2025.06.24 쿠팡 정보유출 사고 정리

 
1. 개요

• 쿠팡은 2025년 11월 18일 제3자의 비인가 접근을 통해 고객 계정 정보가 조회된 사실을 확인하였습니다. 
• 쿠팡은 11월 20일 공식 입장문을 통해 이 사실을 대외적으로 공개하였으며, 사건 발생으로부터 2일 만에 외부에 알렸다고 밝혔습니다. 
• 그러나 후속 조사 결과 11월 29일 피해 규모가 당초 발표했던 약 4,500개 계정에서 약 3,370만 개 계정으로 대폭 확대된 것으로 확인되었습니다. 
• 이는 사실상 쿠팡 전체 고객의 개인정보가 유출된 것으로, 국내 전체 인구의 약 3명 중 1명에 해당하는 규모입니다.​

 

2. 피해범위

• 초기에는 약 4,500명의 고객이 비인가 접근으로 인한 정보 조회 대상이 된 것으로 확인되었습니다. 
• 그러나 후속 조사를 통해 약 3,370만 개의 고객 계정이 무단으로 노출된 것으로 최종 확인되었습니다. 
• 이는 쿠팡의 활성 고객 수(약 2,470만 명)보다 많은 수치로, 최근 구매 이력이 없는 고객이나 탈퇴한 고객의 정보까지 모두 유출된 것으로 추정됩니다. 
• 정부 조사 결과, 공격자가 쿠팡 서버의 인증 취약점을 악용하여 정상적인 로그인 없이 3,000만 개 이상의 고객 계정 정보에 접근한 것으로 확인되었습니다.​

 

3. 유출항목

 - 노출된 정보는 다음과 같습니다.

• 고객 이름(성명)
• 이메일 주소
• 전화번호
• 배송지 주소(주소록)
• 최근 5건의 주문 이력(일부 계정)

 

 - 쿠팡 측 입장

• 결제 정보, 신용카드 번호, 로그인 관련 정보(패스워드)에 대한 접근은 없었다고 밝혔습니다.
• 다만 개인정보보호위원회 조사 결과에 따르면, 배송지 정보에는 회원뿐만 아니라 가족과 지인, 수령인의 주소 정보가 포함되었으며, 공동현관 비밀번호 등 일부 추가 정보도 함께 유출된 것으로 확인되었습니다.
• 또한 해외 직구 시 필요한 개인통관번호도 주문 정보에 포함되어 있는 것으로 지적되었습니다.​

 

4. 원인

 - 쿠팡 입장

• "제3자가 비인가 접근을 통해" 고객 정보를 조회했다고 설명하였으나, 초기에는 구체적인 원인과 접근 경로에 대해 상세하게 공개하지 않았습니다.​
• 정부 조사 결과, 공격자가 쿠팡 서버의 인증 취약점을 악용하여 정상적인 로그인 없이 고객 정보를 유출한 것으로 확인되었습니다.
• 한국인터넷진흥원에 제출된 신고서에 따르면, 기존 로그인 사용자에게 발급되는 "서명된 액세스 토큰"을 악용하여 인증을 우회한 것으로 추정됩니다.​

 

 - 경찰 수사 결과

• 쿠팡에 근무했던 중국 국적의 전 직원이 정보를 유출한 것으로 추정되고 있습니다.
• 해당 직원은 2024년 12월에 회사를 퇴사한 것으로 확인되었으며, 업계 관계자들은 해당 직원이 개인정보 접근 프로세스를 개발한 IT 개발자일 가능성이 높다고 보고 있습니다.
• 해당 직원은 이미 퇴사하여 한국을 떠나 중국에 체류 중인 것으로 알려져 수사에 난항이 예상되고 있습니다.​

 

 - 협박 메일 발송

• 더욱 주목할 점은 유출 정보를 빼돌린 후 해당 중국인 직원이 쿠팡 고객과 쿠팡 고객센터에 협박성 이메일을 보낸 사실입니다.
• 협박 메일은 한 명이 아니라 다수의 고객에게 발송된 것으로 확인되었으며, 메일에는 "당신의 개인정보를 가지고 있다"는 취지의 협박이 담겨있었습니다.
• 쿠팡 고객센터에 도착한 협박 메일에는 "보안을 강화하지 않으면 유출 사실을 언론에 알리겠다"는 취지의 내용이 담겨있었으며, 별도의 금전 요구는 없었던 것으로 파악됐습니다.​​

