[주의!] 문서의 이전 버전(에 수정)을 보고 있습니다. 최신 버전으로 이동
사건 사고
① 주의. 사건·사고 관련 내용을 설명합니다.
② 실제로 발생한 사건 사고에 관련된 내용을 다룹니다.
쿠팡 개인정보 유출 사건
파일:쿠팡 모바일 앱에 접속하면 화면에 뜨던 사과문.png
▲ 쿠팡 모바일 앱에 접속하면 화면에 뜨던 사과문[1]
발생일
2025년 6월 24일 ~ 2025년 11월 6일[2]
발생 국가
피해 기업
피해자
최소 3,000만명 쿠팡 이용자
피의자
A씨 (중국 국적의 남성 / 43세)[3]
원인
서버 인증 취약점 악용
내부자의 무단 정보 접근
퇴사자 관리 부주의
피해
규모
해킹
피해
약 33,700,000개[4]
유출
정보
이메일, 주문 정보
배송지(이름, 전화번호, 주소지)
수사기관
서울특별시경찰청 사이버수사대
1. 개요2. 상세3. 가해자4. 피해5. 전개6. 의문점7. 대처법8. 반응9. 논란 및 비판

1. 개요[편집]

쿠팡 개인정보 유출 사건은 2025년 쿠팡 회원들을 대상으로 내부자에 의해 발생한 개인 정보 유출 사태이다. 현재까지 약 3,370만 개(약 3천만명 이상 규모)에 달하는 회원의 성명, 주소, 연락처 등이 대량으로 유출된 것으로 확인되었다.

2. 상세[편집]

쿠팡은 11월 30일, 개인 정보가 무단으로 노출된 고객 계정 수가 3370만개로 확인됐다고 밝혔다. 지난 18일((11월 18일) 쿠팡 쪽이 밝힌 노출 계정 4500개의 7500배 수준으로, 사실상 쿠팡 이용자 전체의 개인정보가 유출된 것으로 보인다.

쿠팡은 2025년 11월 30일 보도자료를 내어 “현재까지 조사 결과 해외 서버를 통해 올해 6월24일부터 무단으로 개인정보에 접근한 것으로 추정된다”고 했다. 유출된 정보에는 고객 이름, 이메일 주소, 배송지 주소록(수령인 이름·전화번호·주소), 일부 주문 정보 등이 포함됐다고 한다.

일각에서는 쿠팡 개인정보 유출 핵심 관련자가 중국 국적인 쿠팡 전 직원으로, 이미 출국한 상태라는 의혹도 제기된다. 경찰 관계자는 “현재는 모든 가능성을 열어 두고 유출 경로를 살펴보는 단계”라고 설명했다.

서울경찰청 사이버수사과(과장 이병진)는 지난 25일 쿠팡 쪽으로부터 고소장을 접수 받아 쿠팡 개인정보 유출 사건과 관련한 수사에 착수했다고 29일 밝힌 바 있다. 고소장에는 개인 정보를 유출한 피의자가 불상(알 수 없음)으로 적힌 것으로 전해졌다.#

2025년 11월 30일, 쿠팡 대표이사 박대준 명의의 사과문이 발표되었으며 내용은 다음과 같다.

[ 대표 이사 사과문 ]
고객 여러분께 심려와 걱정을 끼쳐드려 진심으로 사과드립니다

쿠팡 대표이사 박대준입니다.

올해 6월 24일 시작된 쿠팡의 최근 사고에 유감을 표명합니다.
고객 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과드립니다.

공지드린 바와 같이, 올해 6월부터 최근까지 고객 정보에 대한 무단 접근이 발생했습니다. 무단 접근된 고객정보는 이름, 고객 이메일, 전화번호, 배송지 주소, 그리고 특정 주문 정보로 제한되었고 결제 정보, 신용카드 정보, 고객 로그인 정보는 포함되지 않았습니다. 다시 한번 고객 여러분게 불편을 끼쳐드려 진심으로 사과드립니다.

모든 고객 정보를 보호하는 것은 쿠팡의 가장 중요한 우선순위입니다. 쿠팡은 이 의무를 매우 중요하게 생각하며, 종합적인 데이터 보호 및 보안 조치와 프로세스를 유지하고 있습니다.

