[주의!] 문서의 이전 버전(에 수정)을 보고 있습니다. 최신 버전으로 이동
사건 사고
① 주의. 사건·사고 관련 내용을 설명합니다.
② 실제로 발생한 사건 사고에 관련된 내용을 다룹니다.
① 주의. 사건·사고 관련 내용을 설명합니다.
② 실제로 발생한 사건 사고에 관련된 내용을 다룹니다.
쿠팡 개인정보 유출 사건 | |||
▲ 쿠팡 모바일 앱에 접속하면 화면에 뜨던 사과문[1] | |||
발생일 | |||
발생 국가 | |||
피해 기업 | |||
피해자 | 최소 3,000만명 쿠팡 이용자 | ||
가해자 | 퇴사자[추정] | ||
원인 | 서버 인증 취약점 악용 내부자의 무단 정보 접근 퇴사자 관리 부주의 | ||
피해 규모 | 해킹 피해 | 약 33,700,000개[4] | |
유출 정보 | 이메일, 주문 정보 배송지(이름, 전화번호, 주소지) | ||
수사기관 | 서울특별시경찰청 사이버수사대 | ||
1. 개요[편집]
2. 상세[편집]
쿠팡은 11월 30일, 개인 정보가 무단으로 노출된 고객 계정 수가 3370만개로 확인됐다고 밝혔다. 지난 18일((11월 18일) 쿠팡 쪽이 밝힌 노출 계정 4500개의 7500배 수준으로, 사실상 쿠팡 이용자 전체의 개인정보가 유출된 것으로 보인다.
쿠팡은 2025년 11월 30일 보도자료를 내어 “현재까지 조사 결과 해외 서버를 통해 올해 6월24일부터 무단으로 개인정보에 접근한 것으로 추정된다”고 했다. 유출된 정보에는 고객 이름, 이메일 주소, 배송지 주소록(수령인 이름·전화번호·주소), 일부 주문 정보 등이 포함됐다고 한다.
일각에서는 쿠팡 개인정보 유출 핵심 관련자가 중국 국적인 쿠팡 전 직원으로, 이미 출국한 상태라는 의혹도 제기된다. 경찰 관계자는 “현재는 모든 가능성을 열어 두고 유출 경로를 살펴보는 단계”라고 설명했다.
서울경찰청 사이버수사과(과장 이병진)는 지난 25일 쿠팡 쪽으로부터 고소장을 접수 받아 쿠팡 개인정보 유출 사건과 관련한 수사에 착수했다고 29일 밝힌 바 있다. 고소장에는 개인 정보를 유출한 피의자가 불상(알 수 없음)으로 적힌 것으로 전해졌다.#
쿠팡은 2025년 11월 30일 보도자료를 내어 “현재까지 조사 결과 해외 서버를 통해 올해 6월24일부터 무단으로 개인정보에 접근한 것으로 추정된다”고 했다. 유출된 정보에는 고객 이름, 이메일 주소, 배송지 주소록(수령인 이름·전화번호·주소), 일부 주문 정보 등이 포함됐다고 한다.
일각에서는 쿠팡 개인정보 유출 핵심 관련자가 중국 국적인 쿠팡 전 직원으로, 이미 출국한 상태라는 의혹도 제기된다. 경찰 관계자는 “현재는 모든 가능성을 열어 두고 유출 경로를 살펴보는 단계”라고 설명했다.
서울경찰청 사이버수사과(과장 이병진)는 지난 25일 쿠팡 쪽으로부터 고소장을 접수 받아 쿠팡 개인정보 유출 사건과 관련한 수사에 착수했다고 29일 밝힌 바 있다. 고소장에는 개인 정보를 유출한 피의자가 불상(알 수 없음)으로 적힌 것으로 전해졌다.#
3. 가해자[편집]
4. 피해[편집]
5. 사건 일지[편집]
6. 의문점[편집]
이미 퇴사한 직원이 개인정보 유출을 한 것으로 보이는데 그것도 해외에서 어떻게 민감한 고객 정보가 담긴 내부 시스템에 접근할 수 있었는지, 무려 5개월에 걸친 유출 과정에서 쿠팡의 내부 경보 시스템은 왜 작동하지 않았는지 석연치 않은 점이 적지 않다. 이 직원이 이렇게 빼돌린 정보를 어떤 식으로 활용할 계획이었는지도 확실하지 않다.
첫번째 의문점은 퇴사한 직원이 어떻게?이다. 현재 정보를 빼돌린 것으로 지목된 용의자는 쿠팡을 그만둔 개발자다. 그는 퇴직 전 쿠팡에서 내부 전산망 접속 관련 인증 업무를 맡은 것으로 알려졌다. 재직 당시엔 민감한 정보에 합법적으로 접근할 수 있었다는 뜻이다. 다만 개인정보에 무단으로 접근한 첫 시도는 퇴사 이후인 6월 24일 이뤄졌다. IT 관련 대기업 관계자는 "직원이 퇴직하면 내부 시스템 접근 권한이 말소되는 것은 기본 중의 기본"이라며 "어떻게 퇴사자가 정보에 접근할 수 있었는지 의문"이라고 했다. 이와 관련 국회에서는 쿠팡 측이 이 직원의 시스템 접근 권한을 살려둔 채 방치한 것 아니냐는 주장도 나온다. 다만 쿠팡 측은 이를 두고 "사실이 아니다"라는 입장이다.
