회사의 소속·관리하에 있는 것이기 때문에 외부 해킹보다 기업의 관리와 책임 문제가 인정될 가능성이 크다고 본다”고 했다.
개인정보 유출에 대한 분노가 이어지는 가운데, 한편에서는 쿠팡 회원 탈퇴에 제동을 거는 복잡한 절차도 도마 위에 올랐다. 에스엔에스(SNS)에는 쿠팡 탈퇴 방법을 안내하는 ‘쿠팡 탈퇴, 완벽 정리’ 글까지 등장했다. 휴대전화로 쿠팡 앱에서 회원 탈퇴를 하려면, ‘마이쿠팡’의 ‘회원정보 수정’을 누른 뒤 피시(PC) 버전을 선택해야 한다. 이후 피시 버전 화면에서는 △본인 확인 △이용 내역 확인 △설문조사 등을 거쳐야 탈퇴할 수 있다. ‘쿠팡 와우’ 회원인 경우 와우 멤버십을 먼저 해지해야 한다.
https://www.mt.co.kr/industry/2025/12/03/2025120315225876079
[기고] 쿠팡 유출사태와 징벌적 손해배상 도입, 더 이상 미룰 수 없는 이유 (머니투데이, 손계준 법무법인(유한) 대륜 변호사, 2025.12.03 17:47)
이번 사태는 기술적 한계로 인한 우발적 사고가 아니다. 불과 몇 달 전 발생했던 SKT 개인정보 유출사태에서 우리 기업들이 마땅히 얻었어야 할 교훈을 철저히 외면한 결과이자 '설마'하는 안일함이 빚어낸 예견된 인재(人災)다. 정부와 관계 당국이 이번 사태를 계기로 과징금 강화와 징벌적 손해배상제도의 현실화를 논의한 것은 어쩌면 당연한 결과다.
이 같은 비극은 왜 반복되는가. 근본적인 원인은 기업들이 개인정보 보안과 관련한 투자를 '필수 요건'으로 인식하지 않기 때문이다. 현재 국내 법제도 하에서는 정보 유출 사고가 발생하더라도 기업이 부담해야 할 과징금이나 손해배상액이 기업 경영에 치명적인 타격을 줄 수준에 미치지 못한다. 냉정하게 말해 천문학적인 보안 시스템 구축 비용보다 사고 후 로펌을 선임해 방어하고 과징금을 내는 편이 경제적으로 더 이익이라는 잘못된 셈법이 경영 현장에 만연해 있는 것이다.
이러한 도덕적 해이를 끊어내기 위해서는 징벌적 손해배상 제도의 도입이 필요하다. 이는 법무법인 대륜이 SKT 소송을 진행하며 강조했던 핵심 사안이기도 하다. 피해액의 실비 변상을 넘어 악의적이거나 중대한 과실을 저지른 기업에 막대한 배상 책임을 지게 함으로써 징벌과 재발 방지의 효과를 동시에 거두는 이 제도가 정착되지 않는 한 제2의 SKT, 제3의 쿠팡 사태는 언제든 다시 발생할 것이다.
징벌적 손해배상 도입 필요성은 현재 대륜에서 진행 중인 SKT 집단소송의 진행 경과를 보면 더욱 명확해진다. 현재 SKT측은 '재정부담'을 이유로 조정을 회피하며 사안을 장기화하려는 태도를 보이고 있다. 만약 국내에 강력한 징벌적 손해배상제도가 이미 도입돼 있었다면 지연 전략을 시행할 수 있었을까? 소송이 길어질수록 배상액이 눈덩이처럼 불어나는 구조였다면 이들은 진작 신속한 피해 구제에 나섰을 것이다.
하지만 제도가 정비되기까지 마냥 기다릴 수만은 없다. 지금 이 순간에도 유출된 개인정보는 범죄에 악용될 수 있고 피해자들의 불안은 커져가고 있다. 대륜은 현재 진행 중인 SKT 관련 소송은 물론, 쿠팡 사태에서도 피해자들을 대리해 끝까지 물러서지 않을 것이다. 특히 대륜은 최근 미국 뉴욕에 설립한 현지 법인 SJKP에 쿠팡 본사를 상대로 한 미국 집단 소송 제기 가능성에 대한 검토를 공식 요청했다. 쿠팡의 모기업은 미국 뉴욕증권거래소에 상장된 쿠팡 Inc다. 미국은 징벌적 손해배상 제도가 강력하게 작동하는 나라로, 만약 미국 법정에서 이번 사태를 다룰 수 있다면 국내와는 비교할 수 없는 천문학적인 배상 책임이 인정될 수 있다.
법원은 SKT 소송과 함께 앞으로 이어질 쿠팡 관련 분쟁에서 좌고우면하지 말고 신속하고 엄정한 판결을 내려야 한다. 수사 기관 역시 한 점 의혹 없는 철저한 수사로 유출 경위와 은폐 의혹을 밝혀내야 할 것이다. 대륜은 그 길의 맨 앞에서 피해를 입은 국민과 함께 끝까지 싸울 것이다. 그것이 법조인으로서, 그리고 국민 로펌으로서 우리가 마땅히 해야 할 소명이다.
https://www.khan.co.kr/article/202512040605001#ENT
일반 직원에게 ‘마스터키’가 있었다?…쿠팡은 뭘 감추고 있나 (경향, 송윤경 기자, 2025.12.04 06:05)
3370만명의 이름·주소·전화번호가 유출된 쿠팡 사태의 핵심은 ‘서버 출입 마스터키’에 해당하는 서명키 접근 구조다. 쿠팡은 탈취당한 서명키가 악용된 사실은 인정했지만, 정작 이 서명키를 그간 어떻게 관리해왔는지는 밝히지 않고 있다. 아무나 손대서는 안 되는 ‘마스터키’가 어떻게 일반 직원 손에 넘어갔는지를 밝혀야 쿠팡의 보안 소홀 책임이 명확해질 것으로 보인다.
3일 정보기술(IT) 업계에 따르면 쿠팡 내부의 ‘서명키’ 보안에 어떻게 구멍이 뚫렸는지가 ‘쿠팡 미스터리’를 풀 실마리 중 하나로 거론되고 있다.
전날부터 이틀간 국회 과학기술방송통신위원회·정무위원회가 연 긴급 현안질의에 출석한 쿠팡 박대준 대표, 브랫 매티스 최고정보보호책임자(CISO)의 말을 종합하면 지금까지 드러난 사실은 이렇다. 유출 사태를 일으킨 것으로 추정되는 직원 A씨는 인증 시스템 개발자였으며, 지난해 12월 퇴직한 뒤 올해 6월부터 ‘고객’으로 가장해 시스템에 접속, 개인정보를 대량 수집했다. 이 과정에서 A씨는 서명키로 가짜 토큰을 생성했는데, 토큰이 있으면 아이디·비밀번호 입력 없이도 로그인이 가능하다. A씨는 퇴사 전 이 서명키를 확보했던 것으로 보인다.
문제는 서명키가 민감한 보안 자산이라는 점이다. 전 고객의 개인정보가 담긴 ‘방’에 자유롭게 드나들게 해주는 ‘마스터키’와 같은 역할을 하기 때문이다. 김승주 고려대 정보보호대학원 교수는 “서명키는 HSM(Hardware Security Module)과 같은 하드웨어 보안장치에 보관해야 하고, 개발자를 포함한 누구도 이 장치 밖으로 키를 추출할 수 없어야 한다”며 “그럼에도 불구하고 어떻게 키 탈취가 가능했는지가 규명돼야 한다”고 말했다.
사태 초기에는 퇴사자 발생 후 서명키를 교체하지 않은 점에 초점이 맞춰졌으나 진짜 문제는 일반 직원이 이 서명키에 접근할 수 있었다는 사실 그 자체에 있다는 얘기다. 쿠팡의 박 대표는 국회 현안질의에서 서명키 입수 경로와 관련해 “어떻게 입수했는지 알 수 없다”고 말했다.
박 대표는 “(서명키 등으로) 고객정보 전체를 볼 수 있는 사람이 몇 사람이냐 되느냐”(강민국 국민의힘 의원)는 질문에는 “예외적으로 승인돼 있고 저도 그런 접근권은 갖고 있지 않다”고 말했다. 법인 대표에게도 없는 ‘마스터키’ 접근 권한이 일반 직원에게 있었다는 얘기가 된다.
5개월간 이어진 대규모 유출을 전혀 탐지하지 못한 것도 문제다. 정보 유출은 올해 6월24일부터 지난달 8일까지 이어졌으나, 쿠팡은 같은 달 18일 “정보가 유출된 것 같다”는 고객 민원을 받고서야 이 사실을 알게 됐다.
쿠팡은 그간 이상징후를 탐지하지 못한 이유에 대해 “공격자가 여러 개의 IP 주소를 사용했다”(매티스 CISO)고 말하지만 이 설명만으로는 납득하기 어렵다는 평가가 나온다. 휴면·탈퇴 계정 정보도 유출됐기 때문에 해당 계정에 대한 대량의 로그인 징후가 이어졌을 가능성이 크기 때문이다.
쿠팡은 정보가 유출된 휴면·탈퇴 계정 규모를 밝히지 않고 있으나 3분기 활성 고객 규모(2470만명)와 유출 규모의 차이(약 900만명)를 고려하면 수백만개에 달할 것으로 추정된다. 김 교수는 “탈퇴 계정에서 계속 접속이 들어오면 이상하게 여겨야 하는데 왜 탐지를 못했는지 의문”이라고 말했다.
이날 정무위 현안질의에서는 쿠팡이 2021년과 지난해 받은 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)를 취소해야 한다는 지적이 잇따랐다. ISMS-P에는 암호키(서명키) 접근 통제, 퇴직자의 정보 접근 제한 등의 내용이 담겨 있다. 한창민 사회민주당 의원은 “ISMS-P 기준을 지키지 않은 쿠팡은 첫 ‘인증 취소’ 기업이 돼야 한다”며 “아울러 과거 과징금 사례를 보면 ISMS-P 인증을 받았다는 이유로 50%씩 감면을 해주었는데 이러한 제도도 바꿔야 한다”고 말했다.
https://www.hankookilbo.com/News/Read/A2025120315140000128
퇴사자에 '뻥' 뚫린 시스템…과징금·징벌적 손배·보상 '삼중 위기' 직면한 쿠팡 (한국일보, 박준석 기자, 2025.12.04 07:00)
[쿠팡 사태 명백한 '人災' 정황]
퇴직자 서명키 관리 부실에,
사용자 식별값 암호화 미비
수천억원 과징금 부과 전망
피해자 손해배상 소송 '봇물'
징벌적 손배 첫 사례 될 수도
쿠팡 "피해자 보상案 검토"
국내 전자상거래(이커머스) 1위 업체인 쿠팡이 개인정보 유출 사건으로 역대급 과징금과 천문학적인 민사 배상, 자체 보상이라는 '삼중 위기'에 직면하게 됐다. 이번 사태가 외부 공격에 따른 정상 시스템의 무력화가 아니라 쿠팡의 총체적 관리 부실에 따른 인재(人災)라는 정황이 확인되고 있기 때문이다. 쿠팡이 개인정보 사건 역사상 최대 규모의 과징금을 부과받는 것은 물론, '1호' 징벌적 손해배상 적용 사례가 될 수 있다는 관측도 나온다.
"쿠팡 보안, 대학 2학년 수준"
3일 쿠팡과 국회, 전문가의 설명을 종합하면, 현재까지 파악된 사건의 개요는 이렇다. 쿠팡에서 인증 시스템을 개발하던 개발자 A씨는 재직 기간 내부망에 접근할 수 있는 수단인 '인증(서명)키'를 훔친 것으로 추정된다. 이후 2024년 12월 퇴사한 그가 올해 6월부터 서명키를 바탕으로 내부 시스템에 접근해 개인정보를 빼돌렸다는 게 쿠팡 측의 설명이다.
다만 서명키를 확보해도 이름·전화번호 등 정보에 바로 접근할 수 있는 건 아니다. 쿠팡은 고객이 로그인할 때 '일회용 출입증' 격인 토큰을 발급한다. 이때 서명키가 토큰에 '위조되지 않았다'고 도장을 찍어주면 서버 문이 열리는 셈이다. A씨가 서명키를 가지고 '가짜' 출입증을 만들려면 도장을 찍어줄 출입증 정보, 즉 계정 아이디(ID·이메일)를 알고 있어야 하는 셈이다.
문제는 이메일을 몰라도 로그인할 수 있는 우회로가 있었다는 점이다. 서버가 사용자를 식별하는 고유 값이 단순 숫자였기 때문이다. A씨는 숫자 1, 2, 3씩 차례로 넣어가며 출입증을 만들고 '유효' 도장을 찍어 로그인한 후 정보를 빼간 것으로 보인다. 만약 쿠팡이 사용자 식별 값을 암호화했다면 서명키 하나만으로 3,370만 명의 개인 정보가 털리는 일은 없었을 것이라는 얘기다. 이준석 개혁신당 대표가 "대학교 2학년 수준 수업에서 알려주는 설계 원칙을 간과했다"고 비판한 이유다.
과징금, 배·보상 '폭탄' 예고
향후 쿠팡은 초강력 제재에 직면할 것으로 보인다. 먼저 이재명 대통령이 쿠팡을 겨냥해 고강도 제재를 주문한 터라 개인정보보호위원회는 역대급 과징금을 부과할 가능성이 높다. 전체 매출 3%까지 부과할 수 있는 개인정보보호법 조항을 고려하면 2024년 41조 원 매출을 거둔 쿠팡에 1조2,000억 원대 과징금을 내게 할 수 있다. 물론 전체 매출에서 유출과 관련 없는 금액을 빼고 감경 사유를 고려하면 조(兆) 단위 과징금은 어렵다는 관측이 많지만 과징금 규모는 기존 제재와 차원이 다를 것이라는 게 중론이다. 10월 개보위는 SK텔레콤에 역대 최대인 과징금 1,348억 원을 부과했다.
손해배상 청구 소송도 확산하고 있다. 이날 오후 4시 기준 단체 소송을 준비하는 네이버 카페는 30여 개에 달하고, 회원 수는 50만 명을 넘어섰다. 여러 법무법인이 모집 중인 단체 소송에는 수백~수천여 명이 참여 의사를 밝힌 상태다. 과거 개인정보 유출 사건은 기업 과실을 입증하기 어려운 데다 책임이 인정돼도 배상액이 1인당 10만 원 수준에 불과했지만 법조계에서는 이번엔 다를 것이라는 관측이 많다. 공동현관 비밀번호, 구매 이력 같은 사생활 정보가 유출된 데다 쿠팡의 보안 시스템이 정상 작동하지 않은 정황이 뚜렷하기 때문. 쿠팡이 2015년 개인정보보호법에 도입된 징벌적 손해배상제(손해액의 다섯 배까지 배상) 적용 '1호' 사례가 될 수 있다는 관측도 나온다.
