이름, 주소, 전화번호, 주문내역까지 털렸는데 안심하라니...5개월간 해킹 몰랐던 쿠팡, 역대 최대 규모 개인정보 유출
<이미지 : 고객의 이해를 돕고자 AI 생성>
핵심 요약
- 쿠팡 고객 계정 3370만개 개인정보 무단 유출 확인
- 이름, 이메일, 배송지 주소, 전화번호, 주문정보 등 유출
- 6월 24일부터 5개월간 해킹 진행됐으나 쿠팡은 11월 18일에야 인지
- 쿠팡 "결제정보와 로그인 정보는 안전" 해명에 고객 분노
- 정부, 민관합동조사단 구성해 원인 분석 착수
"전 고객 털렸다"...사실상 모든 고객 정보 유출
국내 최대 이커머스 업체 쿠팡에서 3370만개 고객 계정의 개인정보가 유출되는 초대형 해킹 사고가 발생했다. 11월 29일 쿠팡이 공식 발표한 이 수치는 최초 인지 시점에 밝힌 4500개 계정의 7500배에 달하는 규모로, 사실상 쿠팡 전체 고객의 정보가 털린 것으로 분석된다.
쿠팡의 3분기 기준 활성 고객 수가 2470만명임을 감안하면, 이번 유출 계정 수는 현재 이용자는 물론 과거 이용자까지 포함된 것으로 추정된다. 역대 최대 규모의 개인정보 유출 사고로, 올해 4월 발생한 SK텔레콤 유심 해킹 사태(2300만명)를 넘어서는 수치다.
유출된 정보 상세 내역
| 구분 |
유출 여부 |
상세 내용 |
| 기본 개인정보 |
유출 |
이름, 이메일 주소 |
| 연락처 정보 |
유출 |
전화번호 |
| 배송지 정보 |
유출 |
배송지 주소록(입력된 이름, 전화번호, 주소) |
| 주문 정보 |
유출 |
최근 5건의 주문 이력 |
| 결제 정보 |
미유출 |
신용카드 번호, 결제 정보 |
| 로그인 정보 |
미유출 |
비밀번호, 로그인 인증 정보 |
"결제정보 안전하니 안심하라"...이게 안심할 일인가?
쿠팡은 고객들에게 "결제 정보와 신용카드 번호, 로그인 정보는 포함되지 않았고 안전하게 보호되고 있다"며 "별도 계정 조치를 취할 필요는 없다"고 안내했다. 그러나 이 같은 해명에 고객들의 분노가 폭발하고 있다.
유출된 정보로 가능한 범죄 유형
- 스미싱/피싱 - 이름, 주소, 주문내역을 활용해 실제 주문처럼 위장한 사기 문자
- 보이스피싱 - 실제 개인정보를 언급하며 신뢰를 얻어 금전 요구
- 택배 사칭 - 실제 주문 정보를 활용한 배송 관련 사기
- 명의 도용 - 개인정보 조합을 통한 2차 범죄
- 다크웹 거래 - 유출 정보 판매 및 범죄 집단에 악용
보안 전문가들은 결제정보가 유출되지 않았다는 것만으로 안심할 수 없다고 경고한다. 이름, 주소, 전화번호, 최근 주문 내역 등은 정교한 피싱 공격에 활용될 수 있는 핵심 정보다. 실제로 범죄자들이 "OOO님, 11월 25일 주문하신 상품 배송 지연으로 확인이 필요합니다"와 같이 실제 정보를 활용해 신뢰를 얻으면, 피해자는 진짜 쿠팡 연락으로 오인할 수 있다.
"결제정보가 안전하다고 해서 안심하라는 건 앞뒤가 안 맞는 소리다. 내 이름, 집 주소, 전화번호, 뭘 샀는지까지 다 털렸는데 그게 안심할 일인가? 피싱 문자 한 통이면 끝이다."
- 온라인 커뮤니티 이용자 반응
5개월간 해킹 몰랐다...쿠팡의 부실한 보안 관리
이번 사고에서 더 큰 문제는 쿠팡의 대응이다. 쿠팡에 따르면 해킹은 6월 24일부터 해외 서버를 통해 진행됐지만, 쿠팡이 이를 인지한 것은 11월 18일로, 무려 5개월간 해킹이 진행되는 동안 전혀 감지하지 못했다.
| 일자 |
주요 내용 |
| 6월 24일 |
해외 서버를 통한 무단 접근 시작 (추정) |
| 11월 6일 |
무단 접근 발생 (액세스 토큰 악용) |
| 11월 18일 |
고객 민원으로 침해 사실 최초 인지 (12일 지연) |
| 11월 19일 |
경찰청, KISA, 개인정보보호위 신고 |
| 11월 20일 |
피해 고객에게 첫 안내 문자 발송 (4500건) |
| 11월 29일 |
3370만건 유출 공식 발표 |
| 11월 30일 |
민관합동조사단 구성 |
더욱 충격적인 것은 쿠팡이 스스로 해킹을 발견한 것이 아니라 고객의 민원을 통해 알게 됐다는 점이다. 정보통신망법은 사업자가 침해사고를 인지하면 24시간 이내 당국에 신고하도록 규정하고 있지만, 쿠팡은 사고 발생 후 열흘이 넘도록 이를 파악하지 못했다.
