규모가 너무 커서 실감이 안됐다. 3,755만 명이라는 숫자도 그렇고, 6,246억 원이라는 과징금도 그렇다. 이번 사건은 외부 공격자가 기술 취약점을 우연히 발견한 게 아니라, 내부 사정을 잘 아는 전직 직원이 퇴사 전에 챙겨둔 키를 가지고 반 년 넘게 조용히 긁어간 사건이었다.
개요
개인정보보호위원회(이하 개인정보위)는 2026년 6월 10일 전체회의를 열고, 쿠팡에 과징금 6,246억 8,100만 원과 과태료 1,680만 원을 부과하기로 의결했다. 국내에서 개인정보 유출 및 관련 위반 행위에 대해 매긴 과징금 중 사상 최대 액수다. 쿠팡풀필먼트서비스(CFS)에도 별도로 2억 4,800만 원의 과징금이 부과됐다.
전직 쿠팡 직원이었던 해커는 쿠팡의 여러 서비스 페이지에 접근해 총 3,322만 명의 회원 개인정보와 최소 433만 명의 비회원 개인정보를 유출한 것으로 파악됐다. 합산하면 약 3,755만 명 규모다.
어떻게 뚫렸나?
공격 경위가 꽤 구체적으로 밝혀졌다. 해커는 쿠팡 재직 시절 '대체 인증' 시스템을 직접 개발한 사람이었고, 2024년 말 퇴사 후 자신이 개발한 대체 인증 시스템의 서명키를 악용해 2025년 4월부터 11월까지 개인정보를 대량 유출했다.
순서를 따라가 보면 이렇다. 해커는 2025년 1월 25일 95개 계정에 대해 위조 인증토큰을 생성한 후 범행을 시작했다. 이건 사전 테스트였다. 이후 본격적인 대량 수집으로 넘어간다. 4월 14일부터 6월 25일까지 배송지 관리 페이지에 약 1억 4,800만 회 접근해 이름, 전화번호, 주소 등을 탈취했다. 회원번호를 순차적으로 증가시키며 유효한 계정을 추려낸 뒤, 그 목록을 가지고 회원정보 수정 페이지까지 접근해 이름과 이메일 주소를 추가로 가져갔다. 마지막 단계에서는 공동현관 비밀번호와 주문 정보까지 챙겼다.
그러니까 유출된 항목은 이름, 이메일 주소, 전화번호, 주소, 공동현관 비밀번호(마스킹), 주문정보까지 포함된다. 해커는 이 정보들을 조합해 회원별 프로필을 재구성하고, 샘플 데이터를 첨부한 협박 메일을 회원과 쿠팡 양쪽에 발송했다. 2차 협박 메일에는 성인용품, 속옷 구매 내역 같은 민감한 정보도 샘플로 포함돼 있었다.
개인정보위 보도자료는 이 사고의 핵심 원인을 "인증 서명키 관리 및 접근통제 소홀 등 기본적인 안전관리 체계 미흡"으로 정리했다. 퇴사한 직원이 가져간 서명키가 수개월 동안 실제로 작동하고 있었다는 뜻이다. 탐지도 쿠팡이 먼저 한 게 아니라, 해커가 보낸 협박 메일을 받은 고객의 민원을 통해 처음 인지했다.
유출 외에 드러난 것들
개인정보위는 유출 사고 조사에 이어 납치광고, 취업제한 목록 등과 관련된 쿠팡의 추가 침해 소지도 들여다봤다. 여기서 몇 가지가 더 나왔다.
첫째, 쿠팡이 다른 업체 사이트나 앱에 접속한 회원 약 1,117만 명의 온라인 활동기록을 무단으로 수집해 DB에 저장해온 사실이 확인됐다. 쿠팡 광고가 게재된 외부 웹·앱에서 회원을 식별해 방문 URL, 앱 이름, 접속 일시, 접속 IP 등을 수집한 것이다. 쿠팡 측은 개인정보가 아니라고 주장했지만, 개인정보위는 해당 정보가 회원번호·기기 식별자와 결합·저장됐고 실제 조회도 이뤄진 만큼 개인정보에 해당하며 수집 의도가 없었다고 볼 수 없다고 판단했다.
