<이미지 : 기사의 이해 돕고자 AI 생성>
쿠팡의 역대 최대 규모 개인정보 유출 사태가 소상공인들에게 직격탄이 되고 있다. 고객 3370만 명의 정보가 유출되면서 '탈팡(쿠팡 탈퇴)' 움직임이 확산되자, 쿠팡을 주요 판로로 삼던 소상공인들의 매출이 30~90%까지 급감하는 사례가 속출하고 있다.
4일 업계에 따르면 쿠팡 입점 판매자의 75%를 차지하는 소상공인들이 매출 감소로 생계 위기에 몰리고 있다. 온라인 자영업자 커뮤니티에는 "온라인 매출의 70%가 쿠팡인데 주문이 30% 줄었다", "일 매출의 90%가 쿠팡인데 갑자기 끊겼다"는 호소가 잇따르고 있다.
핵심 포인트
- 역대 최대 규모 - 3370만 명 정보 유출, SK텔레콤(2324만) 넘어
- 소상공인 직격탄 - 매출 30~90% 급감, 생계 기반 흔들림
- '탈팡' 확산 - 소비자 불매 운동, 계정 탈퇴 러시
- 쿠팡 의존도 심각 - 입점 판매자 75% 소상공인, 23만 명, 12조원 거래
- 판매자 계정 보안 우려 - 영업 정보 전반 노출 가능성
- 과징금 1조원 전망 - SK텔레콤(1348억) 넘어설 예상
- 집단 소송 준비 - 소상공인연합회, 피해 보상 요구
3370만 명 정보 유출…전 국민 65% 피해, 5개월간 미탐지
쿠팡은 지난달 29일 고객 계정 약 3370만 개에서 고객명, 이메일, 전화번호, 주소, 일부 주문 내역 등이 유출됐다고 공지했다. 전 국민의 65%에 해당하는 규모다. 2011년 싸이월드·네이트 사태(3500만 명)와 맞먹고, 올해 4월 SK텔레콤 사태(2324만 명)를 훨씬 뛰어넘는 역대급 규모다.
더 충격적인 것은 유출 시점이다. 과학기술정보통신부 조사 결과 공격자가 올해 6월 24일부터 쿠팡 서버의 인증 취약점을 악용해 정상 로그인 없이 고객 정보를 대량으로 조회·유출한 것으로 확인됐다. 쿠팡은 5개월 동안 이 사실을 전혀 인지하지 못했다.
쿠팡은 당초 11월 19일 개인정보보호위원회에 4536개 계정 유출을 신고했다가, 열흘 뒤 피해 규모를 3370만 개로 정정하며 혼란을 키웠다. 쿠팡의 활성 고객 수(2470만 명)보다 많은 수치로, 탈퇴 회원을 포함해 쿠팡을 한 번이라도 이용한 거의 모든 사람의 정보가 유출된 것으로 분석된다.
| 구분 | 내용 |
|---|---|
| 유출 규모 | 3370만 계정 (전 국민의 65%) |
| 유출 정보 | 이름, 이메일, 전화번호, 주소, 일부 주문 내역, 공동현관 비밀번호 일부 |
| 유출 기간 | 2025년 6월 24일부터 약 5개월간 |
| 최초 신고 | 2025년 11월 19일 (4536개 계정으로 축소 신고) |
| 정정 발표 | 11월 29일 (3370만 개로 대폭 증가) |
| 유출 방법 | 서버 인증 취약점 악용, 정상 로그인 없이 대량 조회 |
| 내부 연루 의혹 | 중국 국적 전직 직원 관련 의혹 (경찰 수사 중) |
"온라인 매출 90%가 쿠팡인데"…소상공인 아우성
개인정보 유출 사태 이후 소비자들의 '탈팡' 움직임이 빠르게 확산되면서 쿠팡 입점 소상공인들이 직격탄을 맞고 있다. 온라인 자영업자 커뮤니티에는 피해 호소가 줄을 잇고 있다.
한 소상공인은 "온라인 매출의 70%가 쿠팡에서 발생하는데, 개인정보 유출 이후 주문이 30% 줄었다"며 "이번 사태는 입점 판매자 생계에도 직격탄"이라고 토로했다. 또 다른 판매자는 "일 매출의 90%가 쿠팡인데 갑자기 끊겼다"며 절박함을 호소했다.