두번째 의문점은 5개월간 정말 몰랐나?이다. 쿠팡이 무단 침해 정황을 알아차린 건 2025년 11월 18일이다. 2025년 6월 최초 무단 접근 시도가 이뤄진 후 5개월 동안 유출 사실을 모르고 있었다. 쿠팡이 침해 정황을 인지한 것도 한 쿠팡 사용자가 '협박성 이메일을 받았다'고 민원을 넣었기 때문. 한 보안 기업 관계자는 "퇴사자가 해외에서 수시로 국내 핵심 서버에 접속해 3,400만 건에 달하는 정보를 빼가는 동안 경보 시스템이 작동하지 않았다는 게 말이 안 된다"고 했다. IT 플랫폼 관계자는 "워케이션(휴가지 원격 근무) 때도 부서장 결재를 거쳐 외부 접속 권한을 받을 정도로 기업들은 보안이 철저하다"며 "비인가 접근이 어떻게 다섯 달 동안 가능했는지 의문"이라고 했다. 이에 보안업계 일부에서는 용의자가 '로 앤드 슬로우(low and slow)' 방식을 활용한 것 아니냐는 해석도 나온다. 보안 관제 시스템 임계치를 넘지 않게 조금씩 데이터를 긁어갔다는 의미다.
세번째 의문점은 유출 동기이다. 가해자가 무단으로 탈취한 개인정보를 어떻게 활용하려 했는지도 뚜렷하지 않다. 경찰에 따르면 용의자는 쿠팡에 '회원들의 개인정보를 보유하고 있다. 보안을 강화하지 않으면 유출 사실을 언론에 알리겠다'는 내용의 협박성 이메일을 보냈다. 다만 금전을 요구하지는 않았다고 한다. 현재 민관 합동 조사단과 경찰은 쿠팡에서 유출된 정보가 다크웹(특정 프로그램을 사용해야만 접속할 수 있는 인터넷)에서 유통되거나 팔리는지 여부도 확인하고 있다.#
첫번째 의문점은 퇴사한 직원이 어떻게?이다. 현재 정보를 빼돌린 것으로 지목된 용의자는 쿠팡을 그만둔 개발자다. 그는 퇴직 전 쿠팡에서 내부 전산망 접속 관련 인증 업무를 맡은 것으로 알려졌다. 재직 당시엔 민감한 정보에 합법적으로 접근할 수 있었다는 뜻이다. 다만 개인정보에 무단으로 접근한 첫 시도는 퇴사 이후인 6월 24일 이뤄졌다. IT 관련 대기업 관계자는 "직원이 퇴직하면 내부 시스템 접근 권한이 말소되는 것은 기본 중의 기본"이라며 "어떻게 퇴사자가 정보에 접근할 수 있었는지 의문"이라고 했다. 이와 관련 국회에서는 쿠팡 측이 이 직원의 시스템 접근 권한을 살려둔 채 방치한 것 아니냐는 주장도 나온다. 다만 쿠팡 측은 이를 두고 "사실이 아니다"라는 입장이다.
두번째 의문점은 5개월간 정말 몰랐나?이다. 쿠팡이 무단 침해 정황을 알아차린 건 2025년 11월 18일이다. 2025년 6월 최초 무단 접근 시도가 이뤄진 후 5개월 동안 유출 사실을 모르고 있었다. 쿠팡이 침해 정황을 인지한 것도 한 쿠팡 사용자가 '협박성 이메일을 받았다'고 민원을 넣었기 때문. 한 보안 기업 관계자는 "퇴사자가 해외에서 수시로 국내 핵심 서버에 접속해 3,400만 건에 달하는 정보를 빼가는 동안 경보 시스템이 작동하지 않았다는 게 말이 안 된다"고 했다. IT 플랫폼 관계자는 "워케이션(휴가지 원격 근무) 때도 부서장 결재를 거쳐 외부 접속 권한을 받을 정도로 기업들은 보안이 철저하다"며 "비인가 접근이 어떻게 다섯 달 동안 가능했는지 의문"이라고 했다. 이에 보안업계 일부에서는 용의자가 '로 앤드 슬로우(low and slow)' 방식을 활용한 것 아니냐는 해석도 나온다. 보안 관제 시스템 임계치를 넘지 않게 조금씩 데이터를 긁어갔다는 의미다.