둘째, 납치광고 문제다. 이용자 의사에 반해 쿠팡 서비스 이용기록이 수집되도록 한 광고 파트너를 적절히 관리·감독하지 않은 사실이 함께 확인됐다. 개인정보위 보도자료에 따르면 적발된 광고 파트너 중 계정 해지 대상임에도 현재까지 활동 중인 경우가 있었고, 일부에는 적발 이후에도 추가 수수료가 지급된 정황도 있었다.
셋째, 계열사인 CFS 관련 건이다. 물류센터에 근무한 이력이 없는 경찰청 출입기자단 71명의 명단을 수집해 취업제한 목록에 등록·관리한 것은 개인정보 수집·이용 위반으로, '임직원 건강 관리' 목적으로 보유하던 임직원의 체중 정보를 산업재해 관련 소송 과정에서 법원에 제출한 것은 민감정보 처리 위반으로 판단됐다.
과징금이 6,246억이나 나온 이유
참고로 개인정보위가 같은 맥락에서 앞서 처분한 사례로, 2022년 9월 이용자 동의 없이 타사 행태정보를 수집한 구글·메타에 대해 과징금 약 1,000억 원 및 시정명령을 부과한 바 있다. 이번 쿠팡 건은 그보다 훨씬 크다. 개인정보위 보도자료에 따르면, 쿠팡 파트너스 운영 목적이 이용자 유입 및 이커머스 매출 증대에 있다는 점, 쿠팡 이용자의 개인정보를 무단 수집·처리한 점을 고려해 온라인 쇼핑 매출액 전체를 기준 매출액으로 산정했다. 다만 쿠팡이츠·쿠팡플레이 등 독립적인 매출액은 제외했고, ISMS-P 취득·유지 등 개인정보 보호 노력을 감경 요소로 참작했다.
쿠팡이 과징금 처분에 불복하며 행정소송을 예고한 만큼 실제 피해 구제 과정은 진통이 예상된다. 개인정보분쟁조정위원회는 쿠팡을 상대로 제기된 집단분쟁조정 신청 사건 2건을 단일 사건으로 병합해 조정 절차를 재개했다.
사용자가 할 수 있는 것
유출된 개인정보 항목에는 비밀번호나 결제정보는 포함되지 않았다. 그래도 이름·전화번호·주소·주문정보 조합이면 정교한 피싱이나 보이스피싱에 악용되기 충분하다. 개인정보위 시정명령에는 비회원 정보주체 대상 유출 통지 실시도 포함돼 있는데, 배송지에만 포함된 비회원이라면 유출 통지는 못 받았을 수 있다.
개인정보보호위원회가 운영하는 '털린 내 정보 찾기' 서비스(kidc.eprivacy.go.kr)에서 이메일을 입력하면 다크웹 유통 여부를 확인할 수 있다. 유출 항목 중 로그인 비밀번호 자체는 없었지만, 이름·전화번호·주소 조합만으로도 타깃 피싱 공격이 훨씬 쉬워진다. 쿠팡에서 다른 서비스와 동일한 비밀번호를 쓰고 있다면 변경하는 게 맞고, 맞춤형 광고 관련 마케팅 동의도 이 기회에 한 번 확인해볼 만하다. 개인정보위의 시정명령에 따라 쿠팡은 타사 웹·앱 맞춤형 광고에 대한 동의를 쉽게 철회할 수 있도록 조치할 예정이라고 밝혔다.
이 사건이 남기는 가장 불편한 질문은 결국 이거다. 퇴사자의 서명키가 수개월 동안 유효했다는 건 퇴사 처리 과정에 접근권 회수 절차가 제대로 작동하지 않았다는 뜻이다. 기술이 부족한 게 아니라, 기본이 안되어 있었다.
※ 참고자료 : 개인정보위, 쿠팡 및 계열사의개인정보 유출 및 침해 제재처분 의결 / 개인정보보호위원회
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=12171
'privacy > 국내' 카테고리의 다른 글
| [privacy] 마이데이터 동의 화면 (1) | 2026.05.25 |
|---|---|
| [privacy] 가명정보와 익명정보, 헷갈리는 이유 (0) | 2026.05.17 |
| [privacy] 사후 처벌에서 사전 예방으로 (0) | 2026.05.16 |
| [privacy] 동의서에 저렇게까지 써야 하나 싶었던 문구들 (0) | 2026.05.08 |
| [privacy] 처리방침의 '제3자 제공'과 '위탁' (0) | 2026.04.21 |