충청권의 한 신선식품 판매업체는 "이번 사태 이후 소량 주문이 확연히 줄었다"며 "낮은 단가 물량은 소비심리 영향을 바로 받는다"고 말했다. 광고비가 소진되지 않을 정도로 조회수가 급감했다는 사례도 나온다.
| 피해 사례 | 내용 |
|---|---|
| 매출 30% 감소 | "온라인 매출 70%가 쿠팡인데 주문이 30% 줄었다" |
| 매출 90% 급감 | "일 매출의 90%가 쿠팡인데 갑자기 끊겼다" |
| 광고비 미소진 | "광고비가 소진되지 않을 정도로 조회수 급감" |
| 신선식품 타격 | "소량 주문 확연히 줄어, 단가 낮은 물량 직격탄" |
| 장기화 우려 | "지금은 버티고 있지만 장기화되면 생계 기반 흔들림" |
쿠팡 의존도 심각…입점 판매자 75% 소상공인
쿠팡과 거래하는 소상공인은 2023년 기준 약 23만 명에 달하며, 거래 규모는 약 12조 원이다. 쿠팡 2025 임팩트 리포트에 따르면 입점 판매자 중 중소상공인 비중은 75%에 달한다. 쿠팡이 소상공인의 사실상 생명줄인 셈이다.
문제는 대체 판로를 찾기 어렵다는 점이다. 네이버쇼핑, 11번가, G마켓 등 다른 플랫폼도 있지만, 쿠팡의 배송 인프라와 고객 기반을 단기간에 대체하기는 쉽지 않다. 한 입점 판매자는 "지금은 매출 변화를 실시간으로 확인하며 버티고 있을 뿐"이라며 "쿠팡이 판매자 보호 대책을 명확히 제시해야 한다"고 요구했다.
업종별로는 구매 주기가 짧은 식료품이나 쿠팡이츠 입점 업체의 피해가 가장 크다. 반면 패션·화장품처럼 구매 주기가 긴 업종은 아직 뚜렷한 변동이 나타나지 않고 있지만, 소비자 불안이 쌓이면 언제든 주문량이 흔들릴 수 있다는 우려가 크다.
| 구분 | 현황 |
|---|---|
| 소상공인 파트너 | 약 23만 명 (2023년 기준) |
| 중소상공인 비중 | 입점 판매자의 75% |
| 거래 규모 | 약 12조 원 (2023년) |
| 큰 타격 업종 | 식료품, 신선식품, 쿠팡이츠 입점 업체 (구매 주기 짧음) |
| 영향 적은 업종 | 패션, 화장품 (구매 주기 긴 편, 직매입 구조) |
| 대체 판로 | 네이버쇼핑, 11번가, G마켓 등 있으나 단기 전환 어려움 |
판매자 계정 보안 우려…영업 정보 전반 노출 위험
소상공인들이 가장 우려하는 부분은 판매자 계정 보안이다. 유출된 고객 정보를 조합해 판매자 계정으로 접근할 경우, 단순 개인정보를 넘어 사업 운영의 핵심 데이터가 한꺼번에 노출될 수 있기 때문이다.
쿠팡 판매자 계정에 로그인하면 사업자 정보, 매출·정산 리포트, 상품 등록·관리, 광고 집행 내역, 고객 CS·반품 데이터, 세금계산서, 판매자 페널티·품질 관리 현황, 로켓·마켓플레이스 판매 성과 등 사실상 영업 내역 전반을 조회할 수 있다.
사업자등록번호, 대표자 정보, 사업장 주소, 통신판매 신고 정보까지 포함돼 있어 경쟁업체나 범죄 조직이 악용할 소지도 크다는 지적이다. 쿠팡은 "판매자 계정은 고객 계정과 분리된 별도 시스템에서 운영되고 있어 이번 유출 건과 관련이 없다"고 밝혔지만, 소상공인들의 불안감은 쉽게 가라앉지 않고 있다.
