2026.02.05 쿠팡 추가 개인정보 유출 요약

 

1. 개요

• 국내 대형 이커머스 기업 쿠팡에서 2025년 11월경 최초로 수천 개 수준의 계정 정보 유출을 공지한 이후, 추가 조사 과정에서 수십만 개 단위(16만 5000개 계정 수준)의 추가 노출이 확인된 내용으로, 전체 3370만 개 계정 유출 이슈의 일부 단계로 보도되었습니다.
• 해당 추가 유출 건은 “당초 공지보다 더 많은 계정에서 이름, 이메일, 배송지 등 개인정보가 비인가자로부터 접근·열람된 사실이 확인되었다”는 내용으로 정정·추가 안내가 이뤄진 것으로 알려져 있습니다.

 

2. 피해 범위

• 초기에는 수천 개(약 4500개) 계정만 유출된 것으로 발표했으나, 이후 추가 분석 결과 수십만 개 계정에서 동일 혹은 유사 유형의 비인가 접근이 발견되어, 16만 5000개 안팎의 추가 계정이 피해 범위에 포함된 것으로 파악됩니다.
• 수사와 포렌식이 진행되면서 최종적으로는 약 3370만 개 계정(사실상 대부분 이용자)의 개인정보가 무단 노출된 것으로 정리되었고, 16만 5000개 구간은 “초기 발표와 최종 대규모 유출 사이에 추가로 확인된 중간 규모 피해”로 이해할 수 있습니다.

 

3. 유출 항목

 - 유출·노출된 정보 항목은 다음과 같은 범주로 공지되었습니다.

• 이름
• 이메일 주소
• 전화번호
• 배송지 주소록(수령인 이름, 연락처, 주소)
• 일부 주문 정보(최근 주문 내역 등)

  > 다만 결제 정보, 신용카드 번호, 계좌번호, 로그인 비밀번호 등은 유출되지 않았다고 쿠팡 측이 반복해서 설명한 바 있습니다.

4. 원인

• 전직 개발자 등 내부 관련자가 보안 키·액세스 토큰 등을 이용해 정상 인증 절차를 거치지 않고 대량의 계정 프로필 정보에 접근한 것이 핵심 원인으로 지목되었습니다.
• 서명된 액세스 토큰을 악용한 비인가 접근, 내부 권한·키 관리 부실, 대량 조회·추출 행위에 대한 탐지·차단 미흡 등 애플리케이션 및 인프라 전반의 접근통제와 이상행위 모니터링 부족이 구조적 문제로 드러났습니다.
• 또한, 6월 24일부터 장기간 외부 서버를 통한 비인가 접근이 있었음에도 수 개월간 이를 탐지하지 못한 점이 사고 확대의 중요한 배경으로 지적되었습니다.

 

5. 대응

• 쿠팡은 비인가 접근 사실을 인지한 뒤 관련 세션·토큰을 차단하고, 해당 경로를 통한 추가 접근을 차단하는 기술적 조치를 시행했다고 밝혔습니다.
• 개인정보보호위원회, 한국인터넷진흥원 등 관계 기관에 사고를 신고하고, 단계적으로 피해 범위를 확장·정정하면서 유출·노출 가능성이 있는 고객들에게 개별 공지(메일·앱 알림 등)를 발송하였습니다.
• 전직 내부자를 상대로 형사 고소를 진행했고, 경찰은 개인정보 유출 혐의로 수사에 착수하여 유출 규모가 3000만 건 이상이라는 잠정 판단을 내린 상태입니다.

 

6. 문제점

• 처음에는 약 4500개 계정, 이후 수십만(16만 5000개) 계정, 최종적으로는 3370만 개 계정까지 피해 규모가 계속 확대·정정되면서 “축소 발표 및 투명성 부족” 논란이 크게 제기되었습니다.
• 해외 서버를 통한 장기간 비인가 접근을 제때 탐지하지 못한 점, 내부자가 보안 키를 이용해 대량 조회를 할 수 있었던 구조는 대형 플랫폼 사업자의 기본 보안·권한 관리 체계가 심각하게 취약했다는 방증으로 평가되고 있습니다.
• 이름·이메일·전화번호·주소·주문 정보 등은 스미싱, 피싱, 맞춤형 사기, 계정 탈취 시도 등에 매우 유용하게 활용될 수 있어, 단순 “정보 노출”을 넘어 광범위한 2차 피해 가능성이 우려되고 있습니다.
• 수사기관 발표(3000만 건 이상)와 회사 측 설명 사이에 괴리가 존재해, 이용자와 규제당국의 신뢰 회복을 위해선 향후 보다 철저한 투명성 확보, 재발 방지 대책, 내부자 통제 강화, 장기 로그·모니터링 체계 개선이 필수적이라는 지적이 이어지고 있습니다.
  ​