쿠팡은 이런 행정·법적 리스크를 완화하기 위해 자체 보상안도 내놓아야 하는 상황이다. 이날 시민단체 서울YMCA는 쿠팡을 향해 유료 멤버십(와우 멤버십) 이용료(월 7,890원)를 6개월 동안 면제하라고 촉구했다. 박대준 쿠팡 대표는 이날 국회 정무위원회 현안 질의에서 "피해자에 대해서는 (보상을) 적극적으로 검토하겠다"고 했다.
https://www.yna.co.kr/view/AKR20251204069300017
'유출인데 노출?' 쿠팡 통지 논란…당국 지적도 무시 (서울=연합뉴스, 박형빈 기자, 2025-12-04 11:08)
조사단 "명백한 유출"…정정 요구에도 반영 안 해
국회·개인정보위 모두 문제 제기…사과문도 미게시
개인정보보호위원회로부터 개인정보 유출 사고를 '노출'이 아닌 '유출'로 통지하라는 요구를 받은 쿠팡이 앞서 당국으로부터 두 차례 같은 지적을 받았으나 이를 묵살한 것으로 나타났다.
4일 국회 과학기술방송통신위원장 더불어민주당 최민희 의원실이 과학기술정보통신부로부터 제출받은 자료에 따르면 쿠팡은 지난 11월 29일 전 고객에게 '개인정보노출통지' 문자를 순차적으로 발송했다.
이튿날 쿠팡 본사에서 열린 민관합동조사단 출범 회의에서 조사단은 "이번 사고는 개인정보 노출이 아닌 명백한 개인정보 유출"이라며 개인정보보호법상 문자 내용을 '노출'이 아닌 '유출'로 표기해야 한다고 지적했고, 쿠팡은 회의에서 이를 수용했다고 한다.
하지만 쿠팡은 지난 1일에도 '노출'로 표현된 문자를 다시 발송했고, 2일 오후 민관합동조사단이 콜센터 연장 운영, 아이디·패스워드 변경 등 이용자 보호에 관한 사항 추가 조치 등과 함께 재차 쿠팡 측에 노출을 유출로 정정하라고 요구했으나 쿠팡은 이를 반영하지 않았다.
박대준 쿠팡 대표는 같은 날 국회 과방위 긴급 현안 질의에서 최 위원장을 비롯한 여야 의원들의 항의에 "유출로 수정하겠다"고 답변한 바 있다. 이후 개인정보보호위원회는 전날 오전 긴급 전체 회의를 열고 개인정보 '노출' 통지를 '유출'로 수정하고 유출 항목을 빠짐없이 반영해 재통지하라고 요구했다. 그럼에도 쿠팡은 아직 이런 요구를 반영한 수정 문자 및 사과문을 게재하지 않은 상태다.
https://www.hankookilbo.com/News/Read/A2025120411050002428
쿠팡의 수상한 '데이터 삭제'…직원들 "큰일 터졌구나 싶었다" (한국일보, 송주용 기자, 2025.12.04 15:00)
개인정보 유출 직후 이례적 대규모 데이터 삭제
'업무 창고' 쿠팡위키, 메일, 사내 메신저 등 대상
직원들 "큰일 터졌구나" "정보 유출 미리 알았나?"
3,370만 명의 고객 개인정보 유출 사고를 낸 쿠팡이 해킹 피해 직후 직원들에게 사내 업무 데이터를 대규모로 삭제하도록 지시한 것으로 확인됐다. 쿠팡 직원들은 회사의 이례적인 내부 데이터 삭제가 개인정보 유출 피해와 관련된 것 아닌지 의심하고 있다.
4일 한국일보 취재를 종합하면 쿠팡은 지난 7월 중순 무렵 사내 업무정보 공유 사이트인 '쿠팡위키'의 삭제 기준을 강화했다. 쿠팡위키는 쿠팡의 모든 계열사 업무 정보를 공유하는 곳인데, 온라인 백과사전 사이트인 나무위키와 비슷한 형태다. 쿠팡 직원 A씨는 "쿠팡은 본사 규모도 크지만 자회사도 많기 때문에 본사와 쿠팡이츠,쿠팡 플레이, 쿠팡 풀필먼트 등 계열사의 모든 업무 자료를 모아 놓은 곳이 쿠팡위키"라며 "이전에는 쿠팡위키 데이터에 대한 삭제 규정이 없었지만 7월 중순부터는 15개월 이상 된 자료는 모두 삭제하도록 바뀌었다"고 전했다.
쿠팡위키에는 방대하고 자세한 업무 관련 정보가 입력돼있다. 이 때문에 신입사원 연수나 사내 교육, 업무 인수인계에도 적극 활용됐다고 한다. A씨는 "엄청난 데이터를 갑자기 삭제해 직원 사이에서는 불평도 많고 의아함이 컸다"고 말했다. 직원 B씨도 당시 쿠팡 소속이 확인돼야 글을 쓸 수 있는 직장인 커뮤니티에 "일할 시간도 없는데 (자동 삭제되는) 데이터를 (별도 공간에) 보존하느라 힘들었다"며 "뭐 그렇게 숨길 것이 많고 잘못한 것이 많아서 이러나. 쿠팡 다니기 정말 힘들다"고 하소연했다. 또 다른 직원 C씨는 "데이터 비활성화도 아니고 데이터 삭제는 도대체 누구 머리에서 나온 것인가"라며 불만을 토로했다.
임직원 로그인 키 입력 주기도 짧아져
이 무렵 쿠팡 임직원 로그인 키인 '옥타(OKTA)'를 입력하는 주기도 짧아졌다. A씨는 "옥타는 직원이 내부 서버에 접속할 때 입력하는 인증 키"라며 "장시간 자리를 비우지 않는다면 하루 3번 정도 입력했는데 7월 초순부터는 하루 10번 넘게 입력하도록 바뀌어 이상했다"고 설명했다. 또 "회사는 전체 사원을 대상으로 옥타 인증을 수행했는지 조사하기도 했다"고 말했다.
수상한 데이터 삭제 정황은 또 있다. 쿠팡은 6월 15일부터 사내 메신저 '슬랙'과 사내 메일, 마이크로소프트 프로그램(원노트, 엑셀) 등의 삭제 규정도 강화했다. 슬랙은 저장 기간이 두달에서 일주일로 줄었다. 메일은 보존 기간 한 달, 마이크로소프트 프로그램은 보존 기간 15개월로 정해졌다. A씨는 "쿠팡 모든 업무는 슬랙으로 이뤄지는데 갑자기 일주일치 자료를 제외하고 모두 삭제한다고해 직원들 반발이 컸다"며 "직원들 불만이 많다보니 회사가 새로운 규정 적용 시기를 조금 미뤄 6월 24일부터 앞선 데이터들을 삭제했다"고 주장했다. 공교롭게도 6월 24일은 쿠팡이 처음 개인정보 유출 피해를 당했다고 밝힌 날이다.
이 같은 사내 데이터 삭제 기준 강화를 두고 쿠팡 직원 다수는 "뭔가 큰일이 터졌구나"라는 것을 직감했다고 한다. 쿠팡 직원들이 글을 남길 수 있는 직장인 커뮤니티에는 애초에 회사가 6월 24일 이전에 개인정보 유출 피해나 비정상적 공격을 인지한 것 아니냐는 의심도 있다. 한 쿠팡 직원은 "이미 (개인정보가) 털려서 내부에서 보안 대책이 논의됐고 이 과정에서 7월부터 모든 쿠팡위키 관리를 시작한 것 아니냐"고 적었다. A씨도 "당시 회사는 데이터 보존에 들어가는 비용을 아끼기 위해 삭제 규정을 강화한다고 설명했지만 아무도 이 말을 믿지 않았다"며 "쿠팡은 자체 데이터센터까지 갖췄고 정보기술(IT) 기업을 표방하는 기업이다. 다들 쉬쉬했지만 무언가를 덮기 위해 데이터를 삭제한다고 의심했다"고 전했다.
앞서 쿠팡에서는 지난 6월경 시스템 취약점을 이용한 비인가 접근으로 고객 계정 약 3,370만개가 유출되는 사태가 발생했다. 빠져나간 고객 정보는 이름, 이메일, 전화번호, 배송지 주소 및 일부 주문 내역 등이다. 범인은 내부 인증 관련 업무를 하던 전직 직원으로 알려졌다.
https://www.yna.co.kr/view/AKR20251208045200071
쿠팡 美본사 상대로 집단소송 추진된다…"징벌적 손배소송" (워싱턴·뉴욕=연합뉴스, 조준형 이지헌 특파원, 2025-12-08 10:24)
로펌 SJKP, 美법원에 소장 제출 계획…8일 뉴욕서 기자회견 예정
3천만건이 넘는 대규모 개인정보 유출 사고가 발생한 쿠팡을 대상으로 한국 국내에서 이용자들의 소송이 본격화하고 있는 가운데, 미국의 쿠팡 본사를 상대로 한 미국내 집단소송이 추진된다.
한국 법무법인 대륜의 현지 법인인 미국 로펌 SJKP는 8일(현지시간) 뉴욕 맨해튼에서 기자회견을 열고 쿠팡을 상대로 한 징벌적 손해배상 소송을 미국 법원에 제기할 계획을 밝힐 예정이라고 7일 밝혔다.
법무법인 대륜 관계자는 연합뉴스와의 통화에서 "한국과 미국에서 동시에 소송을 추진할 것"이라며 "미국 법원에 제기할 징벌적 손해배상과 관련, 이미 원고를 일부 모집했고, 기자회견을 통해 원고를 더 모집할 것"이라고 말했다.
앞서 쿠팡은 지난달 29일 고객 계정 약 3천370만개 정보가 유출됐다고 발표하면서 이름과 이메일, 전화번호, 주소, 일부 주문정보 등의 개인 정보가 유출됐다고 밝혔다.
쿠팡은 한국 법인의 지분 100%를 미국에 상장된 모회사 쿠팡 아이엔씨(Inc.)가 소유하고 있으며, 쿠팡 모회사 의결권의 70% 이상을 창업주인 김범석 쿠팡 아이엔씨 이사회 의장이 보유하고 있다.
김 의장은 서울에서 태어났으나 유년 시절 대기업 주재원인 아버지를 따라 미국으로 건너가 생활하면서 미국 시민권을 취득했으며 하버드대를 졸업한 뒤 2010년 쿠팡을 창업했다.
https://www.khan.co.kr/article/202512081729001
쿠팡 사태로 집단소송제 논의 불붙어…정부도 “검토” (경향, 송윤경 기자, 2025.12.08 17:29)
3370만명의 이름·전화번호·주소가 유출된 쿠팡 사태를 계기로 ‘대표 원고’가 제기한 소송으로 다수 피해자도 일괄 배상을 받을 수 있는 ‘집단소송 제도’ 도입 요구가 거세지고 있다. 집단소송제 입법 논의는 수년째 진전이 없었으나 최근 개인정보보호위원회가 검토 의지를 밝히면서 탄력이 붙고 있다.
8일 정보기술(IT) 업계에 따르면 쿠팡의 개인정보 유출 사태와 관련해 기업들이 가장 예의주시하는 대목은 집단소송제의 도입 여부다. 올해 해킹 사태를 겪은 기업의 한 관계자는 “집단소송이 본격 도입될 경우 수천만명의 고객에게 10만원씩만 배상해도 몇 분기 영업이익이 통째로 날아갈 수 있다”며 “집단소송과 징벌적 손해배상 모두 업계에선 가장 민감하게 지켜보는 이슈”라고 말했다.
쿠팡 사태에 엄정 대응 기조를 세운 정부는 집단소송제 도입을 검토 중인 것으로 알려졌다. 앞서 3일 국회 정무위원회가 연 긴급 현안질의에서 송경희 개인정보보호위원장은 “현행 개인정보보호법에 단체소송 규정이 있지만, (권리 침해) 금지 청구만 가능하고 손해배상 청구가 포함돼 있지 않다”며 “손해배상을 포함하는 방안도 검토 중”이라고 말했다. 단체소송은 비영리단체가 기업의 ‘권리 침해’ 중지를 요구하는 제도로 집단소송과 성격이 다르다. 송 위원장 발언은 단체소송 제도를 집단소송 수준으로 개편하는 방안을 염두에 둔 것으로 보인다.
시민사회에선 쿠팡 사태 초기부터 집단소송제 도입을 강력히 요구해왔다. “정부의 과징금은 기업의 수익에 비해 새발의 피일 뿐이며 소비자들이 소송을 제기하기는 너무나 힘들고 지난한 과정”(4일 디지털정의네트워크 논평)이라는 것이다. 참여연대 역시 지난달 30일 “미국 증시에 상장된 쿠팡이 미국에서 이러한 사고를 일으켰다면 집단소송제 등으로 인해 최소 수천억원대의 보상을 이행해야 했을 것”이라며 “왜 우리 국민은 제도의 미비로 역차별을 당해야 하느냐”며 집단소송제 도입을 촉구했다.
집단소송의 처벌이 강력하다는 사실은 2014년 카드사 정보 유출 사건을 들여다보면 알 수 있다. 당시 롯데·농협·국민카드에선 1억건이 넘는 개인정보가 유출되는 사고가 발생했다. 4년이 흐른 뒤 법원은 이 중 롯데카드의 경우 피해자에게 1인당 10만원씩 배상하라는 판결을 내렸다. 이 사건에 징벌적 배상이 적용돼 기업에 5배(50만원)를 물린다 해도 추가 부담은 수십억원대에 그친다. 수백~수천만명으로 추산되는 피해자 중 3577명만 소송에 참여한 탓이다. 하지만 쿠팡 사태에서 집단소송이 가능해지면 극단적으로는 3370만명 전부에게 10만원씩만 배상해도 3조원대 부담이 생긴다.
미국에서 개인정보 유출 기업에 수조원대 제재가 내려지는 것도 집단소송 영향이 크다. 정치 컨설팅회사가 페이스북 이용자 약 8700만명의 개인정보를 불법 수집해 미국 대선 등 정치 광고에 활용한 ‘캠브리지 애널리티카 스캔들’이 이를 잘 보여준다. 이 사건으로 페이스북은 연방거래위원회(FTC)의 과징금 약 6조원(50억달러) 외에도 피해자들과의 집단소송 합의금으로 약 1조원(7억2500만달러)을 내야 했다.