 

 - 인증 관리자 직책 및 부실 관리

• 국회 과학기술정보방송통신위원회 최민희 위원장이 쿠팡으로부터 제출받은 자료에 따르면, 해당 중국인 직원은 인증 업무 담당자(인증 관리자)였던 것으로 확인되었습니다.
• 인증 관리자에게 발급되는 액세스 토큰의 유효 인증키가 5~10년의 장기간 동안 방치된 것으로 분석되었습니다.
• 특히 직원이 2024년 12월에 퇴사한 후에도 쿠팡 측이 인증키를 회수하거나 폐기하지 않고 1년 가까이 방치한 것으로 추측되고 있습니다.​

 

5. 대응

 - 쿠팡의 즉각적인 조치는 다음과 같습니다.

• 11월 18일 비인가 접근을 감지한 직후 제3자가 사용했던 접근 경로를 즉시 차단하였습니다
• 11월 20일 피해 고객들에게 개별 공지를 완료하였습니다
• 모니터링을 지속적으로 강화하고 있습니다
• 과학기술정보통신부, 한국인터넷진흥원, 개인정보보호위원회에 신고하였습니다
• 11월 25일 서울경찰청 사이버수사대에 고소장을 제출하였습니다​​
• 독립적인 보안기업 전문가를 영입하였습니다​

 

 - 박대준 쿠팡 대표이사

• 11월 30일 정부서울청사에서 공개 사과하였으며, 쿠팡 홈페이지에도 사과문을 게재하였습니다.
• 박 대표는 "국민 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과드린다"며 "민관합동조사단에 최대한 적극적으로 협조하겠다"고 밝혔습니다.​​

 

 - 개인정보보호위원회

• 12월 3일 긴급 전체회의를 개최하여 쿠팡의 대응 조치가 미흡했다고 지적했습니다.
• 위원회는 쿠팡이 피해자들에게 "개인정보 노출"이라는 표현으로 안내했으나, 이를 "개인정보 유출"로 정정하여 재통지하도록 명령했습니다.
• 또한 배송지 명단 등 모든 유출된 고객을 통지 대상에 포함시키고, 공동현관 비밀번호를 포함한 모든 유출 항목을 정확히 반영하도록 지시했습니다.
• 위원회는 쿠팡에 7일 이내에 조치 결과를 제출하도록 명령했습니다.​
• 개인정보보호위원회는 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재할 방침입니다.

 

 - 과학기술정보통신부

• 정부는 11월 30일 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 긴급 관계부처 장관회의를 개최하고, 민관합동조사단을 구성하여 사고 원인 분석 및 재발 방지 대책 마련에 나섰습니다.
• 정부 조사 과정에서 국가 차원의 해킹 공격 가능성도 열어두고 있습니다.
• 경찰은 중국 공안 당국과의 국제 공조를 통해 정보 유출자 검거에 나서는 한편, 쿠팡으로부터 서버 로그 기록을 임의제출 받아 개인정보 유출 경로를 분석 중입니다.​​
• 정부는 3개월 동안 다크웹을 포함한 인터넷상의 개인정보 불법 유통을 집중 감시하기로 하였습니다.
• 또한 정부는 국가안보실을 중심으로 한 컨트롤타워 체계에서 2차 종합대책을 12월 중 발표할 예정이며, 내년부터는 부처 간 공조 체계를 강화하여 불법 유통 탐지·차단·삭제 체계를 고도화하겠다고 밝혔습니다.​

 