쿠팡은 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 경찰청 등 민관합동조사단과 긴밀히 협력하여 추가적인 피해 예방을 위해 최선을 다하겠습니다.

쿠팡은 향후 이러한 사건으로부터 고객 데이터를 더욱 안전하게 보호할 수 있도록, 현재 기존 데이터 보안 장치와 시스템에 어떤 변화를 줄 수 있는지 검토하고 있습니다.

다시 한번 고객 여러분께 심려와 걱정을 끼쳐드려 진심으로 사과드립니다. 앞으로도 쿠팡은 고객 정보의 안전과 보안을 최우선으로 생각하겠습니다.

이미지

2025년 11월 30일, 쿠팡 박대준 대표이사의 대국민 사과

2025년 12월 28일, 쿠팡 창업주 김범석 명의의 사과문이 발표되었으며 내용은 다음과 같다.

[ 창업주 사과문 ]
쿠팡에서 일어난 개인정보 유출 사고로 고객과 국민들께 매우 큰 걱정과 불편을 끼쳐드렸습니다.

쿠팡의 창업자이자 이사회 의장으로서, 쿠팡의 전체 임직원을 대표해 진심으로 사과드립니다. 많은 국민들이 실망한 지금 상황에 참담함을 금할 수가 없습니다.

저희의 책임으로 발생한 이번 데이터 유출로 인해 많은 분들께서 자신의 개인정보가 안전하지 않다는 두려움과 불안을 느끼셨습니다. 또한 사고 초기부터 명확하고 직접적으로 소통하지 못한 점으로 인해 큰 좌절감과 실망을 안겨 드렸습니다. 사고 직후 미흡했던 초기 대응과 소통 부족에 대해 진심으로 사과드립니다.

무엇보다도 제 사과가 늦었습니다. 저는 모든 자원과 인력을 투입해 상황을 해결하고 고객 여러분께 2차 피해가 발생하지 않도록 하는 데 전적으로 지원했습니다. 말로만 사과하기보다는, 쿠팡이 행동으로 옮겨 실질적인 결과를 내고 대한민국 국민을 위한 최선의 이익에 부합하는 모든 가능한 조치를 취하고자 했습니다. 또한 많은 오정보가 난무하는 가운데 상황이 매우 빠르게 변화하고 있었기에, 모든 사실이 확인된 이후에 공개적으로 소통하고 사과하는 것이 최선이라고 판단했습니다.

돌이켜보면, 이는 잘못된 판단이었습니다. 쿠팡이 밤낮없이 상황을 해결하기 위해 노력하는 동시에, 저도 처음부터 깊은 유감과 진심 어린 사과의 뜻을 전했어야 했습니다. 데이터 유출의 초기 정황을 인지한 이후 제 마음은 무겁기만 했습니다.

오늘 쿠팡은 개인정보 유출 사건의 진행 경과와 쇄신의지를 밝히고자 합니다.
한국 쿠팡과 쿠팡의 임직원은 사태 직후 고객의 신뢰 회복을 위해 '2차 피해 가능성'부터 즉각 차단해야 한다는 막중한 책임감으로 문제 수습을 최우선 과제로 삼았습니다.

지난 한달간 매일 지속적인 노력 끝에, 쿠팡은 최근 정부와의 협력을 통해 유출된 고객 정보 100% 모두 회수 완료했습니다. 유출자의 진술을 확보했고, 모든 저장 장치를 회수했습니다. 이 과정에서 유출자의 컴퓨터에 저장되어 있던 고객 정보가 3,000건으로 제한되어 있었음이 확인되었으며, 이 또한 외부로 유포되거나 판매되지 않았다는 점도 확인되었습니다. 조사는 계속 진행 중이며, 추가 사항이 확인되는 대로 안내 드리겠습니다.

쿠팡은 조사 초기부터 정부와 전면적으로 협력해 왔습니다. 사고 직후 유출자를 특정하여 정부에 통보했고, 정부와의 협력을 통해 사용된 장비와 유출된 정보를 신속히 회수했으며 모든 관련 자료를 정부에 제출했습니다. 일련의 과정에서, 많은 오정보가 확산되는 상황에서도 정부의 '기밀 유지' 요청을 엄격히 준수했습니다.