이은우 법무법인 지향 변호사는 “OECD(경제협력개발기구) 국가 가운데 집단소송 혹은 유사 제도가 없는 국가는 한국, 튀르키예뿐”이라며 “집단소송제를 쿠팡 처벌의 기본 축으로 삼고, 여기에 징벌적 손해배상제도를 결합하는 방식이 타당하다”고 말했다.
https://www.hani.co.kr/arti/opinion/editorial/1233702.html
[사설] 쿠팡 소송 이겨도 ‘찔끔’ 배상, 집단소송제 확대해야 (한겨레, 2025-12-09 18:36)
3370만건에 이르는 쿠팡의 개인정보 유출 사태에 대한 피해자들의 손해배상 청구 소송이 잇따른다. 현재까지 법무법인을 통해 단체 소송에 참여한 인원은 약 20만명 수준이다. 적지 않은 숫자이지만 전체 유출 규모에 비하면 소수에 불과하다. 승소하더라도 과거 판례대로라면 1인당 10만원 정도의 소액만 배상받을 수 있어 실질적 피해 구제가 되지 않는다. 또 배상 규모가 적다 보니 기업 경각심을 불러일으킬 확실한 견제 수단이 되지 못하는 한계가 있다.
이런 경우 미국에선 집단소송제를 활용한다. 대표 당사자가 전체 피해자들을 대표해 소송을 수행하면 모든 피해자에게 자동적으로 판결 효력이 미치도록 하는 제도다. 소송 제기의 편의성과 소액의 다수 피해자를 효과적으로 구제할 수 있는 장점이 있다. 소비자·고용·인권·환경·증권 등 일반 민사 사건에 공통적으로 적용돼 미국의 대표적인 피해 구제 수단으로 자리잡았다는 평가를 받는다. 한국에도 증권 분야에 한해 집단소송제가 도입돼 있긴 하지만 사실상 유명무실하다. 2005년 도입 이래 20년이 되도록 소송 제기 건수가 12건, 이 중 승소·화해 사례가 절반에 불과하다. 도입 초기 남소 방지를 위해 절차를 까다롭게 하고 적용 범위도 좁게 설계한 탓이다. 소송 제기를 하려면 법원 허가를 받아야 하는데, 허가 결정에 대해 즉시항고가 가능해 본재판을 시작하기까지 수년이 걸린다. 소송 대상도 허위공시·시세조종 등으로 한정돼 있다. 본재판에 들어가도 기업 내부 자료 등 증거 제출을 강제할 수 있는 제도 미흡으로 원고가 관련 증거를 충분히 확보하기도 어렵다.
법무법인 대륜이 쿠팡 본사를 상대로 미국에서 연내에 집단소송을 제기할 예정이라 한다. 여기서 승소해도 한국 피해자들이 피해 구제를 받을 수 있는 건 아니겠지만, 증거개시제도(디스커버리 제도)를 통해 쿠팡 본사의 내부 의사 결정 등에 대한 자료를 확보할 수 있을 것으로 보인다. 사태는 한국에서 벌어졌는데 증거 확보 등을 미국 집단소송에 기대야 하는 아이러니한 상황이다.
쿠팡 사태를 계기로 우리도 실질적인 집단소송제 도입 논의를 본격화해야 한다. 통신·금융·유통 등 소비자와 밀접한 영역에서 새로운 유형의 대규모 피해가 양산되고 있지만 기존 법과 제도로는 규율하기 어려운 탓이다. 집단소송제를 소비자 피해 양산 분야로 대폭 확대하고 징벌적 손해배상제 현실화, 증거개시제도 도입 등을 통해 실효성을 높여야 한다.
https://www.khan.co.kr/article/202512091930001
[사설] 징벌적 손배소·공정위 조사, ‘쿠팡 바로잡기’ 이제 시작이다 (경향, 2025.12.09 19:30)
3370만건의 초대형 개인정보 유출 사고를 낸 쿠팡에 대한 징벌적 손해배상 소송이 국내와 미국에서 동시에 시작됐다. 공정거래위 조사도 개시됐고, 고객 이탈 폭과 여론 압박도 커지고 있다. 이 모든 건 소비자·노동자를 우롱·홀대하고, 최소한의 기업 윤리를 망각한 쿠팡이 자초한 일이다.
한국 법무법인 대륜의 미국 현지법인 SJKP는 지난 8일 뉴욕사무소에서 쿠팡 모기업인 쿠팡INC를 상대로 뉴욕 연방법원에 소비자 집단소송을 공식 제기하겠다고 밝혔다. 한국 소송에 참여한 200여명이 미국 소송에도 참여하고, 소송인이 계속 늘고 있다고 전했다. 이미 국내에선 법무법인·법률사무소들이 모집한 집단 손해배상 소송인단 피해자만 20만명을 웃돌고, 하루하루 증가하는 분위기다.
정부와 국회의 대응도 속도가 붙었다. 이재명 대통령은 9일 국무회의에서 “경제 제재를 통한 처벌을 현실화하기 위해서는 강제조사권을 주는 방안을 검토하라”고 법제처에 지시했다. 공정위를 통한 제재 강화를 주문한 것이다. 공정위는 이미 쿠팡의 미로처럼 복잡한 탈퇴 절차에 대해 조사에 착수했다. 경찰은 이날 쿠팡 본사를 압수수색했고, 국회 과방위는 오는 17일 청문회에 김범석 의장을 증인으로 채택했다.
하지만 쿠팡은 여전히 피해 방지책이나 보상안 마련은 뒷전이고, ‘배짱 영업’ 중이다. 쿠팡 사태에 대해 석고대죄해도 모자랄 판에 정보 ‘유출’을 ‘노출’로 표현한 첫 번째 사과문을 이틀 만에야 내리더니, 이를 정정한 두 번째 사과문마저 링크 제목엔 광고성 문구가 표기됐다. “경찰청이 2차 피해 의심사례는 발견되지 않았다고 발표했다”는 쿠팡 측 해명도 사실이 아니었다. 소비자들이 이를 용인하겠는가. 지난 6일 기준 쿠팡 일간 활성 이용자(DAU)는 최대치였던 지난 1일 1798만명보다 204만명(11.4%)가량 줄었다.
정보 유출 사고 후 쿠팡의 대응은 몰염치하고 비상식적이다. 소비자 피해나 사태 수습은 안중에 없다는 걸 드러낸 꼴이다. 쿠팡은 그동안 기업의 사회적 책임 의식을 외면한 채 노동자들을 쥐어짜내며 과로·위험에 내몰고, 정·관계 대관 업무를 할 인사 영입에 열을 올렸다. 노동자·협력기업·대관 로비를 방패 삼아 국내에서 시장지배자로서의 지위를 강화시키는 데만 골몰했을 뿐이다. 쿠팡에 대한 소비자들의 분노와 불안이 쉽게 가라앉지 않는 이유도 그것이다. 쿠팡의 적폐 바로잡기는 이제 시작됐다.
https://www.donga.com/news/Opinion/article/all/20251209/132934742/2
[사설]끝없는 쿠팡 모럴해저드… ‘솜방망이 처벌’론 재발 못 막는다 (동아일보, 2025-12-09 23:30)
최악의 개인정보 유출 사고를 낸 쿠팡과 관련해 이재명 대통령이 9일 기업에 부과하는 과태료를 현실화해야 한다고 밝혔다. 경제 제재의 실효성을 높이기 위해 공정거래위원회 등에 강제조사권을 부여하는 방안도 검토하라고 지시했다. 이 대통령이 지난주 ‘징벌적 손해배상제 현실화’를 주문한 데 이어 정보 유출 사고를 일으킨 기업에 대한 처벌 수위를 높여야 한다고 강조한 것이다.
올 들어 초대형 정보 유출 사건이 연이어 발생하자 제재와 과징금을 선진국 수준으로 끌어올려야 한다는 지적이 잇따르고 있다. 쿠팡을 비롯해 통신사, 카드사, 유통업체 곳곳에서 빠져나간 개인정보를 합하면 6300만 건이 넘는다. 사고의 일차적 책임은 정보 보안 투자를 게을리한 기업에 있지만, 솜방망이 처벌이 ‘보안 불감증’을 부채질하고 있다.
미국에선 개인정보 유출 시 징벌적 손해배상과 집단소송으로 천문학적 배상금을 물어야 한다. 4년 전 7600만 명의 정보가 유출된 미국 통신업체 T모바일은 집단소송으로 3억5000만 달러를 배상했다. 3370만 명의 정보가 털린 쿠팡이 미국에서 사고를 냈다면 배상금이 최소 6억7000만 달러(약 9800억 원)에서 최대 337억 달러(약 49조 원)에 달할 것으로 법조계는 추산한다. 유럽연합(EU) 역시 보안 사고가 발생하면 연 매출의 최대 4%까지 과징금을 부과한다.
한국도 개인정보보호법에 징벌적 손해배상제가 도입됐지만 적용된 사례가 없다. 피해자가 금전 피해와 기업 과실을 입증해야 하는 탓이다. 2300만 명의 유심 정보가 털린 SK텔레콤에 부과된 과징금 1348억 원이 역대 최대다. 쿠팡도 과거 세 차례 개인정보 유출 사고를 냈지만 과태료와 과징금으로 16억 원을 내는 데 그쳤다. 이러니 보안 시스템에 투자하는 것보다 사고가 난 뒤 과징금을 무는 게 더 싸다는 얘기가 나오는 것이다.
쿠팡이 보여주는 ‘보안 모럴 해저드’는 갈수록 가관이다. 1년 전 이용 약관에 해킹 등으로 인한 손해를 회사가 책임지지 않는다는 면책 조항을 추가한 사실이 드러났다. 개인정보 유출 배상책임 보험엔 최저 보장 한도인 10억 원만 가입했다고 한다. ‘공룡 플랫폼’의 독점적 지위를 과신한 무책임과 오만이 아닐 수 없다. 정부는 기업의 보안 실패를 일벌백계하고, 실효성 있는 피해 보상 및 구제 제도를 서둘러 마련해야 할 것이다.
https://www.hankookilbo.com/News/Read/A2025120914560004807
[사설] 쿠팡 소송 줄 잇지만… 집단소송 없으면 '새 발의 피' (한국일보, 2025.12.10 00:10)
대규모 고객정보가 유출된 쿠팡을 상대로 한 소송 추진이 줄을 잇고 있다. 지금까지 소송인단으로 모인 피해자만 20만 명을 넘는다. 그럼에도 피해자 3,370만 명의 0.5% 수준이다. 이들이 모두 소송에서 이긴다 해도 연간 매출이 40조 원이 넘는 유통공룡 쿠팡 입장에서는 조족지혈에 불과하다.
현재 쿠팡을 상대로 소송을 준비 중인 법무법인은 10곳가량으로, 1인당 배상 요구액은 대체로 10만~30만 원 수준이다. 손해액의 5배까지 징벌적 손해배상청구가 가능하도록 한 개인정보보호법을 적용해 1인당 100만 원을 청구하겠다는 곳도 있지만 법원에서 인정될지는 미지수다. 개인정보 처리자의 고의나 중과실을 입증해야 해 지금까지 실제로 적용된 사례가 없다.
2014년 카드 3사에서 1억 건이 넘는 개인정보가 유출되는 사고가 발생했을 때도 법원에서 인정된 배상액은 1인당 10만 원에 그쳤다. 피해자가 2,000만 명에 달했음에도 실제 소송에 참여해 위자료를 받은 이들은 9,000명이 채 되지 않았다. 카드 3사가 물어낸 배상금이 9억 원에 불과했다는 얘기다.
쿠팡 사태를 계기로 소송 참여 여부와 무관하게 피해자들이 일괄 배상을 받을 수 있는 집단소송제를 도입해야 한다는 요구가 거센 것도 이 때문이다. 국회입법조사처는 최근 보고서에서 “판결의 효력이 소송을 신청한 사람뿐 아니라 모든 피해자에게 영향을 미치는 집단소송을 개인정보 분야로 확대해 도입할 필요가 있다”고 밝혔다. 현재 우리나라에서는 증권 분야에 한해서만 집단소송이 허용된다. 만약 집단소송이 가능해지면 쿠팡은 피해자 1인당 10만 원씩만 배상해도 3조3,700억 원을 물어야 한다.
경제협력개발기구(OECD) 38개 회원국 중 집단소송제가 없는 나라는 한국과 튀르키예, 스위스뿐이다. 이러니 한국이 아닌 미국 법원에 집단소송을 내겠다는 움직임까지 나온다. 지금까지는 소송 남발에 따른 기업 부담 증가 우려 탓에 번번이 발목이 잡혔지만, 갈수록 늘어나는 정보유출 피해를 감안할 때 도입 논의를 늦출 이유가 없다. 우리 국민만 역차별을 받아서는 안 된다.
https://www.donga.com/news/Economy/article/all/20251210/132935316/2
“쿠팡, 美였다면 배상금 수십조”… 강제조사 검토 (동아일보, 남혜정 윤다빈 이소정 기자, 뉴욕=임우선 특파원, 2025-12-10 03:00)
李 “형법보다 과태료 현실화 필요”
‘강제조사권 검토’ 법제처에 지시
美정보유출 1인 최대 1000달러 배상
美서 집단소송 계획… 쿠팡 압수수색
3370만 명의 개인정보가 털린 ‘쿠팡 사건’이 미국에서 발생했다면 쿠팡이 부담해야 할 피해 배상 금액이 최소 9800억 원이라는 분석이 나왔다. 한국에서는 올해 4월 2324만 명의 개인정보가 유출된 SK텔레콤에 부과된 과징금 1348억 원이 역대 최대 규모다. 이재명 대통령은 9일 제재의 실효성을 높이기 위한 방안을 검토하라고 지시했다.
이날 이 대통령은 쿠팡을 직접 언급하며 강제조사권을 통한 ‘과태료 현실화’를 주문했다. 강유정 대통령실 대변인은 브리핑에서 “이 대통령이 오전 국무회의에서 ‘경제 제재를 통한 처벌을 현실화하기 위해 강제조사권을 주는 방안을 검토하라’고 법제처에 지시했다”고 밝혔다. 강 대변인은 “이 대통령이 과태료 처벌 현실화를 강조하면서 ‘형법을 통한 것보다 과태료 같은 것을 현실화할 필요가 있지 않겠느냐’는 취지로 말했다”고 전했다. 또 “쿠팡 같은 경우도 형법보다 과태료 조치를 현실화할 필요가 있지 않겠느냐고 예시를 들었다”고 덧붙였다.
