<이미지 : 기사의 이해를 돕기 위해 AI 생성>
중국 타오바오서 '쿠팡 한국 계정' 버젓이 판매…5000원~4만원에 거래
3370만 명 정보 유출 후 중국 이커머스·중고거래 플랫폼서 계정 거래 정황...2차 피해 우려 증폭
박예현 기자 | 2025년 12월 3일
핵심 요약
- 중국 타오바오몰에서 쿠팡 한국 계정 23~188위안(약 5000원~4만원)에 거래
- 중국판 당근마켓 '시엔위'에서도 유사 거래 등장...계정당 5000원~5만원
- 쿠팡 측 "이번 정보 유출 사태와 무관" 주장, 전문가는 "2차 피해 우려" 경고
- 3370만 명 개인정보 유출, SK텔레콤 피해 규모(2300만 명) 크게 상회
- 정부 "1조원대 과징금 가능"...민관합동조사단 본격 조사 착수
국내 이커머스 1위 쿠팡에서 3370만 명의 고객 정보가 유출된 가운데, 중국의 주요 온라인 쇼핑 플랫폼과 중고거래 사이트에서 '쿠팡 한국 계정'이 버젓이 판매되고 있는 정황이 포착됐다.
3일 정치권에 따르면 중국 최대 전자상거래 플랫폼 타오바오몰에서는 판매자들이 쿠팡 한국 계정을 상시 판매 중이다. 판매자들은 약 320위안(약 6만 원)을 지불하면 3일 이내 계정을 제공하고, 8만 원을 내면 24~48시간 내 발급, 10만 원을 송금하면 즉시 발급이 가능하다고 안내하고 있다.
아울러 중국판 '당근마켓'으로 불리는 중고거래 플랫폼 시엔위에서도 유사한 거래가 등장한 것으로 알려졌다. 한 판매자는 상품 구매에 제약이 있는 계정은 약 5000원, 일반적으로 사용 가능한 계정은 약 5만 원에 판매한다고 설명했다. 최근 한국에서 발생한 대규모 개인정보 유출 사고와 관련이 있는지 묻는 질문에는 "문제없는 깨끗한 계정"이라고 답변하고 있는 것으로 전해졌다.
국회 현안질의서 계정 판매 실태 공개
김장겸 국민의힘 의원은 2일 국회 과학기술정보방송통신위원회(과방위) 긴급 현안질의에서 중국 이커머스인 타오바오 등에서 쿠팡 계정이 판매되고 있다고 밝혔다. 김 의원에 따르면 타오바오 등에서 쿠팡 한국인 계정을 23~183위안에 거래한다는 글이 올라왔다.
김 의원은 "로그인이 가능한 계정이 거래되는 수준이라면 로그인 정보가 유출된 것 아니냐"고 지적했다. 23위안은 한화 약 4800원이다.
| 플랫폼 |
판매 가격 |
특징 |
| 타오바오몰 |
23~188위안 (약 5000원~4만원) |
즉시발급~3일 소요 |
| 시엔위(중국판 당근) |
5000원~5만원 |
제약 유무에 따라 차등 |
| 기타 중국 플랫폼 |
320위안(약 6만원)~ |
빠른 발급에 프리미엄 |
쿠팡 측 "이번 사건과 무관"...전문가 "2차 피해 우려"
쿠팡 측은 중국에서의 계정 판매가 이번 정보 유출 사태와 무관하다고 주장했다. 브랫 매티스 쿠팡 최고정보보호책임자(CISO)는 "해당 사례는 구체적으로 알지 못한다"면서도 "다크웹에서는 이커머스 계정을 여러 방식으로 탈취하거나 위조 계정을 판매하는 경우가 있다. 클라이언트 쿠키 정보를 이용해 계정을 가져가는 방식도 있다"고 설명했다.
박대준 쿠팡 대표도 "이번 정보망 침해 방식은 쿠팡 계정이나 로그인 정보를 이용한 형태가 아니다"라며 선을 그었다. 그는 "만약 로그인 계정이 실제 탈취됐다면 굳이 쿠팡 계정을 돈 주고 팔 이유가 있나 하는 의문이 든다"고 답했다.
