[주의!] 문서의 이전 버전(에 수정)을 보고 있습니다. 최신 버전으로 이동
사건 사고
① 주의. 사건·사고 관련 내용을 설명합니다.
② 실제로 발생한 사건 사고에 관련된 내용을 다룹니다.
쿠팡 개인정보 유출 사건
▲ 이미지 업로드 예정
발생일
2025년 6월 24일 ~ 2025년 11월 6일[1]
발생 국가
피해 기업
피해자
최소 3,000만명 쿠팡 이용자
가해자
퇴사자[추정]
원인
서버 인증 취약점 악용
내부자의 무단 정보 접근
퇴사자 관리 부주의
피해
규모
해킹
피해
약 33,700,000개[3]
유출
정보
이메일, 주문 정보
배송지(이름, 전화번호, 주소지)
수사기관
서울특별시경찰청 사이버수사대
1. 개요2. 상세3. 수사4. 논란
4.1. 보안 부실 논란4.2. 창업주의 책임론

1. 개요[편집]

쿠팡 개인정보 유출 사건은 2025년 쿠팡 회원들을 대상으로 내부자에 의해 발생한 개인 정보 유출 사태이다. 현재까지 약 3,370만 개(약 3천만명 이상 규모)에 달하는 회원의 성명, 주소, 연락처 등이 대량으로 유출된 것으로 확인되었다.

2. 상세[편집]

쿠팡은 11월 30일, 개인 정보가 무단으로 노출된 고객 계정 수가 3370만개로 확인됐다고 밝혔다. 지난 18일((11월 18일) 쿠팡 쪽이 밝힌 노출 계정 4500개의 7500배 수준으로, 사실상 쿠팡 이용자 전체의 개인정보가 유출된 것으로 보인다.

쿠팡은 30일 보도자료를 내어 “현재까지 조사 결과 해외 서버를 통해 올해 6월24일부터 무단으로 개인정보에 접근한 것으로 추정된다”고 했다. 유출된 정보에는 고객 이름, 이메일 주소, 배송지 주소록(수령인 이름·전화번호·주소), 일부 주문 정보 등이 포함됐다고 한다.

일각에서는 쿠팡 개인정보 유출 핵심 관련자가 중국 국적인 쿠팡 전 직원으로, 이미 출국한 상태라는 의혹도 제기된다. 경찰 관계자는 “현재는 모든 가능성을 열어 두고 유출 경로를 살펴보는 단계”라고 설명했다.

서울경찰청 사이버수사과(과장 이병진)는 지난 25일 쿠팡 쪽으로부터 고소장을 접수 받아 쿠팡 개인정보 유출 사건과 관련한 수사에 착수했다고 29일 밝힌 바 있다. 고소장에는 개인 정보를 유출한 피의자가 불상(알 수 없음)으로 적힌 것으로 전해졌다.#

3. 수사[편집]

11월 18일
쿠팡 측이 개인정보 유출 사건이 발생했다고 공식 발표
11월 29일
서울경찰청 사이버수사과는 쿠팡 쪽으로부터 고소장을 접수 받아 쿠팡 개인정보 유출 사건과 관련한 수사에 착수했다
12월 1일
서울경찰청이 피의자가 사용한 IP를 확보해 추적 중이라고 밝혔다

4. 논란[편집]

4.1. 보안 부실 논란[편집]

쿠팡에서 인증 관련 담당자로 일하던 중국인 개발자가 고객 3370만명의 개인정보를 유출한 사태와 관련해 쿠팡 측의 안일한 대응에 대한 비판이 커지고 있다. 정부는 외부 해킹이 아닌 쿠팡 측의 방치에 따라 이번 사건이 벌어졌다고 보고 관련 책임을 엄중히 묻겠다는 입장이다. 원활한 피해자 보상을 위해 징벌적 손해배상제 개선 카드도 꺼내 들었다. 경찰도 범행에 사용된 인터넷주소(IP)를 확보하는 등 수사에 속도를 내고 있다.

12월 1일 정부 고위 관계자는 “쿠팡이 서버 관리를 굉장히 부실하게 한 것이라 책임을 피하기 어려울 것”이라고 말했다. 이 관계자는 “인증 관리 업무를 담당하던 중국인 개발자가 퇴사한 후에도 계속 서버 접근 권한을 말소하지 않아서 생긴 일”이라며 “본질적으로 해킹을 당한 롯데카드와는 아예 다른 사건”이라고 진단했다.

그는 또 “(인증키를) 말소시키지 않으니 시스템은 정상적 접근이라고 본 것”이라며 “혹시 다른 해킹이 있을지 한국인터넷진흥원(KISA)이 들여다보고 있는데 현재까진 나온 게 없다”고 전했다. 그러면서 “피해자 숫자와 범위 등이 더 늘어날 가능성은 충분해 보인다”고도 했다.#

4.2. 창업주의 책임론[편집]

쿠팡에서 3370만 명의 고객 개인정보가 유출된 가운데 정작 쿠팡 창업자인 김범석 쿠팡Inc 이사회 의장(47·사진)이 해외에 체류하며 모습을 드러내지 않는 것을 두고 책임론이 확산되고 있다. 쿠팡의 실질적 지배구조 정점에 있는 인물이 최악의 정보 유출 사태 이후에 어떠한 대외적 메시지도 내놓지 않자 “한국 사업을 가볍게 본 것 아니냐”는 비판의 목소리가 커지고 있다.

김범석 의장은 2021년 쿠팡 한국 법인 이사회 의장직과 등기이사직에서 물러나며 한국 사업과의 법적 연결고리를 최소화했다. 그러나 모회사인 미국 쿠팡Inc를 통해서 회사의 중장기 전략 방향과 투자 결정을 내리는 실질적인 책임자인 만큼 이번 대규모 고객 개인정보 유출 사태에 대해서도 책임을 지고 직접 사과해야 한다는 여론이 많다.

김범석 의장은 물류센터 노동자 과로와 안전 문제, 쿠팡이츠 입점 업체 수수료 논란 등 굵직한 사건이 터질 때마다 전면에 나선 적이 한 번도 없었다. 2015년 국내 언론 대상 기자간담회 이후 공식 석상에 모습을 드러낸 적이 없다.

공정거래위원회가 대기업 집단을 실질적으로 지배하는 개인이나 법인을 정하는 제도인 ‘동일인(총수) 지정’에서도 그는 미국인이라는 이유 등으로 2년 연속 이를 피해 갔다. 매년 국회 국정감사 증인 출석 요구 때마다 ‘해외 체류’를 이유로 들며 불출석했다.

일각에서는 김 의장이 국내 규제와 법적 책임이 수반되는 직책에서는 한 발짝 물러선 반면, 모회사 이사회 의장이라는 직책을 통해 국내 사업 전반의 권한은 행사한다는 점에서 “권한은 행사하고 책임은 외면한다”고 지적하고 있다.#
[1] 쿠팡 측에 공식 발표일은 2025년 11월 18일이다.[추정] [3] 11월 29일 기준