한국보다 제재가 강한 것으로 알려진 미국의 경우 개인정보 유출 발생 시 1인당 배상액을 20달러(약 3만 원)에서 많게는 1000달러(약 150만 원)까지 인정하고 있다. 여기에 ‘옵트아웃’ 방식의 집단소송을 통해 피해자가 자동으로 소송에 참여하게 된다. 김익태 CIL 외국법자문 법률사무소 미국 변호사는 “쿠팡 사건이 미국에서 발생했다면 집단소송감”이라며 “개인정보 유출 피해자들이 대부분 소송에 참여할 것”이라고 설명했다. 만약 쿠팡 사건이 미국에서 발생하고 피해자들이 집단소송에서 승소한다면 쿠팡이 지불해야 할 배상액은 최소 6억7000만 달러(약 9800억 원)에서 최대 337억 달러(약 49조 원)에 이르게 된다.
실제로 미국에서는 쿠팡 상대 집단소송 움직임까지 나왔다. 한국 법무법인 대륜의 미국 법인인 로펌 SJKP는 8일(현지 시간) 맨해튼 사무실에서 기자회견을 열고 뉴욕 연방법원에 쿠팡 미국 본사를 상대로 한 집단소송을 제기할 계획이라고 밝혔다. 김국일 대륜 경영대표는 “한국에서의 소송이 소비자 피해 배상에 집중한다면 미국에서는 상장사의 지배구조 실패와 공시의무 위반을 다루는 소송이 될 것”이라며 “한국에서 진행 중인 소송과 별개로 독자적으로 진행된다”고 설명했다.
한편 서울경찰청 사이버수사과는 이날 정보통신망법상 정보통신망 침입, 비밀누설 등 혐의로 서울 송파구 쿠팡 본사 사무실에 대한 압수수색을 진행했다.
정부, 쿠팡 강제조사 칼 빼들어… 與는 ‘매출 10%’ 과징금 추진
[쿠팡 美법인에 집단소송]
대통령실 “李 결과물 도출 의지 강력”… 與, 과징금 상한 매출 3%→10% 강화
美 집단소송, 피해 가능성 전원 대상… 과징금도 행위 중대성 따라 ‘무한대’
이재명 대통령은 9일 국무회의에서 쿠팡의 개인정보 유출과 이에 따른 피해 가능성을 직접 언급하며 공정거래위원회의 강제 조사를 통한 과태료 부과 필요성을 지적했다.
대통령실 강유정 대변인은 이날 브리핑에서 이 대통령의 지시에 대해 “수사는 강제수사권이 있지만 조사는 강제조사권이 발휘되기 힘들고 자의적인 조사권인 경우가 많다”며 “(이 경우) 과태료 부과가 어려워 (이를) 현실화하기 위해서는 강제조사권이 필요한 것 아닌가”라고 말했다. 이 대통령은 주병기 공정위원장에게도 강제조사 권한이 있는지, 공정위 조사가 현실성이 있는 방안인지 등을 물은 것으로 전해졌다.
앞서 이 대통령은 경제적 불법 행위를 근절하려면 형법에 따른 처벌보다 거액의 과태료가 효과적이라고 여러 차례 강조한 바 있다. 이날 발언은 그 선결 조건으로 공정위 등 정부기관에 피조사자의 동의 없이도 강제로 조사할 수 있는 권한을 부여할 필요가 있다는 취지로 풀이된다. 대통령실 관계자는 “대통령이 쿠팡의 행태에 대해 칼을 빼든 만큼 반드시 결과물을 내겠다는 의지가 강력하다”며 “구체적인 책임을 반드시 물을 것”이라고 했다.
● 최대 과징금 매출액의 10%로 추진
더불어민주당은 법 개정에 나섰다. 이날 민주당 박범계 의원은 반복적이고 고의적인 대규모 개인정보 유출 사고 시 기업 전체 매출액의 최대 10%까지 과징금을 부과할 수 있는 개인정보보호법 개정안을 발의했다. 쿠팡의 경우 지난해 매출 41조 원을 기준으로 하면 최대 약 4조1000억 원까지 과징금을 책정할 수 있는 것이다. 다만 법이 개정되더라도 시행 이후 발생한 사건부터 적용하게 돼 이번 쿠팡 사건에는 소급 적용되지 않는다.
‘해킹으로 인한 손해는 책임지지 않는다’는 쿠팡의 면책조항이 무효라는 주장도 나왔다. 쿠팡은 지난해 11월 이용약관에 이런 조항을 추가했다. 이에 대해 9일 국회 입법조사처는 “약관규제법에 위반될 가능성이 높다”고 밝혔다. 사업자가 법률상 부담해야 할 책임을 약관으로 배제하는 것이 원칙적으로 무효라는 의미다.
● 미국은 과징금 상한선 없어
대규모 개인정보 유출 기업에 대한 제재 수위를 높여야 한다는 주장이 커지고 있는 가운데 과징금 상한선이 없는 미국의 제재에 관심이 커지고 있다. 법조계와 보안업계 등에 따르면 미국은 한국처럼 ‘관련 매출의 3%’ 상한선이 없다. 위반 건수와 고의성, 재발 여부, 은폐 시도 등 행위의 중대성에 따라 무한대 과징금을 부과할 수 있다. 2016년 메타(옛 페이스북)는 8700만 명의 개인정보가 유출돼 집단소송 합의금으로 7억2500만 달러(약 1조673억 원)를 냈다. 여기에 연방거래위원회(FTC)로부터 50억 달러(약 6조5000억 원)의 벌금까지 부과받았다. 유럽연합(EU)도 일반 데이터 보호 규정(GDPR)에 따라 보안 사고 발생 시 연매출의 최대 4%까지 과징금을 매길 수 있다. 메타는 유럽 사용자 정보를 미국으로 이전하는 과정에서 규정 위반이 적발돼 2023년 과징금으로 12억 유로(약 2조560억 원)를 부과받았다.
미국에서는 정부의 제재 외에도 집단소송이 적극 작동하고 있다. 집단소송은 피해 가능성이 있는 소비자 전원이 자동으로 소송 대상에 포함돼 기업이 감당해야 할 배상 규모가 커진다.
미국 내 과거 판례를 살펴보면 2017년 신용평가사 에퀴팩스는 1억4700만 명의 개인정보가 유출되자 고객들에게 합의금으로 7억 달러(약 1조304억 원)를, 2021년 통신사 T모바일은 7600만 명에게 합의금 3억5000만 달러(약 5132억7500만 원)를 지불했다. 경제협력개발기구(OECD) 38개 회원국 가운데 손해배상 집단소송 제도가 작동하지 않는 국가는 한국과 튀르키예뿐이다. 이은우 법무법인 지향 변호사는 “기업 책임이 낮게 책정되다 보니 ‘사고가 나도 과징금 내고 끝내면 된다’는 인식이 확산됐다”며 “대규모 플랫폼 기업의 반복 사고를 막기 위해서는 구조적 제도 개편이 필요하다”고 말했다.
https://www.hankookilbo.com/News/Read/A2025121711290004846
쿠팡 "개인정보 유출, 책임 있는 보상안 마련해 발표하겠다" (한국일보, 홍인택 기자, 2025.12.17 11:36)
"정부 조사 결과 나오면 함께 발표"
쿠팡이 고객 개인정보 유출 사건과 관련해 피해를 입은 고객에 대한 보상안을 마련해서 발표하겠다고 밝혔다.
해럴드 로저스 쿠팡 임시 대표이사는 17일 국회 과학기술정보방송통신위원회에서 열린 쿠팡 개인정보 유출 사고 청문회에서 "책임감 있는 보상안을 마련하여 발표하도록 하겠다"고 밝혔다.
그는 회원 3,370만 명의 개인정보 유출 사고 경위에 관한 실태 조사가 끝나는 대로 보상안을 발표한다고 설명했다. 로저스 임시 대표는 "현재 내부적으로 보상안을 검토하는 중에 있고, 여러 규제기관들의 조사에 저희가 성실히 부응하고 있다"며 "조사 결과와 함께 보상안을 발표하도록 하겠다"고 했다.
https://www.mediatoday.co.kr/news/articleView.html?idxno=330866
정보보안 전문가 작심 비판 “당분간 쿠팡에서 구매 줄여야” (미디어오늘, 윤수현 기자, 2025.12.17 19:40)
[쿠팡 청문회] 김승주 고려대 교수 “쿠팡 사태 결론 아직… 피해 더 커질 수도”
“현재 쿠팡 사태는 명확한 결론이 나지 않았다. 가능하면 주문을 줄여야 한다.”
정보보안 전문가 김승주 고려대 정보보호대학원 교수가 17일 국회 과학기술정보방송통신위원회가 주최한 쿠팡 침해사고 관련 청문회에서 쿠팡의 정보보안 실태가 허술하다면서 당분간 쿠팡 이용을 자제할 것을 촉구했다. 개인정보 유출 사태 결론이 나지 않았기 때문에 쿠팡 개인정보 노출을 최소화해야 한다는 것이다.
김승주 교수는 청문회에 참고인으로 출석해 쿠팡 보안 관리가 허술하다고 비판했다. 김승주 교수는 “(쿠팡 퇴직자가 인증키를 가지고 회사를 나갔는데) 개발자가 인증키를 가지고 퇴직하면 안 되는 것은 글로벌 스탠다드다. 쿠팡이 글로벌 스탠다드를 지키지 않은 것”이라고 지적했다. 김 교수는 “개발자가 인증키를 가지고 나갔다고 하면, 리셋(초기화)해야 정상”이라며 “(이번 사태는) 다른 개발자도 인증키를 가지고 퇴사할 수 있다는 말과 다름없다”고 밝혔다.
김승주 교수는 이번 사태가 확산될 가능성이 있다고 경고했다. 김 교수는 “다른 개발자가 (이용자 개인정보에) 엑시스(접근)했는지는 알려지지 않았다. 그렇기 때문에 피해가 더 커질 수 있다”며 “(다른 해킹 사례가 없다고) 단정적으로 말하면 안 된다. 쿠팡은 기본적인 것을 지키지 않았고 이번 사태에 책임이 있다”고 했다.
김승주 교수는 이용자들에게 쿠팡 사용 자제를 촉구했다. 김 교수는 “현재 쿠팡 사태는 명확한 결론이 나지 않았다. 불편하겠지만 개인정보 노출을 최소화하는 방향으로 행동하는 것이 안전하다”며 “가능하면 주문을 줄이고 꼭 필요하다면 한두 건만 이용하는 식으로 사용을 자제하는 것이 바람직하다”고 밝혔다.
정부도 쿠팡 해킹 관련 조사를 강화하겠다고 밝혔다. 배경훈 과학기술정보통신부 장관은 “KT 민관합동조사단 결과를 조만간 발표할 건데, 참여했던 인력을 쿠팡 관련 조사에 대거 투입하겠다”고 했다.
https://www.sisain.co.kr/news/articleView.html?idxno=56986
쿠팡 사태, 공동소송이라 쓰고 오래된 분노라 읽는다 (시사IN, 김다은 기자, 2025.12.22 07:38)
쿠팡 충성고객들이 이탈하고 있다. 개인정보 유출에 대한 충격만큼이나 이후 대처에 대한 분노가 공동소송으로 이어졌다. ‘누적된, 그리고 결집된’ 분노가 쿠팡에게 위협이 될 수 있을까?
쿠팡을 이용하던 충성고객들이 이탈하고 있다. 개인정보 유출에 대한 충격만큼이나 이후 대처에 대한 분노가 ‘탈쿠팡(탈팡)’ 인증으로 이어졌다. 이재명 대통령이 “과징금을 강화하고, 징벌적 손해배상 제도도 현실화하라(12월2일)” “경제제재를 통한 처벌을 현실화하기 위해 (공정거래위원회에) 강제 조사권을 주는 방안을 검토하라(12월9일)”는 입장을 내놓은 가운데 소비자들은 탈팡을 넘어서서 공동소송에 적극적으로 참여하고 있다.
11월29일 쿠팡 고객 3370만명의 개인정보가 유출된 사실이 발표되고 열흘가량이 지난 12월10일, ‘공동 손해배상 소송(공동소송)’ 참가자는 약 20만명에 이를 것으로 추산됐다. 대한민국 역사상 최대 규모 개인정보 유출 사건은 2014년 발생한 롯데·국민·농협 카드 사건이다. 1억여 건의 개인정보가 유출된 당시 공동소송 참가율은 약 1%였다. 이번 쿠팡 개인정보 유출의 경우, 한국뿐만 아니라 미국에서도 집단(공동)소송 및 징벌적 손해배상을 제기할 예정인 만큼 역대 최대 규모의 공동소송이 될 가능성이 제기된다.
가입자 수가 16만명에 이르는 네이버 ‘쿠팡 집단소송 카페’에는 12월10일 하루 동안 소송에 참여하겠다는 글이 1600건 이상 올라왔다. 소송 참가자들은 ‘스팸 전화 안 오게 관리해오던 전화번호인데 보이스피싱 전화까지 받았다’ ‘소비자를 우습게 여기는 게 너무 화난다’ ‘본때를 보여줘야 한다’ 같은 소송 참여 이유를 밝혔다. 빠르고, 광범위하게 공동소송 원고가 모인 배경에는 ‘배신’과 ‘응징’의 정서가 있었다.
윤미화씨(가명·70)도 자녀의 도움을 받아 12월8일 쿠팡 공동소송에 참여했다. 윤씨는 쿠팡과 악연이 깊다. 먹는 것부터 입는 것까지 생활에 필요한 다종한 물품을 ‘종합쇼핑 플랫폼’ 쿠팡에서 해결했던 그는 지난해 쿠팡에서 냉장고를 잘못 주문해 반품과 재구매를 반복하는 과정에서 낭패를 봤다. 판매처가 냉장고 반품을 거부해 거실 한쪽에 900L짜리 냉장고가 한 달간 우두커니 세워져 있었다. ‘쿠팡을 믿고, 쿠팡을 통해’ 구입했지만 문의 전화 수백 통을 해도 쿠팡 고객센터는 ‘해줄 수 있는 게 없다’는 답변뿐이었다. 소비자중재위원회에 신고하며 겨우 애물단지였던 냉장고를 반품할 수 있었다. “정이 뚝 떨어지고 다시는 쿠팡을 믿지 말자 생각했지만” 쿠팡 프레시와 무료 배달, 무료 반품 서비스를 포기하기 힘들었다.