김승주 | 고려대 정보보호대학원 교수
"쿠팡 측은 아이디·인증토큰이 유출돼 거래된 게 아니라고 하지만, 내부자 관리가 느슨해 아이디·비밀번호가 유출됐다면 그런 시나리오도 가능하다. 호텔 방 키(액세스 토큰)를 발급하는 비밀번호(서명 키)를 내부 개발자가 갖고 나간 셈이다."
김 의원이 "박 대표는 2차 피해가 없다고 했지만 김승주 교수 말대로라면 2차 피해 우려가 있는 것 아니냐"고 재차 질의하자, 박 대표는 "(2차 피해) 가능성을 부정하는 건 아니다"라고 답했다.
유출된 개인정보 항목
→ 고객 이름, 이메일 주소
→ 배송지 주소록(수령인 이름·전화번호·주소)
→ 일부 주문 정보
→ 결제 정보, 신용카드 번호, 로그인 정보는 유출되지 않았다고 쿠팡 측 주장
5개월간 침입 몰랐다...퇴사자 '마스터키' 회수 안 해
이번 유출 사태의 핵심은 허술한 내부 관리 체계다. 쿠팡은 6월 24일부터 11월 8일까지 약 5개월간 지속된 비정상적 접근을 전혀 파악하지 못했다. 200여 명의 보안 인력을 갖추고도 기본적인 내부 통제가 무너진 것이다.
국회 과방위 최민희 위원장(더불어민주당) 분석에 따르면, 이번 유출사고는 퇴사자 인증키를 퇴사 즉시 수거하지 않고 방치한 데 원인이 있는 것으로 알려졌다. 직원이 퇴사하면 회사 내부 데이터나 서버, 네트워크에 접근하지 못하도록 권한을 수거해야 하는데 그렇지 못한 것이 화근이 된 것이다.
쿠팡 측은 "내부 프라이빗 사이닝 키(서명 키)가 유출됐으며 이 키로 서명된 위조 액세스 토큰으로 API 인증이 가능해졌다"고 시인했다. 공격자가 훔친 서명 키로 직접 출입증(토큰)을 발급해 정상적인 사용자인 척 시스템을 드나든 것이다.
| 일자 |
주요 경과 |
| 6월 24일 |
해외 서버 통한 비정상적 접근 시작 (쿠팡 인지 못함) |
| 11월 6일 |
비인가 무단 접근 발생 기록 |
| 11월 18일 |
고객 민원으로 유출 사실 최초 인지 (4500개 계정) |
| 11월 19일 |
침해사고 신고 |
| 11월 29일 |
피해 규모 3370만 개 계정으로 확대 확인 |
| 11월 30일 |
정부 민관합동조사단 구성 |
용의자는 중국인 전 직원...이미 출국해 수사 난항
이번 사태의 유력 용의자는 중국 국적의 전 직원으로 알려졌다. 해당 직원은 인증 시스템을 개발하는 개발자였으며, 사건 발생 직후 한국을 떠나 중국으로 귀국한 상태다. 이미 퇴사 처리된 것으로 파악됐다.
핵심 인물이 해외에 체류 중이라는 사실이 드러나면서 수사에 난항이 예상된다. 인터폴 적색수배는 가능하지만, 중국은 자국민을 타국으로 보내지 않는 관행(자국민 불인도 원칙)이 강해 신병 확보가 사실상 불가능하기 때문이다.
SK텔레콤 vs 쿠팡 유출 규모 비교
→ SK텔레콤: 약 2300만 명 (유심 정보 해킹, 2025년 4월)
→ 쿠팡: 약 3370만 명 (내부자 소행 추정, 2025년 11월)
→ 쿠팡 유출 규모가 SK텔레콤의 약 1.5배, 전 국민의 65% 수준
'1조원대 과징금' 가능성...ISMS-P 인증도 무용지물
정부는 쿠팡에 대해 역대 최대 수준의 과징금을 부과할 것으로 예상된다. 현행 개인정보보호법에 따르면 전체 매출액의 3%까지 과징금을 부과할 수 있다. 쿠팡의 지난해 매출이 약 41조 원인 만큼, 최대 1조 2000억 원까지 과징금이 부과될 수 있다는 계산이 나온다.
이정렬 개인정보보호위원회 부위원장은 "기존 처분은 작았다고 생각한다. 실정에 맞게 비례해 엄중하게 책임을 물을 방법을 적극 검토하겠다"며 역대급 과징금 제재를 예고했다.