6. 문제점

 - 반복되는 개인정보 유출 문제

• 쿠팡은 2021년 쿠팡이츠에서 배달원 약 13만 5,000명의 개인정보 유출, 2023년에는 판매자 시스템에서 약 2만 2,440명의 주문자 및 수취인 개인정보 유출이 발생하였습니다.
• 또한 2023년 3월에는 고객 46만 건의 개인정보가 다크웹에서 거래되는 사건도 있었습니다.​
  개인정보보호위원회는 2024년 11월 28일 2021년과 2023년의 유출 사고와 관련하여 쿠팡에 총 15억 8,865만 원의 과징금을 부과하였습니다. 
• 당시 조사에서 쿠팡이 2019년 정책 변경 이후에도 배달원 개인정보를 계속해서 제3자에게 제공했으며, 유출 사실을 발견했을 때 24시간 내 신고 의무를 이행하지 않았다는 점이 적발되었습니다.​
• 더욱 심각한 것은 쿠팡이 2021년 3월과 2024년 3월 두 차례에 걸쳐 국가 인증 제도인 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 받았음에도 불구하고, 인증 이후에만 4차례의 개인정보 유출 사고를 낸 것으로 확인되었습니다. 
• 이에 따라 ISMS-P 인증 제도의 실효성에 대한 의문이 제기되고 있습니다.​

 

 - 보안 관리 체계 미흡

• 침해 사고는 2025년 11월 6일 오후 6시 38분에 발생한 것으로 보고되었으나, 쿠팡이 이를 인지한 시점은 11월 18일 오후 10시 52분으로 무려 12일이 지나서였습니다.
• 더욱이 고객 정보 탈취 시도는 2025년 6월 24일부터 시작된 것으로 추정되어, 약 5개월 동안 고객 정보가 무단으로 노출되었을 가능성이 제기되었습니다.
• 이에 대해 국회 의원들은 "138일 동안 동일 유형 개인정보 조회가 반복됐는데 임계치 아래라서 몰랐다는 건 사실상 탐지 시스템이 없다는 뜻"이라며 "내부자 위협을 전제로 한 보안 설계 자체가 빠져 있었다"고 비판했습니다.​​
• 국회 의원들은 쿠팡의 보안 관리 체계에 대해 "사실상 탐지 시스템이 없다", "내부자 위협을 전제로 한 보안 설계 자체가 빠져 있었다", "퇴사자 관리·키 관리·탐지 체계가 각자도생 형태로 운영돼 온 것은 내부 통제 붕괴"라고 규정하였습니다.
• 또한 국회에서는 "이 정도 대규모 유출이면 다크웹에서 국민 정보가 거래될 가능성이 매우 높다"며 우려를 표명했습니다.​
• 이번 사고에서 쿠팡이 침해 사실을 12일 동안 인지하지 못했고, 실제 정보 탈취는 6월 24일부터 약 5개월간 지속되었을 가능성이 있다는 점에서 쿠팡의 보안 관리 체계에 대한 근본적인 문제가 지적되고 있습니다. 
• 특히 인증키 유효기간을 5~10년으로 장기간 방치하여 직원 퇴사 후에도 삭제하거나 갱신하지 않은 점은 가장 기본적인 내부 보안 절차조차 지키지 않은 것으로 평가됩니다.​​

 

 - IT 인력 구성에 대한 지적

• 직장인 커뮤니티 '블라인드'에 올라온 내부 폭로에 따르면, 쿠팡 IT 인력의 절반 이상이 중국 국적자이며, 현재 매니저급의 90% 이상이 중국 국적이라는 주장이 제기되었습니다.
• 해당 글 작성자는 "이번 사태도 무분별하게 중국인들을 데려다 쓴 결과"라며 "예견된 사고"라고 지적했습니다.​

 

 - 피해 축소 안내

• 더불어 쿠팡은 사태 초기에 피해 사실을 "개인정보 노출"로 축소하여 고객들에게 안내하였으며, 홈페이지에 단기간(1~2일)만 공지하고 공동현관 비밀번호 등 일부 유출 항목을 누락하여 국민에게 혼선을 초래한 것으로 지적받았습니다.
• 개인정보보호위원회는 이를 경고 수준의 시정 조치로 지시했으며, 이를 이행하지 않을 경우 향후 제재 시 영향을 미칠 수 있을 것으로 예고했습니다.​
• 소비자들은 구체적인 피해 보상 대책이 없다는 점과 국제 공조 수사의 어려움, 그리고 쿠팡 페이 등 간편결제 서비스를 통한 2차 사기 피해 우려 등에 대해 불만을 표출하고 있습니다.