쿠팡의 반복되는 개인정보 유출 사고
쿠팡이 개인정보 유출 사고로 물의를 빚은 것은 이번이 처음이 아니다. 쿠팡은 지난 수년간 크고 작은 개인정보 유출 사고를 반복해왔다.
| 시기 |
사고 내용 |
피해 규모 |
| 2021년 |
쿠팡이츠 배달원 개인정보 음식점에 유출 |
13만 5000명 |
| 2023년 1월 |
다크웹 해킹 포럼에서 고객정보 거래 의혹 |
46만건 |
| 2023년 |
판매자 시스템 인증 오류로 고객 주문정보 유출 |
2만 2000명 |
| 2025년 11월 |
해외 서버 통한 대규모 해킹 |
3370만건 |
개인정보보호위원회는 2021년과 2023년 사고에 대해 쿠팡에 총 15억 8865만원의 과징금과 과태료를 부과한 바 있다. 그러나 반복되는 사고에도 쿠팡의 보안 체계는 근본적으로 개선되지 않은 것으로 보인다.
고객 반응: "탈퇴 및 앱 삭제 완료"
이번 사태에 대한 고객들의 반응은 분노 그 자체다. SNS와 온라인 커뮤니티에서는 "피해보상하고 유출시킨 직원 처벌하라", "쿠팡 탈퇴 및 앱 삭제 완료" 등의 부정적 반응이 쏟아지고 있다.
특히 고객들이 가장 분노하는 부분은 쿠팡의 안일한 대응이다. 최초 4500건을 발표한 후 불과 11일 만에 7500배 늘어난 3370만건으로 수정한 점, 5개월간 해킹을 감지하지 못한 점, "결제정보는 안전하니 별도 조치가 필요 없다"는 해명 등이 고객들의 불신을 키우고 있다.
정부 대응: 민관합동조사단 구성
과학기술정보통신부와 개인정보보호위원회는 11월 30일 민관합동조사단을 구성해 본격적인 조사에 착수했다. 과기정통부는 "대규모 유출 및 추가 국민 피해 발생 우려 등 사안의 중대성을 고려해 민관합동조사단을 구성하고 사고 원인 분석 및 재발방지 대책을 마련할 계획"이라고 밝혔다.
개인정보위는 이미 11월 20일과 29일 두 차례에 걸쳐 쿠팡으로부터 유출 신고를 접수받아 조사를 진행 중이다. 법 위반 사항이 확인될 경우 과징금 부과 등 엄중한 처분이 예상된다.
쿠팡 이용자가 지금 당장 해야 할 일
- 쿠팡 사칭 문자/전화 주의 - 실제 주문 정보를 활용한 피싱 시도 가능성
- 비밀번호 변경 - 쿠팡과 동일한 비밀번호를 사용하는 다른 사이트 비밀번호 변경
- 2단계 인증 활성화 - 금융앱, 주요 서비스에 2단계 인증 설정
- 명의도용방지서비스 가입 - 카카오뱅크, 금융결제원 등에서 무료 제공
- 이상 금융거래 모니터링 - 통장, 카드 거래내역 수시 확인
- 118 상담 - 2차 피해 발생 시 한국인터넷진흥원(118) 연락
"이번 일로 인해 발생한 모든 우려에 대해 진심으로 사과드린다. 고객 여러분께서 쿠팡을 사칭하는 전화, 문자 메시지 또는 기타 커뮤니케이션에 주의해주시기를 당부한다."
- 쿠팡 공식 입장문
전문가 분석: 결제정보 미유출이 면죄부가 될 수 없다
보안 전문가들은 쿠팡의 "결제정보는 안전하다"는 해명이 고객들에게 면죄부가 될 수 없다고 지적한다. 유출된 정보만으로도 정교한 사회공학적 공격이 가능하며, 특히 이름, 주소, 전화번호, 최근 구매 내역이 함께 유출된 경우 피싱 성공률이 크게 높아진다.
실제로 유출된 개인정보는 다크웹에서 거래되어 보이스피싱, 스미싱, 명의도용 등 다양한 범죄에 악용될 수 있다. 2023년 기준 개인정보 불법 유통 탐지 건수는 17만 9138건으로 전년 대비 10.7% 증가했으며, 이번 대규모 유출로 추가 피해가 우려되는 상황이다.
올해만 해도 SK텔레콤 유심 해킹, KT·LG유플러스 보안 사고, 롯데카드·예스24·넷마블 등 민간기업, 심지어 정부 부처까지 연이은 보안 사고가 발생하면서 국민들의 불안감은 극에 달해 있다. 이러한 상황에서 쿠팡의 안일한 대응은 불난 집에 기름을 끼얹는 격이라는 비판이 나온다.
박예현 기자
2025년 11월 30일
Copyright (c) 2025 깨알소식. 무단 전재 및 재배포 금지.