쿠팡은 ISMS-P를 비롯해 총 7개의 보안 인증을 보유하고 있다. 그러나 이번 사태로 인증 제도 자체가 실효적 예방책이 되지 못한다는 지적이 나온다. SK텔레콤, KT, 롯데카드 등 과거 개인정보 유출 사고가 발생한 기업 다수가 ISMS-P 인증을 받았기 때문이다.
이재명 | 대한민국 대통령
"사고 원인을 조속하게 규명하고 엄중하게 책임을 물어야 한다. 피해 규모가 약 3400만 건으로 방대하기도 하지만, 처음 사건이 발생하고 5개월 동안이나 회사가 유출 자체를 파악하지 못했다는 것이 참으로 놀랍다. 이 정도인가 싶다."
스미싱·보이스피싱 2차 피해 주의보
정부는 이번 사고를 악용한 스미싱·보이스피싱 등 2차 피해 발생을 경고하고 있다. 한국인터넷진흥원(KISA)은 "'피해보상', '피해사실 조회', '환불' 등 키워드를 활용한 피해기업 사칭 스미싱 유포 및 피해보상 안내를 빙자한 보이스피싱 등 피싱 시도가 예상된다"고 경고했다.
금융위원회와 금융감독원도 소비자경보 '주의' 단계를 발령했다. 유출된 정보를 바탕으로 정부기관이나 금융회사를 사칭해 피해자에게 접근할 가능성이 높다고 경고했다.
소비자 피해 예방 수칙
→ 발신자 불분명한 문자메시지의 URL 절대 클릭 금지
→ '피해보상', '환불' 등 안내 문자에 포함된 링크 주의
→ 원격제어 앱 설치 요구하는 전화 즉시 차단
→ 카카오톡 '보호나라' 채널에서 스미싱·피싱 확인서비스 이용
→ 여신거래 안심차단, 비대면 계좌개설 안심차단 서비스 가입 권장
→ 쿠팡 비밀번호 변경 및 등록된 결제 카드 삭제 권고
집단소송 움직임...소비자 불만 폭발
소비자들 사이에서는 집단소송 움직임까지 등장했다. 온라인 커뮤니티에서는 "개인적으로 대응하면 제대로 보상받기 어렵기에 집단으로 움직여야 한다"며 "정식으로 소송 절차에 들어가서 쿠팡 측에 피해 보상 책임을 요구하려 한다"는 글이 올라오고 있다.
'탈팡(쿠팡 회원 탈퇴)' 움직임도 나타나고 있다. 다만 쿠팡의 경우 탈퇴를 위해 거쳐야 하는 까다로운 과정에 불만이 커지고 있다. 일부 전문가는 쿠팡의 시장 지배력이 워낙 강해 실제 고객 이탈은 제한적일 것으로 전망하기도 한다.
쿠팡은 3일 열린 국회 정무위원회 현안질의에서 3370만 명의 개인정보 유출 사고가 공개된 지 나흘 만에 처음으로 피해자 보상에 나서겠다고 밝혔다. 구체적인 보상 방안은 아직 발표되지 않았다.
염흥열 | 순천향대 정보보호학과 교수
"이번 사고는 규모도 남다르지만 2차 피해가 발생할 가능성이 있다는 점도 우려스럽다. 스미싱이나 보이스피싱, 물리적 접근에 의한 범죄 가능성이 있어 경각심을 가져야 한다. 주소의 경우 지인·가족에게 보내기 위해 두 개 이상의 배송지 정보를 입력하는 경우도 있어 피해 규모가 더욱 클 수 있다."
이번 쿠팡 사태는 단순한 개인정보 유출을 넘어 한국 기업들의 내부자 보안 관리 체계에 근본적인 문제를 제기하고 있다. 7개의 보안 인증을 보유하고 200명의 보안 인력을 갖추고도 5개월간 침입을 감지하지 못했다는 점은 기술적 방어 체계만으로는 한계가 있음을 보여준다.
특히 중국 이커머스 플랫폼에서 한국인 계정이 공공연히 거래되는 정황은 유출된 개인정보가 이미 해외에서 조직적으로 악용되고 있을 가능성을 시사한다. 정부의 강력한 제재와 함께 기업들의 내부 통제 시스템 재점검이 시급한 상황이다.
깨알소식 박예현 기자
Copyright (c) 2025 깨알소식. All rights reserved. 무단 전재 및 재배포 금지.