그랬던 쿠팡에서 이번엔 개인정보가 유출됐다. 공동현관 비밀번호도, 그간의 주문 내역도, 주소록에 있던 자녀들의 주소도 모두 유출됐다고 했지만 처음에는 실감이 나지 않았다. 그런데 며칠 후 어눌한 말투로 우편 등기를 전달해야 하니 주민등록번호를 알려달라는 전화가 왔다. “이렇게 티 나는 보이스피싱이면 그나마 다행인데 앞으로 언제, 어떤 종류의 피싱 전화나 문자가 올지 모른다는 사실이 불안”했다. 공동소송은 부지런한 젊은 사람들만 하는 거라고 생각했지만, “어떻게 이렇게 사람을 홀대하나 싶고, 무엇보다 책임감이 너무 없는 회사여서” 자녀들에게 공동소송 하는 방법을 묻게 됐다.
공동 손배소송이 솜방망이인 까닭
이처럼 ‘누적된, 그리고 결집된’ 분노가 쿠팡에 위협이 될 수 있을까? 우선, 법조인들은 공동소송 승소 가능성을 비교적 높게 봤다. 이미 몇 차례 승소한 유사 사례가 있다. 지난해 5월, 대법원은 2015년 홈플러스가 고객의 개인정보를 보험사에 유상 판매하며 이를 은폐·기만한 행위에 대해 원고(고객)에게 1인당 위자료 최대 30만원을 지불하도록 했다. 2016년에 발생한 인터파크, 2024년에 발생한 모두투어의 개인정보 유출 사건에 의한 손해배상 소송에서도 기업의 개인정보보호법 위반이 인정돼 원고에게 10만원을 배상하라는 판결이 나왔다.
쿠팡을 상대로 공동소송을 이끌고 있는 이은우 변호사(법무법인 지향)는 현재 밝혀진 사실만으로도 개인정보보호법의 고시를 쿠팡이 위반했음을 알 수 있다고 지적했다. 기업의 손해배상책임을 판단할 때의 핵심 쟁점인 개인정보보호법 제29조 ‘안전조치 의무’, 제30조 ‘개인정보의 안전성 확보 조치’ 등을 쿠팡이 위반했음이 명확하다는 것이다. 예를 들어 이 법과 관련된 개인정보보호위원회의 고시(개인정보의 안전성 확보조치 기준) 제5조 제2항은 퇴직자의 시스템 접근 권한을 말소하도록 하고 있지만, 중국 국적의 전 직원은 퇴사 후에도 계정 권한이 말소되지 않았다. 직원에게 업무에 필요한 최소한의 범위로 권한을 차등 부여하도록 한 고시 제5조 제1항도 지켜지지 않아 유출자는 단 하나의 계정으로 3370만명 전체 고객 데이터에 접근했다. 그 외에도 암호키 관리 절차 부재(고시 제7조 제6항), 접속기록 점검 의무 위반(고시 제8조 제2항), 대규모 다운로드 통제 실패(고시 제4조, 제12조 위반) 등의 정황이 드러난다.
문제는, 원고가 승소해도 기업에 큰 타격이 되지 않는다는 사실이다. 집단소송제도가 도입되지 않았기 때문이다. 한국은 2005년 제정된 ‘증권관련 집단소송법’을 통해 금융 관련 사안에 한정해 제외신고형(opt-out·소송에 참여하지 않겠다고 의사를 밝힌 당사자에게만 확정판결 효력이 미치지 않는 방식) 집단소송제도를 도입했다. 언론 등에서 흔히 ‘집단소송’이라고 표현하지만, 이번과 같은 개인정보 유출 사안에서는 집단소송이 불가하고 ‘공동 손해배상 소송(공동소송)’만 제기할 수 있다. 집단소송은 원칙적으로 소송 참여자들뿐 아니라 같은 피해를 입은 모든 당사자에게 확정판결 효력이 미치지만, 공동 손해배상 소송은 소송 참여자에게만 효력이 미친다. 지금의 대규모 공동소송에 쿠팡이 방관적 태도를 유지할 수 있는 이유이기도 하다. 쿠팡 관계자는 공동소송에 대한 입장을 묻는 〈시사IN〉의 질문에 “해당 사안에 대해 회사는 아무런 입장도 없다”라고 답했다.
고도화된 외부 해킹 등으로 개인정보 유출이 잦아지고, 이를 통한 2차 범죄 피해까지 광범위해짐에 따라 2020년 법무부는 집단소송제를 전 분야에 일반적으로 도입하는 집단소송법안을 입법 예고했다. 소액·다수의 집단적 피해에 대한 실질적 구제를 이루기 위한 방안이었으나 소송 남용, 기업 경영 불확실성 등을 이유로 재계의 반발이 잇따르자 해당 정부안에 대한 논의가 멈췄다. 결국 기업의 위법성이 확실하고 직간접적 피해 규모가 커도, 지금처럼 공동 손해배상 소송만으로 대응할 경우 소송에 참여하는 원고 수가 극히 제한적이기 때문에 기업이 부담해야 할 ‘책임의 값’인 손해배상액은 보안시스템을 강화하는 비용보다 저렴해진다.
이은우 변호사의 설명에 따르면 OECD 국가 중 집단소송제가 도입되지 않은 나라는 터키와 한국, 단 두 곳뿐인데 이를 개선하지 않는다면, 최근 화두가 되는 징벌적 손해배상 역시 실효성을 갖기 어렵다. “개인정보 유출 같은 집단적 피해 사안을 두고 징벌적 손해배상이 해법인 양 말하는 것은 진실을 호도하는 일이다. 이 제도는 인과관계가 명확한 사안일 때 효력을 가진다. 또 손해액의 5배를 배상받을 수 있다 해도 긴 소송을 위해 자원을 투입할 수 있는 소송 참여자(원고)는 극히 소수이기 때문에 기업이 감당해야 할 전체 배상액이 크지 않을 수 있고, 사회적 책무에 대한 압력이 약할 수밖에 없다.” 2015년 개인정보 관련 징벌적 손해배상 제도가 도입된 이후 징벌적 손해배상은 지금까지 단 한 번도 인정된 적 없다(SK텔레콤이 최근 개인정보 유출로 역대 최고 과징금(1348억원)을 부과받았지만, 과징금은 국고로 귀속될 뿐 피해자 구제에 쓰이지 않는다). 징벌적 손해배상이 인정되려면 기업의 고의 또는 중대한 과실로 개인정보가 유출되었음을 원고가 입증해야 하는데, 기업의 내부 자료에 대한 접근 권한이 제한돼 있어 이 과정이 까다롭다. 손해액 산정 기준 역시 모호하다. ‘처벌’에 방점을 찍고 있는 징벌적 손해배상 제도만으로는 이번 개인정보 유출과 같은, 성인 국민 대부분이 대상이 된 집단적 피해 사안에 대한 최선의 구제가 이루어질 수 없다는 뜻이다.
“안전한 기업 되는 것이 경쟁력”
전문가들은 징벌적 손해배상제·집단소송제·디스커버리(증거 개시) 제도라는 ‘패키지’가 필요하다고 말한다. 이런 제도들이 상호보완적으로 기업의 안전불감증에 경종을 울릴 사법적 토양을 만들면 형해화된 기존 분쟁 해결 방안들이 취지에 맞게 활용되도록 도울 수 있다는 것이다. 예컨대 현행 제도에는 손해를 입증하기 위해 피고 측에 자료를 요구하는 문서송부촉탁, 문서제출명령 등의 제도가 있다. 하지만 “시간이 지나면 여론의 관심도, 원고들의 열기도 가라앉는 걸 아니까 기업은 소송을 지연시키면서 자료 제출도 회피한다. 한국에서는 원고의 증거수집 권한에 대해 법원이 소극적으로 인정하는 경향성이 있어서 피해 입증을 위한 자료 제출 요구가 원활히 운영되지 않는다. 결국 원고의 힘이 약한 데서 비롯되는 문제다. 집단소송제 등이 안착되면 사안의 무게에 걸맞게 원고의 힘이 강해지고 그러면 법원도 기업에 책임감 있게 대응하라고 요구할 수 있다(이은우 변호사).”
김주호 참여연대 민생경제팀장은 집단소송제가 도입되지 않으면 지금의 집단분쟁조정 제도 역시 힘을 발휘하기 어렵다고 말했다. 집단분쟁조정 제도는 소송 없이 당사자 간 분쟁을 조정·해결해 개인정보 피해를 구제하고자 하는 제도인데, 기업이 분쟁조정 절차를 거부하거나 권고 결과를 수락하지 않을 경우 조정은 불성립하게 된다. 이후 어떠한 강제적 조치는 없다. 올해 5월 발생한 SKT 유심정보 유출 사건으로 분쟁조정위가 열린 사례가 있다. 분쟁조정위는 SKT에 분쟁조정을 신청한 4000여 명에게 1인당 30만원을 지급할 것을 권고했지만 SKT가 이를 받아들이지 않아 결국 공동 손해배상 소송으로 이어졌다. 2017년 에퀴팩스(Equifax), 2021년 T모바일 개인정보 유출 사태 등에서 보듯 미국은 집단소송 및 징벌적 손해배상 제도에 의한 배상액 부담이 천문학적 수준에 이르기 때문에 기업은 피해자에게 보상액을 적극적으로 제시하면서 민사 합의를 이루기 위해 노력한다. 반면 한국은 기업이 중재에 임해야 할 동기가 약하다. 합의에 실패한 이후 감당해야 할 더 강력한 손해가 없기 때문이다.
손해배상 제도들이 기업의 경영활동을 제약할 것이란 염려도 있다. 김주호 팀장은 이의를 제기했다. “안전한 기업이 되는 것은 그 자체가 기업의 경쟁력이다. 쿠팡이나 SKT 개인정보 유출 건도 국내에서 벌어진 일이니까 지금 수준에 그친 것이지 해외에서 발생했으면 기업이 휘청거릴 만큼 엄청난 경제적 타격을 받았을 거다. 정보 보안에 대한 투자가 활성화돼 안전산업 영역이 육성될 수도 있다. 기업과 소비자는 제로섬 게임을 하는 것이 아니다. 서로에게 이로운 방안을 마련할 수 있다는 인식 전환이 필요하다.”
https://www.yna.co.kr/view/AKR20251223080400017
쿠팡사태 범정부TF 출범 "위법 드러나면 엄정조치…책임 묻겠다" (서울=연합뉴스, 박형빈 기자, 2025-12-23 16:30)
관계부처 총출동…대응 현황 점검·제도 개선 논의
정부가 쿠팡의 대규모 개인정보 유출 사태를 국민 신뢰를 훼손한 중대 사안으로 규정하고 원인 규명과 책임자 처벌, 제도 개선을 아우르는 범부처 대응에 나섰다. 정부는 23일 정부서울청사에서 '쿠팡 사태 범부처 TF'를 출범하고 첫 회의를 열었다.
이날 회의에는 과학기술정보통신부, 고용노동부, 국토교통부, 중소벤처기업부, 개인정보보호위원회, 방송미디어통신위원회, 금융위원회, 공정거래위원회, 국가정보원, 경찰청 등이 참석했다. 각 부처는 부처별 대응 상황을 공유하고 사태의 신속한 수습과 엄정한 조치를 위한 TF 운영 방향을 논의했다.
류제명 과기정통부 2차관은 "정부는 이번 쿠팡 사태를 단순한 기업의 개인정보 유출 사고가 아닌 국민 신뢰를 훼손한 중대한 사회적 위기로 인식하고 있다"고 말했다. 이어 "그럼에도 불구하고 쿠팡의 현재까지 대응은 심히 우려된다"며 "사고의 원인, 이용자 보호 조치 등에 대해 국민들이 납득할 수 있는 설명과 책임 있는 행동을 보여주지 못하고 있다"고 질타했다.
류 차관은 "조사 과정에서 쿠팡의 법 위반사항이 드러날 경우 반드시 그에 상응하는 조치를 엄정하게 할 계획"이라며 "정부는 국민의 편에 서서 국민들의 의혹 및 불안이 해소될 때까지 쿠팡의 문제점을 밝혀내고 끝까지 책임을 묻겠다"고 덧붙였다.
TF는 향후 사고 원인 조사 및 책임 규명, 2차 피해 확산 방지 등 이용자 보호, 보안, 입점업체 근로자 등 사회적 약자 보호 등 기업의 사회적 책임 강화를 위한 제도개선에 나설 방침이다.
앞서 정부는 쿠팡 사태로 국민적 불안이 확대되고 국회 청문회와 언론 보도에서 다수의 문제 제기가 이어지자 과기정통부 2차관을 팀장으로 하는 범부처 TF를 구성했다.
https://www.hani.co.kr/arti/economy/economy_general/1236268.html
한국 우습게 보는 쿠팡…‘국민 피해 주면 망한다’ 규율 각인시켜야 [전문가 리포트] (한겨레, 이창민 한양대 교수(경영학), 2025-12-24 08:00)
쿠팡에서 발생한 3370만 건의 개인정보 유출 사태는 우리 사회에 중요한 질문을 던졌다. 유출 사실을 인지하는 데만 5개월이 걸린 기업의 대응을 두고 이재명 대통령은 국무회의에서 “참으로 놀랍다”며 질타했다. 이 대통령은 “잘못하면 회사가 망할 수 있다는 인식을 심어줘야 한다”며 과징금 산정 기준 강화와 집단소송제 도입 등 실효적인 징벌적 제재를 주문했다.
이번 사태의 교훈은 ‘코스피 5000시대’를 위한 자본시장 활성화 과제가 상법 개정 같은 사전적 규율에만 머물러선 안 된다는 점이다. 사전적 규율이 사고 전 의사결정의 공정성을 법으로 규정하는 ‘예방책’이라면, 시장 선진화를 위해서는 “국민에게 피해를 주면 회사가 망한다”는 사실을 각인시키는 강력한 사후적 규율이 병행되어야 한다. 결국 잘못이 벌어진 뒤 기업에 가해지는 ‘엄중한 사후 책임’을 어떻게 현실화할 것이냐는 질문에 답하는 것이 자본시장 선진화의 다음 과제다.
플랫폼 ‘록인’ 효과에 사라져버린 시장 자발적 제재
본래 쿠팡 사태와 같은 일이 발생하면 시장의 자발적 제재가 뒤따라야 한다. 최종생산물 시장에서는 불매운동으로 매출에 타격이 가해지고, 자본시장에서는 리스크 증가에 따른 주가 하락과 자본조달비용 상승이 나타나는 것이 정상이다. 독일 폴크스바겐이 ‘디젤 게이트’로 전 세계적 불매운동을 겪으며 시가총액이 반 토막 났던 사례가 대표적이다. 그러나 한국에서 이러한 시장 규율은 무력했다. 과거 재벌 총수들의 수천억대 배임·횡령 사건 때도 기업 매출은 견고했고 자본조달비용은 상승하지 않았다. 일종의 한국적 시장 실패다.