판매자 계정 노출 시 유출 가능 정보
- 사업자 정보 - 사업자등록번호, 대표자 정보, 사업장 주소, 통신판매 신고 정보
- 매출·정산 데이터 - 일별/월별 매출, 정산 내역, 수수료 정보
- 상품 관리 - 등록 상품, 재고 현황, 가격 정책, 프로모션 전략
- 마케팅 정보 - 광고 집행 내역, 광고비 지출, 키워드 전략
- 고객 대응 - CS 이력, 반품·환불 데이터, 고객 클레임
- 성과 분석 - 판매 순위, 품질 관리 현황, 페널티 이력
소상공인연합회 "매출 피해 보상하라"…집단소송 준비
소상공인연합회는 최근 이틀 연속 대책 회의를 열고 쿠팡 정보 유출 대응 방안을 논의했다. 연합회는 쿠팡에 판매자 계정 보안 상태를 공식적으로 확인하고, '탈쿠팡'에 따른 매출 피해를 파악해 보상 대책을 마련하라고 촉구했다.
연합회는 "쿠팡이 소상공인의 주요 판로이자, 입점 판매자의 약 75%가 소상공인인 만큼 플랫폼 리스크를 최소화할 책임이 있다"며 "매출 손실과 추가 피해를 줄이기 위해 보안 시스템 전반을 재점검하고, 실질적인 지원책을 내놓아야 한다"고 강조했다.
연합회는 실제 2차 피해가 발생할 경우 입점 소상공인과 개인정보가 유출된 소상공인을 모아 원고인단을 꾸려 집단 소송에 나서겠다는 방침이다. 소상공인 단체 관계자는 "충청권에서도 고객 이탈 조짐이 감지되고 있다"며 "소상공인은 대체 판로가 쉽지 않기 때문에 피해가 눈덩이처럼 불어날 수 있다"고 경고했다.
박대준 대표 사과…"피해 보상 적극 검토"
박대준 쿠팡 대표는 11월 30일 정부서울청사에서 열린 긴급 관계부처 장관회의에 참석해 공개 사과했다. 박 대표는 "국민께 큰 불편과 걱정을 끼쳐 죄송하다"며 "보안 시스템을 개선하고 추가 피해를 예방하겠다"고 밝혔다.
12월 3일 국회 과학기술정보방송통신위원회 현안 질의에서 박 대표는 "피해자에 대해서는 (보상을) 적극적으로 검토하겠다"고 약속했다. 1조 원대 과징금 부과 가능성에 대해서는 "저희의 책임을 회피할 생각은 없다"고 답변했다.
그러나 구체적인 피해 내용과 보상 기준, 시기 등은 밝히지 않아 소비자와 소상공인들의 불만이 이어지고 있다. 박 대표는 "피해 범위와 유출 내용을 명확히 확정하고 재발방지 대책을 마련한 뒤 합리적 보상 방안을 수립할 것"이라고만 설명했다.
"국민께 큰 불편과 걱정을 끼쳐 죄송하다. 보안 시스템을 개선하고 추가 피해를 예방하겠다. 피해자에 대한 보상은 적극적으로 검토하겠다. 저희의 책임을 회피할 생각은 없다." - 박대준 쿠팡 대표
과징금 최대 1조원 전망…SK텔레콤 넘어설 듯
쿠팡에 부과될 과징금 규모에도 관심이 쏠리고 있다. 2023년 개정된 개인정보보호법에 따르면 개인정보 유출 시 전체 매출액의 최대 3%까지 과징금을 부과할 수 있다. 올해 3분기까지 쿠팡 매출은 36조 3094억 원으로, 여기에 3%를 적용하면 약 1조 원에 달한다.
과징금 산정 시에는 정보 유출 사고와 직접 관련이 없는 매출을 제외한다. 쿠팡의 경우 대만, 쿠팡플레이, 쿠팡이츠 등 성장 사업 부문 매출을 제외하면 약 31조 원으로 추산되며, 여기에 3%를 적용해도 9000억 원이 넘는다.