유출자가 탈취한 고객의 개인 정보를 100% 회수하는 것만이 '고객 신뢰 회복'의 모든 것이라 생각했습니다. 그렇게 달려오다 보니 국민 여러분과 소통에 소홀했습니다. 소통의 문제점을 지적하신 모든 분들께 송구하며 비판과 질책을 겸허히 받아들입니다.

유출된 개인정보를 성공적으로 회수하여 확보한 이후에도, 저희는 애초의 데이터 유출을 예방하지 못한 실패를 엄중히 인식하고 있으며, 그로 인해 끼쳐 드린 모든 우려와 불편에 대해 깊이 사과드립니다.

처음부터 다시 신뢰를 쌓겠습니다. 이사회를 중심으로 한국 쿠팡이 불편을 겪으신 한국 고객들에게 보상안을 마련해 조속히 시행할 수 있도록 하겠습니다. 나아가 다시는 이번 개인정보 유출 사태와 같은 실수를 반복하지 않기 위해, 쿠팡의 정보보안 조치와 투자를 전면적으로 쇄신하겠습니다. 책임을 다해 필요한 투자와 개선이 지연되지 않도록 하겠습니다.

이번 실패를 교훈이자 도약의 발판으로 삼아 세계 최고 수준의 사이버 보안 체계를 구축하겠습니다. 보안 허점의 원인을 철저히 규명하고 보안 시스템을 혁신하겠습니다. 정부의 최종 조사 결과가 나오면, 그 내용을 토대로 재발방지 대책을 만들어 시행하겠습니다.

고객 여러분의 신뢰와 기대가 쿠팡이 존재하는 이유입니다. 쿠팡은 이번 사건을 계기로 스스로를 철저히 쇄신하고, 세계 최고의 고객 경험을 만들기 위한 도전을 결코 멈추지 않겠습니다.

다시 한번 국민 여러분께 사과드립니다.

3. 가해자[편집]

4. 피해[편집]

개인 정보가 무단으로 노출된 쿠팡 고객 계정 수가 3370만개이다. 약 3천만명 이상 고객이 피해를 보게 된 것이다. 이번 개인정보 유출에 배송 정보가 포함되면서 소비자 불안이 커지고 있다.

이번에 유출된 정보는 이름, 이메일, 전화번호, 배송지 주소뿐 아니라 일부 주문 내역까지 포함돼, 단순한 통신사 정보 유출보다 피해 범위와 파장이 크다는 분석이 지배적이다. 특히 배송지 정보는 일상생활과 직결돼 2차 스미싱이나 피싱 등의 악용 가능성도 제기되고 있다.#

2025년 12월 25일, 쿠팡은 개인정보 유출 사태와 관련, ‘피의자가 고객의 계정 3300만개 계정에 접근했으나 실제 저장한 정보는 3000여 개에 불과하며 제3자 유출 정황은 없는 등 피해가 미미하다’는 내용의 자체 조사 결과를 발표했다. 김용범 대통령실 정책실장이 주재하는 쿠팡 사태 긴급 회의를 불과 20여 분 앞둔 오후 3시 40분경이었다. 과학기술정보통신부는 이에 대해 “민관 합동 조사단의 확인을 거치지 않은 일방적인 발표”라며 강력히 항의했다. 쿠팡은 이날 보도자료를 통해 “고객 정보를 유출한 전직 직원을 특정했고, 유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다”고 밝혔다. 쿠팡은 “유출자는 사태에 대한 언론 보도를 접한 후 저장했던 정보를 모두 삭제했으며 고객 정보 중 제3자에게 전송된 데이터는 없는 것으로 포렌식 조사로 확인했다”고 주장했다.

쿠팡의 발표 직후 과기정통부는 “정보 유출 종류 및 규모, 유출 경위 등에 대해 면밀히 조사 중이지만 쿠팡이 주장하는 사항이 민관합동조사단에 의해 확인된 것은 아니다”라고 발표했다. 서울경찰청 사이버수사과 역시 “지난 21일 쿠팡 측에서 피의자의 진술서와 범행에 사용된 노트북 등 증거물을 임의 제출받아 면밀히 분석하고 있다”고 밝혔다.