이러한 시장 실패는 쿠팡 같은 플랫폼 기업에서 더 두드러진다. 플랫폼 특유의 ‘양면 시장’ 구조와 강력한 록인(Lock-in, 가두기) 효과 때문이다. 공급자와 수요자를 연결해 일상을 장악한 플랫폼은 소비자에게 편리함이라는 족쇄를 채운다. 카카오 데이터센터 화재로 서비스가 중단됐을 때도 이용자 이탈이 불가능했던 이유는 메신저를 넘어 택시, 결제, 인증 등 생활 인프라가 그 안에 묶여 있었기 때문이다. 쿠팡 역시 로켓배송과 멤버십 생태계가 제공하는 편리함으로 소비자를 붙들어 맬 것이다. 대체재를 찾기 힘든 록인 구조에서 불매운동 같은 시장의 자정 작용은 작동하기 어렵다. 결과적으로 기업의 위법 행위는 실질적인 재무적 손실로 이어지지 않는다.
정부가 공정한 심판이자 규율 설계자 나서야
시장의 자정 작용이 마비된 상황에서 정부는 공정한 심판이자 규율의 설계자로 나설 수밖에 없다. “국민에게 피해를 주면 회사가 망한다”는 경고가 실효를 거두려면 기업의 위법 행위에 따른 비용을 대폭 높여야 한다. 정부의 과제는 명확하다. 집단소송과 주주대표소송의 실효적 활성화다. 현재 한국의 사후 규율 체계에는 허점이 많다. 민사 및 증권 집단소송은 경제적 유인이 부족하다. 개인투자자의 피해액은 소액이지만 대기업을 상대로 한 소송비용은 막대하다. 소송을 주도하는 당사자와 변호사가 시간과 비용을 투입해도 승소에 따른 보상이 노력에 미치지 못한다.
무엇보다 위법 행위 증명 책임을 피해자가 떠안아야 하는 것이 가장 큰 장벽이다. 이를 해결하기 위해 실제 손해액을 훨씬 상회하는 배상을 부과하는 징벌적 손해배상, 기업이 스스로 결백함을 증명하게 하는 증명책임의 전환, 재판 전 상대방의 증거를 강제로 공개하게 하는 디스커버리(증거개시) 제도 도입이 시급하다. 19년간 12건에 불과한 실적이 증명하듯, 까다로운 소송 허가 요건과 증거 확보의 어려움은 시장의 징벌 기능을 마비시키고 있다. 주주대표소송 역시 구조적 한계가 뚜렷하다. 승소하더라도 배상금은 주주 개인이 아닌 회사로 귀속된다. 주주는 주가 상승이라는 간접적 이익만 얻을 뿐이다. 반면 소송을 이끈 주주는 패소 시 상대방의 변호사 비용까지 전액 부담해야 하는 리스크를 안고 있으며, 승소하더라도 자신의 노력과 비용을 충분히 보상받기 어렵다. 이러한 구조를 타파하기 위해서는 국민연금의 주주대표소송이 활성화되어야 한다. 공공성을 갖춘 국민연금이 경영진의 부정을 감시하고 책임을 물을 때, 일반 주주들의 권익 보호와 기업 가치 제고라는 선순환이 가능해진다.
과징금, 집단소송, 형사처벌이라는 미국의 사후 책임 체계
미국 시장의 징벌적 사후 책임 사례는 시사하는 바가 크다. 특히 야후(Yahoo)의 사례는 정보 유출에 따른 응징을 단적으로 보여준다. 야후는 2013년과 2014년에 발생한 30억개의 계정 유출 사실을 2016년에야 공개하며 은폐를 시도했다. 이에 미국 증권거래위원회(SEC)는 공시 의무 위반을 근거로 3500만달러의 과징금을 부과했다. 이와 별도로 주주들이 제기한 증권 집단소송으로 1억1750만달러를 합의금으로 지불해야 했으며, 결정적으로 핵심 사업부 매각 가격이 약 3억5000만달러(5100억원가량) 삭감되는 대가를 치렀다. 2017년 1억4700만명의 개인정보를 유출한 신용평가사 에퀴팩스(Equifax) 역시 7억달러에 달하는 징벌적 과징금 외에 주주들의 강력한 법적 대응에 직면했다. 주주들은 경영진이 보안 경고를 방치해 기업 가치를 훼손했다며 주주대표소송과 증권 집단소송을 동시에 제기했다. 에퀴팩스는 주주들과의 합의를 통해 막대한 보상금을 지급했을 뿐만 아니라, 이사회 내 보안 전담 위원회 설치와 독립적 감사 도입 등 지배구조 자체를 개편해야 했다.
Living Tradition in Bukchon Hanok
미국에서 사후 책임은 민사적 배상에만 머물지 않는다. 기업의 위법 행위가 고의적이거나 기만적일 경우 강력한 형사처벌이 병행된다. 미국이 기업 범죄를 민사로만 해결한다는 일각의 주장은 사실과 다르다. 2016년 발생한 우버(Uber)의 개인정보 유출 은폐 사건이 대표적이다. 당시 우버는 약 5700만명의 고객과 기사 정보 유출 사고를 겪었으나, 최고보안책임자(CISO) 조 설리번은 규제 당국에 알리는 대신 해커들에게 10만달러 상당의 비트코인을 지급하며 사건을 무마하려 했다. 그는 이 비용을 해킹 사고 대응이 아닌 ‘버그 바운티(보안 취약점 신고 포상금)’로 위장해 회계 처리하는 치밀함을 보였다. 미 연방검찰은 이를 단순한 실수가 아닌 연방기관의 조사를 방해한 사법 방해(Obstruction of Justice)와 중대 범죄 은닉(Misprision of a Felony) 혐의로 기소했다. 2023년 미 연방법원은 그에게 유죄를 선고하고 보호관찰 3년과 사회봉사 200시간을 명령했다. 재판부는 보안 책임자에게 형사 책임을 물은 최초의 사례임을 고려해 실형은 면해주면서도, “다음 보안 책임자가 똑같은 짓을 한다면 그때는 감옥에 가게 될 것”이라는 강력한 경고를 남겼다. 기업의 보안 실패가 경영진 개인의 인신 구속으로 이어질 수 있다는 엄중한 선례를 남긴 것이다.
‘톱니바퀴 책임 체계’ 구축이 ‘코스피5000’ 위한 과제
사법적 단죄 외에 주주들이 직접 경영에 개입해 기업 체질을 바꾸는 주주제안 또한 사후 규율의 핵심이다. 2021년 미국 통신사 T-모바일(T-Mobile)이 반복적인 데이터 유출 사고를 일으키자, 주주들은 이사회 내 사이버 보안 전담 위원회 설치와 감독 결과의 정기 공시를 요구하는 주주제안을 제기했다. 아마존(Amazon) 주주들 역시 안면 인식 기술 오남용에 따른 프라이버시 침해 리스크를 독립적으로 조사해 보고하라는 제안을 지속하며 기업의 책임을 압박하고 있다. 반면 한국에서 보안 관련 주주제안은 사실상 불가능하다. 현행 상법과 판례가 주주제안 범위를 ‘주주총회 목적 사항’으로 좁게 제한하기 때문이다. 이사회의 고유 권한인 구체적인 경영 사안은 주주제안 대상에서 제외되는 경우가 많다. 기업이 정보를 소홀히 다뤄 주주 가치를 훼손해도 이를 바로잡을 제도적 통로가 막혀 있는 셈이다. 이를 보완하기 위해 ‘권고적 주주제안 제도’ 도입이 시급하다. 이는 주주총회에서 법적 구속력은 없더라도 경영 방향이나 사회적 책임에 대해 주주들이 의견을 모아 권고할 수 있도록 하는 장치다. 제안이 가결되지 않더라도 주주의 집단적 목소리는 기업이 보안 투자를 비용이 아닌 생존을 위한 필수 과제로 인식하게 하는 압박 기제로 작용한다.
결국 자본시장의 진정한 힘은 규율 당국의 징벌적 과징금, 사법부의 단호한 형사처벌, 그리고 주주들의 징벌적 손해배상제가 적용된 집단소송과 주주제안이 톱니바퀴처럼 맞물려 돌아가는 데서 나온다. 이 대통령이 강조한 “회사가 망할 정도의 책임”이 수사에 그치지 않으려면 행정적 제재를 넘어, 시장 참여자들이 직접 기업의 책임을 현실화할 수 있는 다각적인 사후 규율 체계가 구축되어야 한다. 위법한 기업이 시장에서 도태되거나 뼈를 깎는 쇄신을 강요받는 구조가 정착될 때, 비로소 ‘코리아 디스카운트’의 핵심인 불투명한 경영 관행도 뿌리 뽑힐 수 있다. 주주의 권리가 구호가 아닌 소송과 제안이라는 무기로 작동하는 것, 이것이 코스피 5000시대를 향한 자본시장 선진화의 다음 라운드이다.
https://www.khan.co.kr/article/202512251620001
쿠팡 “전 직원 단독범행, 제3자 유출 없어” 기습 발표…정부 “합동조사 중인데” 발끈 (경향, 정유미 최민지 기자, 2025.12.25 16:20)
쿠팡이 대규모 개인정보 유출 사태와 관련해 전직 직원의 단독 범행으로 제3자에게 전달된 정황은 없다고 25일 밝혔다. 민관합동조사단과는 별개로 자체 조사한 결과를 내놓은 것으로, 정부는 쿠팡 측의 일방적인 발표에 강력 항의했다.
쿠팡은 이날 보도자료를 통해 “디지털 지문 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했다”면서 “해당 유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다”고 밝혔다. 이어 “(개인정보 유출에 사용된) 모든 장치와 하드디스크 드라이브는 검증된 절차에 따라 모두 회수·확보했다”고 덧붙였다.
쿠팡에 따르면 유출자는 재직 중에 취득한 내부 보안 키를 탈취해 3300만개의 고객 개인정보에 접근했으나 이 중 약 3000개 계정의 고객 정보만 저장했다. 여기에는 이름, e메일, 전화번호, 주소, 일부 주문정보, 2609개의 공동현관 출입 번호가 포함됐으며 결제정보, 로그인 관련 정보, 개인 통관번호에 대한 접근은 없었다. 또 유출자는 사태에 대한 언론 보도를 접한 후 저장했던 정보를 모두 삭제했으며 고객 정보 중 제3자에게 전송한 데이터는 없는 것으로 파악됐다고 쿠팡은 전했다.
쿠팡 측 설명을 구체적으로 보면 유출자는 개인용 데스크톱 PC와 맥북 에어 노트북을 사용해 불법 접근을 시도했다. 포렌식 조사 결과 쿠팡 시스템 접근은 이 두 기기를 통해 이뤄진 것으로 확인됐다.
유출자는 증거 은폐를 위해 맥북 에어 노트북을 물리적으로 파손한 뒤 벽돌을 담은 쿠팡 에코백에 넣어 인근 하천에 투기했다. 유출자는 언론 보도를 접한 이후 저장돼 있던 정보를 모두 삭제했다.
쿠팡은 “현재까지 조사 결과는 유출자의 진술 내용과 부합하며, 유출자의 진술과 모순되는 증거가 발견되지 않았다”고 강조했다.
개인정보 유출자의 진술 확보 등을 어떤 이유로 경찰이나 민관합동조사단이 아닌 쿠팡이 수행하게 됐는지는 알려지지 않았다. 쿠팡은 조사 주체에 대한 질문에 “현재로서는 제공된 정보 외에는 확인할 수 없다”고 답했다.
쿠팡의 ‘기습 발표’에 정부는 당황한 기색을 감추지 못했다. 과학기술정보통신부는 이날 쿠팡 발표 직후 보도자료를 내고 “쿠팡의 발표 내용은 민관합동조사단 확인이 필요한 사항”이라며 “조사 중인 사항을 쿠팡이 일방적으로 대외에 알린 것에 대해 강력히 항의했다”고 밝혔다. 유출된 정보의 종류나 규모, 유출 경위 등에 관한 조사는 여전히 진행 중이라는 점도 분명히 했다.
산업계에선 쿠팡의 이런 행태가 향후 정부 제재 등을 염두에 둔 결과라는 관측이 나온다. 업계 한 관계자는 “쿠팡은 사태 초반부터 국민 정서는 고려하지 않는 모습을 보여왔다”며 “오늘 발표도 법적으로 유불리를 따진 결과일 것”이라고 말했다.
또 다른 관계자는 “쿠팡이 ‘미국 기업’ 프레임을 내세워 더이상 건드리지 말라는 것처럼 보인다”며 “민관합동조사가 진행되는 상황에서 수사 대상인 쿠팡이 자체 조사하고 2차 피해가 없다고 하는 게 말이 안된다”고 지적했다.
한편 이날 이재명 대통령이 긴급 소집을 주문해 열린 관계부처 대책회의에서 정부는 류제명 과기정통부 2차관이 팀장을 맡던 범부처 태스크포스(TF)를 배경훈 부총리 겸 과기정통부 장관 주재로 확대 운영키로 결정했다.
김용범 정책실장이 주재한 이날 대책회의에는 배 부총리를 비롯해 대통령실, 외교부, 산업통상부, 공정거래위원회, 개인정보보호위원회, 방송미디어통신위원회, 금융위원회 등 관계 부처 장·차관급 고위 관계자들이 참석했다.
https://www.yna.co.kr/view/AKR20251225037553030
쿠팡 "개인정보 3천개만 유출·외부전송 없어"…정부 "확인안돼"(종합2보) (서울=연합뉴스, 조민정 기자, 2025-12-25 18:01)
"현재까지 조사-진술 일치" 발표… 정부는 "일방적 주장" 발끈
"유출자 언론보도에 놀라 데이터 삭제·노트북 일부 하천에 폐기…회수"
쿠팡 "국민 걱정·불편에 진심으로 사과…고객보상방안 조만간 발표"
쿠팡은 최근 개인정보 유출 사태와 관련, 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정해 고객 정보를 접근 및 탈취하는 데 사용된 모든 장치와 하드디스크 드라이브를 모두 회수·확보했으며 외부 전송은 없었던 것으로 조사됐다고 25일 밝혔다.