올해 4월 SK텔레콤은 2324만 명의 개인정보 유출로 개인정보보호위원회로부터 역대 최대 과징금인 1348억 원을 부과받았다. 쿠팡의 유출 규모가 SK텔레콤보다 1000만 명 이상 많은 데다, 5개월간 사고를 인지하지 못한 점이 '안전조치 의무 위반'으로 해석되어 과징금이 더 커질 것으로 예상된다.
| 구분 | SK텔레콤 (2025.4) | 쿠팡 (예상) |
|---|---|---|
| 유출 규모 | 2324만 명 | 3370만 명 |
| 유출 정보 | 전화번호, IMSI, 유심 인증키 등 25종 | 이름, 이메일, 전화번호, 주소, 주문 내역 등 |
| 미탐지 기간 | - | 5개월 |
| 과징금 | 1348억 원 (역대 최대) | 최대 1조 원 전망 |
| 법적 근거 | 개인정보보호법 제64조의2 (매출액의 최대 3%) | |
보안 투자 부족 지적…매출 대비 0.2% 불과
전문가들은 이번 사태의 근본 원인으로 쿠팡의 낮은 보안 투자를 지목하고 있다. 한국투명성기구에 따르면 쿠팡의 정보보호 투자액은 2024년 기준 매출 대비 약 0.2% 수준에 불과하다. 이는 네이버·KT(0.4%), 카카오·SK텔레콤(0.7%)보다 낮은 수치다.
글로벌 기업과 비교하면 격차는 더 크다. 아마존은 매출 대비 약 1.0~1.4%를, 중국 알리바바는 약 1.5%를 보안 및 데이터 컴플라이언스에 투입하는 것으로 알려졌다. 쿠팡은 글로벌 동종 업계의 5분의 1 수준만 투자한 셈이다.
한국인터넷진흥원(KISA) 자료를 보면 쿠팡의 정보보호 투자액은 올해 890억 원으로 증가했지만, IT 투자 대비 비중은 오히려 감소했다. 2022년 7.1%에서 2023년 6.9%, 2024년 5.6%로 낮아졌고, 올해는 4.6%에 불과하다. 매출은 급증했지만 보안 투자는 따라가지 못한 것이다.
| 기업 | 매출 대비 보안 투자 비중 |
|---|---|
| 쿠팡 | 0.2% |
| 네이버 | 0.4% |
| KT | 0.4% |
| 카카오 | 0.7% |
| SK텔레콤 | 0.7% |
| 아마존 | 1.0~1.4% |
| 알리바바 | 약 1.5% |
김범석 의장 책임론…"권한-책임 비대칭" 비판
쿠팡의 지배구조 문제도 도마 위에 올랐다. 김범석 쿠팡 의장은 막강한 지배력을 보유하면서도 한국 법인 등기이사에서 물러나 국내 법적 책임 전면에 서지 않는 구조를 유지해 왔다. 매출 대부분이 한국에서 발생함에도 주요 의사결정은 해외 법인을 통해 이뤄지고, 사고 때는 국내 경영진만 등장하는 방식이다.
한국투명성기구는 "이는 전형적인 권한-책임 비대칭 사례"라며 "김범석 의장이 사태 책임과 재발 방지 대책을 직접 설명해야 한다"고 촉구했다. 국회에서도 김범석 의장 증인 출석 요구가 나왔지만, 박대준 대표는 "제가 현재 이 사건에 대해 전체 책임을 지고 있다"며 "한국 법인 대표로서 끝까지 책임을 지고 사태를 해결하도록 최선의 노력을 하겠다"고 답변했다.
참여연대는 "미국기업 쿠팡은 미국에서 사업을 했어도 이렇게 허술하게 개인정보를 관리했겠는가"라며 "기업들의 허술한 개인정보 관리와 반복되는 대규모 유출사태에 대해 강력히 규탄한다"고 비판했다.
'탈팡' 확산…2차 피해 우려도 커져
개인정보 유출 이후 온라인상에서는 쿠팡 회원 탈퇴 방법이 빠르게 공유되고 있으며, 직접 탈퇴를 인증하는 게시글도 확산되고 있다. 소셜미디어에는 쿠팡 탈퇴 인증 게시물이 줄을 잇고 있다. "딸, 쿠팡 탈퇴 버튼은 대체 어디 있는 거니?"라는 글이 화제가 될 정도로 탈퇴 절차의 복잡함에 대한 불만도 쏟아지고 있다.