한편 이날 김용범 실장 주재 회의는 ‘매우 엄중한 분위기’였다고 한다. 특히 쿠팡이 이번 사건을 ‘한미 간 외교·통상 이슈’와 관련이 있는 것처럼 미국 정가에 로비하는 것에 대한 분노가 공유됐다고 한다. 정부는 쿠팡의 개인정보 유출 사태와 관련해 운영 중인 범부처 TF(태스크포스)를 과기부총리 주재로 확대 운영하기로 했다.#

5. 전개[편집]

11월 18일
쿠팡 측이 개인정보 유출 사건이 발생했다고 공식 발표했다.
11월 29일
서울경찰청 사이버수사과는 쿠팡 쪽으로부터 고소장을 접수 받아 쿠팡 개인정보 유출 사건과 관련한 수사에 착수했다.
정부는 쿠팡 대규모 개인정보 유출 사고 민관합동조사단을 구성했다
쿠팡은 29일 저녁부터 30일까지 순차적으로 문자로 개인정보 유출 사실을 공지했다.
11월 30일
쿠팡 대표이사 박대준 명의의 사과문이 발표됐다.
12월 1일
서울경찰청이 피의자가 사용한 IP를 확보해 추적 중이라고 밝혔다.
12월 3일
박대준 대표는 “피해자 전원 보상을 지급하는 것에 대해 적극적으로 검토하겠다”고 말했다. 하지만 보상 시점에 대해서는 “현재는 피해 범위가 아직 확정되지 않았고 조사 중”이라고 말했다.
12월 8일
강훈식 대통령 비서실장은 수석보좌관 회의에서 "쿠팡이 피해 발생 시 책임 방안을 명확히 제시해야 한다"고 했다. 그러면서 "소비자에게 일방적으로 불리한 약관을 철저히 점검하고 시정하라"고도 했다. 또 "공정한 경쟁 질서를 훼손할 우려가 있는 기업 사례를 폭넓게 조사해 보고하라"고 지시했다.
12월 14일
서울경찰청 사이버수사과와 IT 업계에 따르면, 경찰은 인증 시스템 개발 업무를 맡은 중국인 피의자 A(43)와 쿠팡 직원이 지난해 4월 11일부터 지난달 8일까지 키 관리시스템 ‘하시코프 볼트(Hashicorp Vault·이하 볼트)’에 접근한 내역과 계정 사용·반출·폐기·관리 이력 등을 압수수색했다.#
12월 23일
과학기술정보통신부를 비롯해 ▲고용노동부 ▲국토교통부 ▲중소벤처기업부 ▲개인정보보호위원회 ▲방송미디어통신위원회 ▲금융위원회 ▲공정거래위원회 ▲경찰청 관계자가 1차 회의에 참석했다. 1차 회의에서 각 부처들은 부처별 대응상황을 공유하고 이번 사태의 신속한 문제 해결 및 엄정한 조치를 위한 TF 운영방향 등을 논의했다. TF에는 침해사고 및 개인정보 뿐만 아니라 쿠팡 기업 운영 전반에 걸쳐 제기된 여러 문제점과 관련된 부처들이 참여해 ▲침해사고 조사·수사 ▲이용자 보호 ▲정보보호 및 개인정보보호 인증제도 개편 ▲기업 책임성 강화에 대해 중점 논의해 나갈 계획이다.#
12월 25일
개인정보 유출 사태로 홍역을 치른 쿠팡이 실제 정보가 유출된 3000여명뿐만 아니라 전체 고객을 대상으로 한 보상안 마련을 계획 중인 것으로 알려졌다. 실제 피해 규모와 상관없이 이번 사태로 인한 고객들의 불안감을 해소하고 무너진 신뢰를 회복하겠다는 의지로 풀이된다. 쿠팡은 조만간 발표할 보상안에 피해를 본 3000여명에 대한 직접적인 보상은 물론, 전체 회원을 아우르는 혜택을 포함하는 방안을 논의하고 있다고 밝혔다. 쿠팡 측은 이날 입장문을 통해 "최근 발생한 개인정보 유출이 고객들에게 얼마나 큰 우려를 불러일으켰는지 책임을 통감한다"며 "수많은 국민이 걱정과 불편을 겪게 된 것에 대해 진심으로 사과드린다"고 밝힌 바 있다.#
12월 28일
김범석 의장이 국회 청문회에 또 불출석하겠다며 "본인은 현재 해외 거주 중으로, 2025년 12월30일과 31일에 기존 예정된 일정으로 인한 부득이한 사유로 청문회에 출석이 어려움을 알려드린다"라고 밝혔다. 연석 청문회 소관 상임위인 국회 과학기술정보방송통신위원회(과방위)의 최민희 위원장은 "김범석 불출석, 절대 양해할 수 없다"라고 밝혔다.