쿠팡은 이날 보도자료를 통해 "디지털 지문(digital fingerprints) 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했고, 유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다"며 이같이 밝혔다.
유출자의 진술과 사이버 보안 업체의 조사를 종합하면 유출자는 탈취한 보안 키를 사용해 고객 계정 3천300만개의 기본적인 고객 정보에 접근했으나 이중 약 3천개 계정의 고객 정보만 저장했다. 여기에 이름, 이메일, 전화번호, 주소, 일부 주문정보, 2천609개의 공동현관 출입 번호가 포함됐다.
유출자는 또 사태에 대한 언론보도를 접한 후 저장했던 정보를 모두 삭제했으며 고객 정보 중 제3자에게 전송된 데이터는 일절 없는 것으로 조사됐다. 유출자는 재직 중 취득한 내부 보안 키를 탈취, 개인용 데스크톱 PC와 맥북 에어 노트북을 사용해 공격을 시도한 뒤 정보 일부를 해당 기기에 저장했다고 진술했다.
포렌식 조사 결과, 이 같은 진술이 사실로 확인됐고, 유출자가 제출한 데스크톱 PC와 PC에서 사용된 하드디스크 드라이브 4개를 분석한 결과 이들 장치에서 공격에 사용된 스크립트가 발견됐다고 쿠팡은 설명했다.
쿠팡은 사건 초기부터 엄격한 포렌식 조사를 위해 최상위 글로벌 사이버 보안 업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영에 의뢰해 조사를 진행해왔으며, 유출자의 진술도 검증했다. 다만 쿠팡이 이날 발표한 내용에 대해 정부는 "쿠팡이 주장하는 내용은 민관합동조사단에 의해 확인되지 않았다. 일방적인 주장"이라고 밝혔다.
쿠팡은 지난 17일 유출자의 진술서 제출을 시작으로 관련 장치 등 자료가 확보되는 즉시 정부에 제출해왔다고 설명했는데, 쿠팡은 사이버 보안업체의 포렌식 등 자체적인 검증을 통해 이 주장이 사실이라고 인정할 만하다고 보는 반면 정부는 아직 검증되지 않았다고 판단하는 것으로 풀이된다.
쿠팡에 따르면 유출자는 언론을 통해 개인정보 유출 관련 보도가 나오자 극도의 불안에 빠졌으며, 언론보도를 접한 직후 저장돼있던 고객 정보를 모두 삭제했다고 진술했다.
또 '(데이터 유출에 사용된) 맥북 에어 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 있는 에코백에 벽돌을 채워 하천에 던졌다'고 진술했는데, 진술에 따라 잠수부를 동원해 해당 하천을 수색한 결과 벽돌이 담긴 쿠팡 에코백에서 해당 기기를 회수했다. 이 노트북의 일련번호가 유출자의 아이클라우드(iCloud) 계정에 등록된 일련번호와 정확히 일치하는지도 확인했다.
쿠팡은 또 "현재까지 조사 결과는 유출자의 진술 내용과 부합하며, 유출자의 진술과 모순되는 증거가 발견되지 않았다"고 강조했다.
쿠팡은 조사 주체에 대한 질문에 "현재로서는 제공된 정보 외에는 확인할 수 없다"고 답했다.
쿠팡은 이날 "최근 발생한 개인정보 유출이 고객들에게 얼마나 큰 우려를 불러일으켰는지 책임을 통감한다"며 "쿠팡 개인정보 유출 사태로 인해 수많은 국민들이 걱정과 불편을 겪게 된 것에 대해 진심으로 사과드린다"라고도 밝혔다. 그러면서 "향후 진행될 조사 경과에 따라 지속적으로 안내를 할 예정으로, 이번 사태로 인한 고객 보상 방안을 조만간 별도로 발표할 것"이라고 했다.
https://www.hani.co.kr/arti/politics/bluehouse/1236578.html
쿠팡 ‘수사 방해’…민관합동조사 중 자체조사 발표 논란 (한겨레, 서혜미 서영지 선담은 조해영 기자, 2025-12-25 19:24)
‘개인정보 유출’ 용의자 접촉 뒤 경찰에 인계 안 해
쿠팡이 개인정보 유출자를 특정했으며 유출 정보가 외부로 전송된 정황은 없다는 자체 조사 결과를 25일 일방적으로 발표했다. 정부는 곧바로 쿠팡이 주장한 내용은 확인되지 않은 사실이라며, 민관합동조사가 진행 중인 사항에 대한 일방적인 공표 행위에 대해 강력 항의했다. 이날 대통령실이 주관한 관계부처 대책 회의를 앞둔 상황에, 일방적으로 유출 피해가 크지 않다는 취지의 주장을 내놓은 셈이어서 논란이 이어질 전망이다.
쿠팡은 이날 대통령실 회의를 30분 앞둔 오후 3시30분께 보도자료를 내어 “포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했다”며 “유출자가 쿠팡 고객 정보를 접근 및 탈취하는 데 사용된 모든 장치는 모두 회수돼 안전하게 확보됐다”고 주장했다.
쿠팡은 이어 “ 유출자는 재직 중 취득한 내부 보안키를 탈취해 이메일·주소·전화번호 등 3300만 고객 개인정보에 접근했지만 약 3천개 계정의 고객 정보만 개인 데스크톱 피시와 노트북에 저장했다”며 “ 결제 정보, 로그인 관련 정보, 개인통관번호 등에는 접근하지 않았으며 외부 전송 정황도 없다”고 밝혔다. 이어 “유출자가 노트북을 물리적으로 파손한 뒤 인근 하천에 투기했다고 진술했다”며 “유출자 설명을 바탕으로 잠수부들이 하천에서 노트북을 회수했다”고도 주장했다.
이에 대해 정부는 강하게 반발했다. 과학기술정보통신부는 즉각 반박 자료를 내어 “쿠팡이 주장하는 사항은 민관합동조사단에 의해 확인되지 않았음을 알려드린다”며 “민관합동조사단에서 조사 중인 사항을 일방적으로 대외에 알린 것에 대해 쿠팡 쪽에 강력히 항의했다”고 밝혔다. 사건을 수사하고 있는 서울경찰청 사이버수사과도 “지난 21일 쿠팡 쪽으로부터 피의자가 작성했다는 진술서와 범행에 사용됐다는 노트북 등 증거물을 임의제출 받아, 실제 작성 여부와 범행에 사용된 증거물인지 여부 등을 면밀히 분석하고 있다”며 “쿠팡 쪽 주장이 사실인지 여부를 철저하게 수사하고 있다”고 밝혔다. 내부 통제 실패로 일어난 대규모 개인정보 침해 사고에 대한 수사당국 수사와 객관적 검증 절차가 진행되고 있는 가운데, 쿠팡이 자체적으로 내부 정보를 활용해 용의자를 특정하고 진술서까지 만들어 제출한 상황에 대해 강한 불쾌감을 표시한 것으로 해석된다.
쿠팡이 이날 공개한 자체 조사 결과를 두고도 물음표가 이어지고 있다. 먼저 수사당국이 수사를 진행하고 있는 과정에 핵심 용의자를 찾아 진술서까지 받은 것은 사실상 수사방해로 지적될 수 있는 사항이다. 쿠팡이 용의자의 신병을 경찰에 인계하지 않은 것으로 전해지는 가운데, 경찰 수사를 앞두고 사전에 수사 대상과 접촉해 진술이 오염될 가능성이 있기 때문이다.
또 쿠팡 쪽은 이날 정보를 유출한 직원과 접촉한 경위와 현재 소재지, 해당 용의자의 범행 동기 등 의문점에 대해서는 일체 언급하지 않았다. 향후 수사가 진행될 영역에 대해 회사 쪽에 유리한 내용만 사실로 전제하고 외부로 공표한 셈이다. 또 쿠팡이 확보했다는 노트북 등 범행 도구를 어떻게 포렌식했고 외부 전송이 없었다는 사실을 증거로 확인했는지 등 세부적인 분석 과정 역시 전혀 공개하지 않았다.
정부 기관 등이 통상적인 업무를 보기 어려운 휴일에 전격적으로 자체 조사 결과를 발표한 공표 형식도 논란을 키울 것으로 보인다. 쿠팡은 외부 업체 등을 통해 수차례 검증을 거쳐 용의자 진술과 자체 조사 내용이 일치한다는 점을 확인했으며, 고객의 불안을 덜기 위해 하루빨리 결과를 발표했다는 입장인 것으로 전해진다. 그러나 앞서 국회에서 진행된 청문회 등에 김범석 쿠팡아이엔씨(Inc. 미국에 상장한 쿠팡의 모기업) 이사회 의장 등이 불출석하는 등 전혀 협조하지 않다가, 불쑥 일방 주장을 내놓은 것으로 국민적 불안이 잦아들지 의문이다.
전문가들도 이날 쿠팡의 대응이 비상식적이라고 지적했다. 김승주 고려대 정보보호대학원 교수는 이날 페이스북에 “현재 조사 중인 사안을 쿠팡이 무단으로 선제 발표한 것은, 사안의 시급성 때문이라기보다 이번 사건을 문제의 퇴직자 한 개인의 일탈로 국한하려는 의도가 깔려 있다”며 “지금 정부가 확인하고자 하는 핵심은, 내부 통제에 심각한 허점을 보여온 쿠팡이 과연 다른 개발자나 퇴직자들의 일탈 역시 제대로 차단·관리해왔는지 여부”라고 꼬집었다. 고학수 전 개인정보보호위원장도 쿠팡이 외부 전송은 없었다는 ‘내부 유출’ 프레임을 내세운 데 대해 “유출이란 개인정보처리자(쿠팡)의 의사와 무관하게, 개인정보가 (회사의) 관리·통제권을 벗어나 권한 없는 제3자(전 직원)가 접근해 그 내용을 알 수 있게 된 상태”라며 “고객 개인정보가 개인정보보호법을 위반해 유출됐다고 스스로 인정하는 것 같다”고 지적했다.
한편 대통령실은 이날 오후 쿠팡 사태와 관련해 김용범 대통령실 정책실장 주재로 배경훈 부총리 겸 과기정통부 장관과 송경희 개인정보보호위원장, 주병기 공정거래위원장 등 관계부처 장관급 인사들과 경찰청 관계자 등과 함께 대책 회의를 열었다. 이날 회의에는 오현주 국가안보실 3차장과 김진아 외교부 2차관 등 외교·안보라인도 참석했다. 미국에 본사를 둔 쿠팡이 책임 모면을 위해 미국 정·관계 인사에 대한 로비에 나서고 있다는 정황이 드러나면서 회의 참석자 범위가 확대된 셈이다. 이들은 회의 뒤 “엄중한 조사와 대응과 함께 소비자 피해를 막기 위한 근본적 제도 개선 방안도 준비하기로 했다”며 향후 쿠팡 관련 범부처 티에프(TF)를 배 부총리 주재로 확대 운영하기로 했다고 밝혔다.
https://www.mediatoday.co.kr/news/articleView.html?idxno=331053
쿠팡 ‘언론플레이’로 셀프 면죄부? 정부 화났다 (미디어오늘, 금준경 기자, 2025.12.26 22:36)
‘3000개만 유출됐다’며 자체 조사 일방적으로 발표한 쿠팡
정부, 강력 항의하며 반박하자 ‘정부 지시에 따른 조사’ 주장
‘협조’를 ‘지시’로 과장…정부 “쿠팡 주장은 확인 안 돼”
개인정보 유출 사태를 일으킨 쿠팡이 일방적으로 입장을 발표하고 정부가 반박하는 상황이 반복되고 있다. 쿠팡의 발표는 사태가 심각하지 않다는 데 초점을 맞추고 있지만 정부는 쿠팡의 주장은 확인되지 않았다는 입장이다. 민관합동조사단 조사가 이뤄지는 가운데 조사 대상 사업자가 일방적으로 자체 조사 결과를 발표한 건 이례적이다.
지난 25일 쿠팡이 돌연 자체조사 결과를 발표하며 사건 피해규모가 크지 않다는 점을 단정적으로 강조했다. 쿠팡은 “고객정보 유출에 사용된 모든 장치가 회수되었음을 확인했고, 현재까지 조사에 의하면 유출자는 3000개 계정의 제한된 고객 정보만 저장했고, 이후 이를 모두 삭제했다”고 발표했다. 쿠팡의 발표에 따라 많은 언론이 ‘조사 결과’를 전제로 입장을 보도했다.
이날 과학기술정보통신부는 설명자료를 내고 반발했다. 과기정통부는 “민관합동조사단에서 조사 중인 사항을 쿠팡이 일방적으로 대외에 알린 것에 대해 쿠팡에 강력히 항의했다”고 밝혔다. 과기정통부는 “현재 민관합동조사단에서 정보유출 종류 및 규모, 유출경위 등에 대해 면밀히 조사 중에 있는 사항으로, 쿠팡이 주장하는 사항은 민관합동조사단에 의해 확인되지 않았다”고 밝혔다.
민관합동조사단의 조사가 진행 중인 가운데 조사 대상 사업자가 일방적으로 자체 조사 결과를 발표한 사실이 알려지면서 논란이 커졌다.
다음 날인 26일 쿠팡은 해명 과정에서 또다시 논란을 키웠다. 쿠팡은 “이번 조사는 자체 조사가 아니라 정부의 지시에 따라 긴밀히 협력하며 진행한 공조 과정이었다”고 했다. 쿠팡은 “16일 정부의 지시에 따라 정보 유출자의 데스크톱과 하드디스크 드라이브를 1차 회수해 정부에 보고·제공했다. 쿠팡은 하드 드라이브를 정부에 제출한 즉시 정부가 이에 대한 조사에 착수한 것으로 이해하고 있다”고 밝혔다.
그러나 정부는 사실과 다르다고 거듭 밝혔다. 국가정보원은 “쿠팡 사태와 관련해 쿠팡 측에 어떠한 지시를 할 위치에 있지 않다. 어떠한 지시를 한 바 없다”며 “다만 외국인에 의한 대규모 정보 유출사태를 국가안보 위협 상황으로 인식해 관련 정보 수집·분석을 위해 업무협의를 진행한 바 있다”고 했다. 업무협의를 쿠팡이 ‘지시’로 과장해 발표했다는 것이다.
만일 정부 지시가 있었다고 해도 개인정보 유출이 3000건이라는 사실을 단정할 수 있는 단계가 아니었다는 점에서 논란은 불가피하다. 범정부TF는 26일 “정부가 공식적으로 발표한 바 없는 사항을 쿠팡이 자체적으로 발표해 국민들에게 혼란을 끼치는 것에 대해 유감스럽게 생각한다”며 “쿠팡이 발표한 내용에 대해서는 조사를 통해 투명하게 결과를 공개하겠다”고 밝혔다.