비정상 로그인 시도 알림, 해외 결제 승인 문자, 스미싱 메시지 수신 등 이른바 '2차 피해' 사례도 잇따르면서 소비자들의 불안감은 더욱 커지고 있다. 유출된 정보에는 공동현관 비밀번호까지 일부 포함된 것으로 확인돼, 주거 침입 범죄에 악용될 가능성도 제기되고 있다.
정부는 소비자들에게 결제 정보 삭제, 비밀번호 변경, 의심스러운 문자·이메일 주의 등 안전 조치를 권고하고 있다. 개인정보보호위원회는 "실제 금전 피해가 입증되지 않아도 법정손해배상제도(개인정보보호법 제39조의2)를 통해 최대 300만 원까지 배상을 청구할 수 있다"고 안내했다.
소비자 안전 대응 수칙
- 비밀번호 즉시 변경 - 쿠팡과 동일한 비밀번호 사용 사이트 모두 변경
- 결제 정보 삭제 - 저장된 카드 정보 삭제, 간편결제 해제
- 의심 문자 주의 - 쿠팡 사칭 스미싱, 보이스피싱 각별히 주의
- 로그인 이력 확인 - 비정상 접속 시도 발견 시 즉시 신고
- 2차 피해 발생 시 - 증거 확보 후 경찰 신고, 법정손해배상 청구 가능 (최대 300만 원)
전문가 "구조적 문제…반복된 사고 경영진 책임"
전문가들은 이번 사태를 단순 보안 사고가 아닌 구조적 문제로 진단하고 있다. 한국투명성기구 차경훈 정책위원은 "5개월간 대량 유출이 지속됐음에도 탐지하지 못한 탐지의 실패, 인증을 보유하고 있었으나 기본 통제가 부실한 형식적인 ISMS-P 운영, 매출 대비 0.2% 수준의 낮은 보안 투자가 문제"라며 "이번 사태는 단일 기술 오류가 아니라 경영진의 인식 부족과 비용 우선 의사결정 속에서 발생한 예견된 인재(人災)"라고 지적했다.
쿠팡은 이번이 네 번째 개인정보 유출 사고다. 2020년부터 총 네 차례 유출 사고가 발생했지만, 과거 세 차례 사고로 부과된 과징금은 합계 16억 원에 불과했다. 전문가들은 "낮은 제재 수준이 반복적 사고를 초래했다"며 "이번 사태를 계기로 최고 수준의 법적 제재를 부과해 다시는 이런 일이 발생하지 않도록 해야 한다"고 강조했다.
이호택 계명대 경영학과 교수는 "시스템상 직원들도 쉽게 접근할 수 없는 장치를 구축해야 했는데 이를 느슨하게 관리했다는 점에서 기업 책임 문제가 인정될 가능성이 크다"며 "(미국 기업인) 쿠팡이 향후 수익 비중이 가장 높은 한국 사업을 지속하기 위해서라도 국내 선두 사업자 위치에서 이번 사태 책임에 걸맞은 배상금을 책정하는 것이 최우선 과제"라고 말했다.
소상공인들 "쿠팡, 책임 있는 조치 보여야"
소상공인들은 쿠팡이 소비자 피해 보상뿐만 아니라 판매자 매출 손실에 대한 지원책도 내놓아야 한다고 목소리를 높이고 있다. 한 입점 판매자는 "쿠팡 말고 팔 곳도 없는데 매출이 반토막 났다"며 "플랫폼 사고로 인한 피해를 판매자에게만 떠넘기는 것은 부당하다"고 토로했다.
소상공인연합회 관계자는 "충청권에서도 고객 이탈 조짐이 감지되고 있다"며 "소상공인은 대체 판로가 쉽지 않기 때문에 피해가 눈덩이처럼 불어날 수 있다. 쿠팡은 책임 있는 조치를 보여야 한다"고 강조했다.
쿠팡이 이번 사태를 어떻게 수습하느냐에 따라 소상공인들의 생계는 물론, 한국 이커머스 생태계 전반에 큰 영향을 미칠 것으로 보인다. 전문가들은 "단순히 과징금을 부과하는 것을 넘어, 기업들이 개인정보 보호에 충분한 투자를 하도록 유도하는 근본적인 제도 개선이 필요하다"고 조언하고 있다.