세번째 의문점은 유출 동기이다. 가해자가 무단으로 탈취한 개인정보를 어떻게 활용하려 했는지도 뚜렷하지 않다. 경찰에 따르면 용의자는 쿠팡에 '회원들의 개인정보를 보유하고 있다. 보안을 강화하지 않으면 유출 사실을 언론에 알리겠다'는 내용의 협박성 이메일을 보냈다. 다만 금전을 요구하지는 않았다고 한다. 현재 민관 합동 조사단과 경찰은 쿠팡에서 유출된 정보가 다크웹(특정 프로그램을 사용해야만 접속할 수 있는 인터넷)에서 유통되거나 팔리는지 여부도 확인하고 있다.#
7. 대처법[편집]
쿠팡 개인정보 유출 이후 소비자는 다음과 같은 행동을 하여 2차 피해를 방지하도록 한다.
우선 쿠팡에 등록했던 카드는 재발급해야 한다. 기존 결제수단 변경을 권고한다. 또 신뢰할 수 없는 웹사이트 링크에 접속하지 않아야 하며, 모르는 번호로 전화가 올 경우 수신에 주의하여야 한다. 그리고 출처가 불분명한 문자는 바로 삭제하여야 한다.
우선 쿠팡에 등록했던 카드는 재발급해야 한다. 기존 결제수단 변경을 권고한다. 또 신뢰할 수 없는 웹사이트 링크에 접속하지 않아야 하며, 모르는 번호로 전화가 올 경우 수신에 주의하여야 한다. 그리고 출처가 불분명한 문자는 바로 삭제하여야 한다.
8. 반응[편집]
- 이재명 대통령이 쿠팡에서 3370만명의 개인정보가 유출된 데 대해 “5개월간 회사가 유출 자체를 확인하지 못했다는 게 참으로 놀랍다”며 “사고 원인을 조속하게 규명하고, 엄중하게 책임을 물어야겠다”고 말했다. 이 대통령은 2025년 12월 2일 오전 서울 용산 대통령실에서 국무회의를 주재하고 이렇게 말하며 “유출 정보를 악용한 2차 피해를 막는 데도 가용 수단을 총동원해달라”고 했다. 금융위원회와 금융감독원은 지난 1일 쿠팡 개인정보 유출 사고가 보이스피싱·스미싱 등 2차 금융사기로 이어질 우려가 커졌다며 소비자경보 ‘주의’ 단계를 발령했다. 이 대통령은 “인공지능과 디지털 시대의 핵심자산인 개인정보 보호를 소홀하게 여기는 잘못된 관행과 인식도 이 기회에 완전히 바꿔야 한다”며 “관계부처는 해외사례들을 참고해서 과징금을 강화하고, 징벌적 손해배상 제도를 현실화하는 등 실질적이고 실효적인 대책 마련에 나서달라”고 지시했다.#
9. 논란 및 비판[편집]
→ 자세한 내용은 쿠팡 개인정보 유출 사건/논란 및 비판 문서를 참고하십시오.
[1] 2025년 12월 2일 이후로 쿠팡 측에서 사과문을 삭제했다. 관련 내용은 논란참고[2] 쿠팡 측에 공식 발표일은 2025년 11월 18일이다.[추정] [4] 11월 29일 기준[5]
[ 대표 이사 사과문 ]
고객 여러분께 심려와 걱정을 끼쳐드려 진심으로 사과드립니다 쿠팡 대표이사 박대준입니다. 올해 6월 24일 시작된 쿠팡의 최근 사고에 유감을 표명합니다. 고객 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과드립니다. 공지드린 바와 같이, 올해 6월부터 최근까지 고객 정보에 대한 무단 접근이 발생했습니다. 무단 접근된 고객정보는 이름, 고객 이메일, 전화번호, 배송지 주소, 그리고 특정 주문 정보로 제한되었고 결제 정보, 신용카드 정보, 고객 로그인 정보는 포함되지 않았습니다. 다시 한번 고객 여러분게 불편을 끼쳐드려 진심으로 사과드립니다. 모든 고객 정보를 보호하는 것은 쿠팡의 가장 중요한 우선순위입니다. 쿠팡은 이 의무를 매우 중요하게 생각하며, 종합적인 데이터 보호 및 보안 조치와 프로세스를 유지하고 있습니다. 쿠팡은 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 경찰청 등 민관합동조사단과 긴밀히 협력하여 추가적인 피해 예방을 위해 최선을 다하겠습니다. 쿠팡은 향후 이러한 사건으로부터 고객 데이터를 더욱 안전하게 보호할 수 있도록, 현재 기존 데이터 보안 장치와 시스템에 어떤 변화를 줄 수 있는지 검토하고 있습니다. 다시 한번 고객 여러분께 심려와 걱정을 끼쳐드려 진심으로 사과드립니다. 앞으로도 쿠팡은 고객 정보의 안전과 보안을 최우선으로 생각하겠습니다. 이미지 |