6. 의문점[편집]

이미 퇴사한 직원이 개인정보 유출을 한 것으로 보이는데 그것도 해외에서 어떻게 민감한 고객 정보가 담긴 내부 시스템에 접근할 수 있었는지, 무려 5개월에 걸친 유출 과정에서 쿠팡의 내부 경보 시스템은 왜 작동하지 않았는지 석연치 않은 점이 적지 않다. 이 직원이 이렇게 빼돌린 정보를 어떤 식으로 활용할 계획이었는지도 확실하지 않다.

첫번째 의문점은 퇴사한 직원이 어떻게?이다. 현재 정보를 빼돌린 것으로 지목된 용의자는 쿠팡을 그만둔 개발자다. 그는 퇴직 전 쿠팡에서 내부 전산망 접속 관련 인증 업무를 맡은 것으로 알려졌다. 재직 당시엔 민감한 정보에 합법적으로 접근할 수 있었다는 뜻이다. 다만 개인정보에 무단으로 접근한 첫 시도는 퇴사 이후인 6월 24일 이뤄졌다. IT 관련 대기업 관계자는 "직원이 퇴직하면 내부 시스템 접근 권한이 말소되는 것은 기본 중의 기본"이라며 "어떻게 퇴사자가 정보에 접근할 수 있었는지 의문"이라고 했다. 이와 관련 국회에서는 쿠팡 측이 이 직원의 시스템 접근 권한을 살려둔 채 방치한 것 아니냐는 주장도 나온다. 다만 쿠팡 측은 이를 두고 "사실이 아니다"라는 입장이다.

두번째 의문점은 5개월간 정말 몰랐나?이다. 쿠팡이 무단 침해 정황을 알아차린 건 2025년 11월 18일이다. 2025년 6월 최초 무단 접근 시도가 이뤄진 후 5개월 동안 유출 사실을 모르고 있었다. 쿠팡이 침해 정황을 인지한 것도 한 쿠팡 사용자가 '협박성 이메일을 받았다'고 민원을 넣었기 때문. 한 보안 기업 관계자는 "퇴사자가 해외에서 수시로 국내 핵심 서버에 접속해 3,400만 건에 달하는 정보를 빼가는 동안 경보 시스템이 작동하지 않았다는 게 말이 안 된다"고 했다. IT 플랫폼 관계자는 "워케이션(휴가지 원격 근무) 때도 부서장 결재를 거쳐 외부 접속 권한을 받을 정도로 기업들은 보안이 철저하다"며 "비인가 접근이 어떻게 다섯 달 동안 가능했는지 의문"이라고 했다. 이에 보안업계 일부에서는 용의자가 '로 앤드 슬로우(low and slow)' 방식을 활용한 것 아니냐는 해석도 나온다. 보안 관제 시스템 임계치를 넘지 않게 조금씩 데이터를 긁어갔다는 의미다.

세번째 의문점은 유출 동기이다. 가해자가 무단으로 탈취한 개인정보를 어떻게 활용하려 했는지도 뚜렷하지 않다. 경찰에 따르면 용의자는 쿠팡에 '회원들의 개인정보를 보유하고 있다. 보안을 강화하지 않으면 유출 사실을 언론에 알리겠다'는 내용의 협박성 이메일을 보냈다. 다만 금전을 요구하지는 않았다고 한다. 현재 민관 합동 조사단과 경찰은 쿠팡에서 유출된 정보가 다크웹(특정 프로그램을 사용해야만 접속할 수 있는 인터넷)에서 유통되거나 팔리는지 여부도 확인하고 있다.#

7. 대처법[편집]

쿠팡 개인정보 유출 이후 소비자는 다음과 같은 행동을 하여 2차 피해를 방지하도록 한다.

