<이미지 - 기사 이해 차원 AI 생성>
경찰이 3370만 명의 개인정보를 유출한 쿠팡에 대해 전격적인 강제수사에 나섰다. 서울경찰청 사이버수사과는 9일 오전 총경급 과장 등 17명을 투입해 서울 송파구 쿠팡 본사 사무실을 압수수색했다. 그동안 임의제출 방식으로 자료를 받아왔지만, 범행의 전모를 파악하는 데 한계가 있다고 판단해 강제수사로 전환한 것이다.
경찰은 이번 압수수색을 통해 확보한 디지털 증거를 바탕으로 개인정보 유출자, 유출 경로 및 원인 등 사건의 전반적인 사실관계를 종합적으로 규명할 방침이다. 쿠팡이 고객 정보를 처리하는 과정에서 불법성이나 과실이 있었는지 철저히 조사한다는 계획이다. 국내 성인 4명 중 3명의 정보가 유출된 사상 최대 규모의 개인정보 유출 사건에 대한 본격 수사가 시작됐다.
핵심 포인트
- 강제수사 돌입 - 서울경찰청, 쿠팡 본사 압수수색 (12월 9일 오전)
- 대규모 투입 - 사이버수사과장 등 전담수사팀 17명 투입
- 유출 규모 - 3370만 명 (국내 성인 4명 중 3명)
- 수사 전환 - 임의제출→강제수사, 디지털 증거 확보
- 조사 대상 - 유출자·유출 경로·원인 등 전반적 사실관계
- 불법성 검토 - 정보처리 과정의 불법성·과실 여부 규명
- 집단 소송 - 민변·참여연대 등 집단분쟁조정 신청
- 예상 처벌 - 매출 3% 벌금, 최대 1조원대 추정
총경급 17명 투입…쿠팡 본사 전격 압수수색
서울경찰청 사이버수사과는 9일 오전 언론 공지를 통해 "최근 발생한 쿠팡 개인정보 유출 사건과 관련해 쿠팡 개인정보유출사건 전담수사팀장 등 17명을 투입해 현재 쿠팡 본사 사무실에 대한 압수수색을 실시하고 있다"고 밝혔다.
경찰은 이번 압수수색이 사건을 정확히 파악하기 위한 필수적인 조치라고 설명했다. 경찰 관계자는 "확보된 디지털 증거 등을 바탕으로 개인정보 유출자, 유출 경로 및 원인 등 사건의 전반적인 사실관계를 종합적으로 규명할 예정"이라고 말했다.
경찰은 그간 서울지방경찰청에 쿠팡 개인정보 유출 관련 전담 수사팀을 구성해 수사를 진행해왔다. 지난달 28일에는 쿠팡을 상대로 고소인 조사를 진행했고, 쿠팡으로부터 서버 로그기록 등을 임의제출 받아 개인정보가 유출된 경위 등을 살펴왔다.
| 구분 | 내용 |
|---|---|
| 압수수색 시점 | 2025년 12월 9일 오전 |
| 압수수색 장소 | 서울 송파구 쿠팡 본사 사무실 |
| 투입 인력 | 사이버수사과장(총경급) 등 17명 |
| 확보 자료 | 디지털 증거, 하드디스크, 내부 문건 |
| 조사 목표 | 유출자·유출 경로·원인 등 사실관계 규명 |
| 이전 수사 | 임의제출 방식 (서버 로그기록 등) |
임의제출로 한계…강제수사로 전환한 이유
경찰이 그동안 쿠팡으로부터 서버 로그기록 등을 임의제출 받아 분석해왔음에도 강제수사로 자료 확보에 나선 것은 쿠팡 측 제공 자료로는 범행의 전모를 파악하는 데 한계가 있다고 판단했기 때문으로 보인다.
쿠팡은 그동안 경찰 조사에 협조적인 태도를 보이며 자료를 임의제출해왔다. 하지만 경찰은 쿠팡이 제공한 자료만으로는 정보 유출의 정확한 경위와 책임 소재를 밝히기 어렵다고 보고, 보다 강력한 수사 방식으로 전환한 것으로 풀이된다.
특히 경찰은 이번 압수수색을 통해 확보한 하드디스크와 내부 문건을 분석해 쿠팡이 고객 정보를 처리하는 과정에서 불법성이나 과실이 있었는지 규명할 계획이다. 보안 투자 부족, 내부 통제 미흡 등 구조적 문제가 있었는지도 철저히 살펴본다는 방침이다.