쿠팡이 일방적으로 조사 결과를 발표하며 ‘언론플레이’에 나선 이유는 이용자 이탈이 이어지는 상황과 법적 조치를 의식한 것으로 보인다. 이른바 ‘전국민 개인정보 유출 사태’로 규정된 상황에서 피해 규모가 크지 않다는 점을 선제적으로 부각해 민심을 달래려 한 것으로 보인다. 향후 손해배상 소송에서 2차피해를 막기 위한 쿠팡의 자체적인 노력을 강조하면서 고의·중과실이 없었다는 점을 강조하기 위한 포석일 수도 있다.
쿠팡의 비정상적 대응이 역효과를 일으킬 수도 있다. 고학수 전 개인정보보호위원장(서울대 교수)은 지난 25일 자신의 SNS 계정을 통해 쿠팡이 개인정보 외부 유출은 없었다고 강조한 점을 지적하며 “과징금은 고시인 ‘개인정보 보호법 위반에 대한 과징금 부과 기준’에 기초해 정해지는데 외부 유출 여부를 참작하도록 하는 규정은 딱히 없다. 반면 협조 여부는 명시적 가중(또는 감경) 사유”라며 “고시 내용을 고려할 때 쿠팡의 발표가 과징금을 낮추는 방향으로 작동하기보다는 오히려 높이는 방향으로 작동할 가능성이 있어 보인다”고 했다.
https://www.mediatoday.co.kr/news/articleView.html?idxno=331068
쿠팡 김범석, 한달 만에 “제 사과가 늦었다… 잘못된 판단” (미디어오늘, 박서연 기자, 2025.12.28 13:34)
국회 과방문 증인 출석 요구에는 두 차례 불출석 사유서 통보
한국 쿠팡의 이용자 3370만 명 개인정보 유출이 알려진 지 한 달 만인 28일 오후 김범석 쿠팡 Inc. 의장이 첫 사과문을 냈다. 김범석 의장은 첫 사과문에서 “쿠팡의 창업자이자 이사회 의장으로서, 쿠팡의 전체 임직원을 대표해 진심으로 사과드린다. 많은 국민이 실망한 지금 상황에 참담함을 금할 수가 없다”라고 운을 뗐다.
김범석 의장은 “저희의 책임으로 발생한 이번 데이터 유출로 인해 많은 분께서 자신의 개인정보가 안전하지 않다는 두려움과 불안을 느끼셨다. 또한 사고 초기부터 명확하고 직접적으로 소통하지 못한 점으로 인해 큰 좌절감과 실망을 안겨 드렸다. 사고 직후 미흡했던 초기 대응과 소통 부족에 대해 진심으로 사과드린다”라고 밝혔다.
자신의 사과가 늦었다는 점도 짚었다. 김범석 의장은 “무엇보다도 제 사과가 늦었다. 저는 모든 자원과 인력을 투입해 상황을 해결하고 고객 여러분께 2차 피해가 발생하지 않도록 하는 데 전적으로 지원했다. 말로만 사과하기보다는, 쿠팡이 행동으로 옮겨 실질적인 결과를 내고 대한민국 국민을 위한 최선의 이익에 부합하는 모든 가능한 조치를 취하고자 했다. 또한 많은 오정보가 난무하는 가운데 상황이 매우 빠르게 변화하고 있었기에, 모든 사실이 확인된 이후에 공개적으로 소통하고 사과하는 것이 최선이라고 판단했다”라고 주장했다.
그러면서도 김범석 의장은 “돌이켜보면, 이는 잘못된 판단이었다. 쿠팡이 밤낮없이 상황을 해결하기 위해 노력하는 동시에, 저도 처음부터 깊은 유감과 진심 어린 사과의 뜻을 전했어야 했다. 데이터 유출의 초기 정황을 인지한 이후 제 마음은 무겁기만 했다”라고 했다. 김범석 의장은 “이사회를 중심으로 한국 쿠팡이 불편을 겪으신 한국 고객들에게 보상안을 마련해 조속히 시행할 수 있도록 하겠다”고 밝혔다.
그러나 김범석 의장은 오는 30일과 31일 진행될 국회 상임위 연석 청문회에는 불출석한다고 통보했다. 김범석 의장은 27일 국회 과방위에 “본인은 현재 해외 거주 중으로, 2025년 12월30일과 31일에 기존 예정된 일정으로 인한 부득이한 사유로 청문회에 출석이 어려움을 알려드린다. 해당 일정은 확정돼 변경이 어려워 부득이하게 청문회에 출석이 불가함을 양해해 주시기를 바란다”라고 밝혔다.
다음은 쿠팡 사과문 전문.
쿠팡에서 일어난 개인정보 유출 사고로 고객과 국민들께 매우 큰 걱정과 불편을 끼쳐드렸습니다.
쿠팡의 창업자이자 이사회 의장으로서, 쿠팡의 전체 임직원을 대표해 진심으로 사과드립니다. 많은 국민들이 실망한 지금 상황에 참담함을 금할 수가 없습니다.
저희의 책임으로 발생한 이번 데이터 유출로 인해 많은 분들께서 자신의 개인정보가 안전하지 않다는 두려움과 불안을 느끼셨습니다. 또한 사고 초기부터 명확하고 직접적으로 소통하지 못한 점으로 인해 큰 좌절감과 실망을 안겨 드렸습니다. 사고 직후 미흡했던 초기 대응과 소통 부족에 대해 진심으로 사과드립니다.
무엇보다도 제 사과가 늦었습니다. 저는 모든 자원과 인력을 투입해 상황을 해결하고 고객 여러분께 2차 피해가 발생하지 않도록 하는 데 전적으로 지원했습니다. 말로만 사과하기보다는, 쿠팡이 행동으로 옮겨 실질적인 결과를 내고 대한민국 국민을 위한 최선의 이익에 부합하는 모든 가능한 조치를 취하고자 했습니다. 또한 많은 오정보가 난무하는 가운데 상황이 매우 빠르게 변화하고 있었기에, 모든 사실이 확인된 이후에 공개적으로 소통하고 사과하는 것이 최선이라고 판단했습니다.
돌이켜보면, 이는 잘못된 판단이었습니다. 쿠팡이 밤낮없이 상황을 해결하기 위해 노력하는 동시에, 저도 처음부터 깊은 유감과 진심 어린 사과의 뜻을 전했어야 했습니다. 데이터 유출의 초기 정황을 인지한 이후 제 마음은 무겁기만 했습니다.
오늘 쿠팡은 개인정보 유출 사건의 진행 경과와 쇄신의지를 밝히고자 합니다.
한국 쿠팡과 쿠팡의 임직원은 사태 직후 고객의 신뢰 회복을 위해 ‘2차 피해 가능성’부터 즉각 차단해야 한다는 막중한 책임감으로 문제 수습을 최우선 과제로 삼았습니다.
지난 한달간 매일 지속적인 노력 끝에, 쿠팡은 최근 정부와의 협력을 통해 유출된 고객 정보 100% 모두 회수 완료했습니다. 유출자의 진술을 확보했고, 모든 저장 장치를 회수했습니다. 이 과정에서 유출자의 컴퓨터에 저장되어 있던 고객 정보가 3000건으로 제한되어 있었음이 확인되었으며, 이 또한 외부로 유포되거나 판매되지 않았다는 점도 확인되었습니다. 조사는 계속 진행 중이며, 추가 사항이 확인되는 대로 안내 드리겠습니다.
쿠팡은 조사 초기부터 정부와 전면적으로 협력해 왔습니다. 사고 직후 유출자를 특정하여 정부에 통보했고, 정부와의 협력을 통해 사용된 장비와 유출된 정보를 신속히 회수했으며 모든 관련 자료를 정부에 제출했습니다. 일련의 과정에서, 많은 오정보가 확산되는 상황에서도 정부의 ‘기밀 유지’ 요청을 엄격히 준수했습니다.
유출자가 탈취한 고객의 개인 정보를 100% 회수하는 것만이 ‘고객 신뢰 회복’의 모든 것이라 생각했습니다. 그렇게 달려오다 보니 국민 여러분과 소통에 소홀했습니다. 소통의 문제점을 지적하신 모든 분들께 송구하며 비판과 질책을 겸허히 받아들입니다.
유출된 개인정보를 성공적으로 회수하여 확보한 이후에도, 저희는 애초의 데이터 유출을 예방하지 못한 실패를 엄중히 인식하고 있으며, 그로 인해 끼쳐 드린 모든 우려와 불편에 대해 깊이 사과드립니다.
처음부터 다시 신뢰를 쌓겠습니다. 이사회를 중심으로 한국 쿠팡이 불편을 겪으신 한국 고객들에게 보상안을 마련해 조속히 시행할 수 있도록 하겠습니다. 나아가 다시는 이번 개인정보 유출 사태와 같은 실수를 반복하지 않기 위해, 쿠팡의 정보보안 조치와 투자를 전면적으로 쇄신하겠습니다. 책임을 다해 필요한 투자와 개선이 지연되지 않도록 하겠습니다.
이번 실패를 교훈이자 도약의 발판으로 삼아 세계 최고 수준의 사이버 보안 체계를 구축하겠습니다. 보안 허점의 원인을 철저히 규명하고 보안 시스템을 혁신하겠습니다. 정부의 최종 조사 결과가 나오면, 그 내용을 토대로 재발방지 대책을 만들어 시행하겠습니다.
고객 여러분의 신뢰와 기대가 쿠팡이 존재하는 이유입니다. 쿠팡은 이번 사건을 계기로 스스로를 철저히 쇄신하고, 세계 최고의 고객 경험을 만들기 위한 도전을 결코 멈추지 않겠습니다.
다시 한번 국민 여러분께 사과드립니다.
https://www.kmib.co.kr/article/view.asp?arcid=1767000568&code=11151400&cp=nv
불길에 기름부은 쿠팡… 보상안이야, 마케팅이야 (국민일보, 박성영 기자, 2025-12-29 18:51)
생색내기 넘어 마케팅 활용 의심
5만원 탈쓴 5천원 구매권에 분노
고액 트래블·알럭스에 80% 꼼수
시민들 “생각할수록 괘씸해 탈팡”
쿠팡이 유출된 고객 정보에 대한 보상이라고 내놓은 5만원 상당의 구매이용권을 놓고 여론이 들끓고 있다. 현금이 아닌 구매이용권을 지급해 ‘탈팡’(쿠팡 탈퇴)을 막고 매출을 늘리려는 의도가 노골적이라는 이유에서다. 유통업계에선 쿠팡의 보상안에 대해 “이번 사태마저 마케팅으로 사용하려는 의도가 깔려 있다”는 얘기가 나온다.
쿠팡이 29일 내놓은 보상안을 보면 구매이용권을 쿠팡 전 상품(5000원), 쿠팡이츠(5000원), 쿠팡 트래블 상품(2만원), 알럭스 상품(2만원) 등 4가지로 쪼갰다. 소비자가 가장 많이 사용하는 물품 구매와 음식 배달 이용권은 1만원에 불과하다. 이용률이 저조하고 인지도가 낮은 쿠팡 트래블과 알럭스의 액수가 4배 많다. 트래블(여행 상품)과 알럭스(명품)의 서비스 가격이 높게 형성돼 있다. 2만원 쿠폰을 사용하려면 어쩔 수 없이 더 비싼 서비스를 이용해야 한다. 유통업계 한 관계자는 “싼 쿠폰을 제공해 비싼 제품 구매를 유도하는 기존 마케팅과 다를 바 없다”고 꼬집었다.
시민 반응도 싸늘하다. 오히려 이번 보상안을 계기로 쿠팡 탈퇴나 손해배상 소송 참여를 결심했다는 이들도 있다. 직장인 이모(30)씨는 “지금까진 대체재가 없어 쿠팡을 사용했지만 이번 보상안을 보고 ‘탈팡’을 결심했다. 소비자를 농락하는 것 같아 괘씸하다”고 말했다. 최모(41)씨도 “쿠팡 트래블이나 알럭스는 써본 적도 없다. 쿠팡과 쿠팡이츠 보상을 합해 1만원인데, 내 개인정보값이 이것밖에 안되나 하는 생각이 든다”며 “제대로 사과를 할 생각은 있는지 의심이 든다”고 했다.
쿠팡은 보상안 액수가 1조6850억원으로, 역대 개인정보 유출 사고 보상안 중 가장 크다는 입장이다. 하지만 그만큼 많은 피해자가 발생한 ‘대형 사태’라는 의미일 뿐 개인에게 돌아가는 보상 액수는 지나치게 적다는 의견이 많다.
2014년 카드 3사(KB국민카드·NH농협카드·롯데카드) 개인정보 유출 사태 발생 당시 대법원은 KB국민카드와 코리아크레딧뷰로(KCB)에 “1인당 10만원씩 지급하라”고 판결했다. 2016년 인터파크 개인정보 유출 사태 때도 법원이 정한 피해 보상액은 1인당 10만원이었다.
쿠팡이 당장 비난 여론을 잠재우기 위한 목적으로 보상안을 활용했다는 지적도 있다. 쿠팡 개인정보 유출 사태 관련 집단소송을 진행 중인 한 변호사는 “이번 보상안은 생색내기를 넘어 마케팅 용도로 활용했다는 의구심을 지울 수 없다”며 “손해배상 청구 소송에서 이번 보상을 실질적인 배상으로 볼 수 없다는 법원 판단을 충분히 받아낼 수 있다”고 말했다.
참여연대, 민주사회를 위한 변호사모임, 한국소비자연맹이 주도하는 쿠팡 상대 집단분쟁조정 신청자는 1660명을 넘었다. 개별 법무법인을 통해 단체 손해배상 청구 소송에 나선 시민은 50만명을 넘는 것으로 추정된다.
'우왕좌왕 행정 정책 > ICT,인터넷,과학,정보인권' 카테고리의 다른 글
| 73만건…통신자정보, 영장 없이 들여다봤다 (9) | 2024.10.19 |
|---|---|
| 쯔양 협박 사건, 사이버레커/유튜버 규제 관련 글 (16) | 2024.09.17 |
| 방통위, 이통사 위치정보 불법 활용 확인하고도 제재 없이 종결 (0) | 2021.02.28 |
| 명예훼손을 이유로 인터넷에서 삭제된 경찰 폭력 (0) | 2009.05.12 |
| 다시한번 블로그글을 임시접근금지 조치 당하다 (2) | 2009.04.30 |