우선 쿠팡에 등록했던 카드는 재발급해야 한다. 기존 결제수단 변경을 권고한다. 또 신뢰할 수 없는 웹사이트 링크에 접속하지 않아야 하며, 모르는 번호로 전화가 올 경우 수신에 주의하여야 한다. 그리고 출처가 불분명한 문자는 바로 삭제하여야 한다.

8. 반응[편집]

  • 이재명 대통령이 쿠팡에서 3370만명의 개인정보가 유출된 데 대해 “5개월간 회사가 유출 자체를 확인하지 못했다는 게 참으로 놀랍다”며 “사고 원인을 조속하게 규명하고, 엄중하게 책임을 물어야겠다”고 말했다. 이 대통령은 2025년 12월 2일 오전 서울 용산 대통령실에서 국무회의를 주재하고 이렇게 말하며 “유출 정보를 악용한 2차 피해를 막는 데도 가용 수단을 총동원해달라”고 했다. 금융위원회와 금융감독원은 지난 1일 쿠팡 개인정보 유출 사고가 보이스피싱·스미싱 등 2차 금융사기로 이어질 우려가 커졌다며 소비자경보 ‘주의’ 단계를 발령했다. 이 대통령은 “인공지능과 디지털 시대의 핵심자산인 개인정보 보호를 소홀하게 여기는 잘못된 관행과 인식도 이 기회에 완전히 바꿔야 한다”며 “관계부처는 해외사례들을 참고해서 과징금을 강화하고, 징벌적 손해배상 제도를 현실화하는 등 실질적이고 실효적인 대책 마련에 나서달라”고 지시했다.#
  • 강훈식 대통령 비서실장도 전날 수석보좌관 회의를 주재하고 쿠팡 개인정보 유출 사건을 강도 높게 비판했다. 그는 과학기술정보통신부와 개인정보보호 위원회에 근본적인 제도 보완과 기업 보안 역량 강화 지원책 등을 신속히 마련해달라고 지시했다.#
  • 이준석 개혁신당 대표는 12월 2일 쿠팡의 3370만명 고객 개인정보 유출 논란에 대해 “국민의 데이터를 다루는 거대 플랫폼이 기초적인 보안 설계를 놓치고 있었다”고 지적했다. 그는 이어 “시작은 키 탈취였지만, 그 키를 만능키로 만들어준 것은 잘못된 유저-인증시스템 설계”라고 비판했다. 이 대표는 국회 과학기술정보방송통신위원회 현안질의 후 페이스북에 “오늘 질의를 통해 쿠팡의 인증키 유출이 왜 수천만명 규모의 대규모 개인정보 유출로 이어졌는지 규명해 냈다”며 “시작은 키 탈취였지만 그 키를 만능키로 만들어준 것은 잘못된 유저-인증시스템 설계다. 대학교 2학년 수준의 수업에서 알려주는 설계 원칙을 간과했던 것”이라며 이 같이 밝혔다. 그는 “결국 이번 사태는 단순한 관리자 키 분실 사고가 아니다”라며 “‘누구나 예측 가능한 번호표를 달아놓고, 직원 전용 출입구를 활짝 열어둔 것’과 다름없는 안일한 보안 아키텍처가 불러온 예견된 인재(人災)임이 오늘 질의를 통해 명확히 드러났다”고 비판했다.#

9. 논란 및 비판[편집]

→ 자세한 내용은 쿠팡 개인정보 유출 사건/논란 및 비판 문서를 참고하십시오.
[1] 2025년 12월 2일 이후로 쿠팡 측에서 사과문을 삭제했다. 관련 내용은 논란참고. 2025년 12월 7일, 쿠팡 어플 매인화면에 사과문 재공지[2] 쿠팡 측에 공식 발표일은 2025년 11월 18일이다.[3] 전직 쿠팡 인증 시스템 담당 개발자[4] 11월 29일 기준