강제수사 전환 배경
- 임의제출의 한계 - 쿠팡 제공 자료로는 범행 전모 파악 어려움
- 디지털 증거 필요 - 서버 로그 외 내부 문건·하드디스크 확보 필요
- 정확한 경위 규명 - 유출 경로와 책임 소재 명확히 밝혀야
- 구조적 문제 검토 - 보안 투자·내부 통제 미흡 여부 조사
- 불법성·과실 확인 - 정보처리 과정의 법 위반 사항 점검
3370만명 정보 유출…국내 성인 4명 중 3명
쿠팡은 현재까지 고객 계정 약 3370만 개가 유출된 것을 확인했다. 이는 국내 성인 4명 중 3명의 정보에 해당하며, 사실상 쿠팡 전체 계정에 맞먹을 것으로 추정된다. 쿠팡의 활성 이용자가 약 2470만 명인 점을 감안하면, 과거 탈퇴한 계정까지 포함해 거의 모든 고객 정보가 유출됐다고 볼 수 있다.
유출된 정보는 이름, 이메일 주소, 배송지 주소록(입력한 이름, 전화번호, 주소), 일부 주문 정보로 확인됐다. 쿠팡은 결제 정보, 신용카드 번호, 로그인 정보는 포함되지 않았다고 주장했으나, 정부 현안질의에서 일부 공동현관 비밀번호 유출 사실은 뒤늦게 인정했다.
이번 유출 사건은 2025년 6월 24일부터 시작됐으며, 5개월간 탐지되지 않았다. 쿠팡이 11월 19일 처음 신고했을 때는 4536개 계정이라고 발표했다가, 10일 뒤인 11월 29일 3370만 개로 정정했다. 초기 발표와 743배나 차이 나는 규모로, 쿠팡의 사태 파악 능력에 대한 의구심을 키웠다.
| 항목 | 내용 |
|---|---|
| 유출 규모 | 3370만 계정 (국내 성인 65% 수준) |
| 유출 기간 | 2025년 6월 24일~11월 중순 (약 5개월) |
| 유출 정보 | 이름, 이메일, 전화번호, 주소, 주문내역, 일부 현관 비밀번호 |
| 최초 발표 | 4536개 계정 (11월 19일) |
| 정정 발표 | 3370만 개 (11월 29일, 743배 증가) |
| 활성 이용자 | 2470만 명 (유출은 과거 탈퇴 계정 포함) |
용의자는 중국인 전직 직원?…경찰 수사 중
경찰과 개인정보보호위원회는 전직 직원으로 알려진 중국인 남성을 용의자로 지목하고 수사를 진행 중이다. 해당 인물은 서버 인증 취약점을 악용해 정상적인 로그인 절차 없이 대량으로 정보에 접근한 것으로 추정된다.
쿠팡은 이 인물이 이미 퇴사한 상태였으며, 현재 경찰 조사를 받고 있다고 밝혔다. 하지만 퇴사한 직원이 왜 5개월간 시스템에 접근할 수 있었는지, 내부 접근 권한 관리는 제대로 이뤄졌는지에 대한 의문이 제기되고 있다.
일각에서는 용의자가 중국인이라는 점에서 중국 정부나 조직과의 연관성을 의심하는 목소리도 나온다. 하지만 경찰은 현재까지 개인 범행으로 보고 수사 중이며, 배후 세력 여부는 추가 조사가 필요하다는 입장이다.
보안 투자 미흡 논란…매출 대비 0.2% 불과
쿠팡의 보안 투자 부족이 이번 사태의 근본 원인이라는 비판이 쏟아지고 있다. 쿠팡은 2024년 매출 대비 0.2%만을 정보보안에 투자한 것으로 나타났다. 이는 네이버·KT의 0.4%, 카카오·SK텔레콤의 0.7%에 비해 크게 낮은 수준이다.
글로벌 기업과 비교하면 격차는 더욱 벌어진다. 아마존은 매출의 1.0~1.4%, 알리바바는 1.5%를 보안에 투자하는 것으로 알려졌다. 쿠팡의 보안 투자 비율은 글로벌 경쟁사의 5분의 1에서 7분의 1 수준에 불과한 셈이다.
더욱 심각한 것은 쿠팡의 IT 투자 비율이 해마다 감소하고 있다는 점이다. 2022년 7.1%였던 IT 투자 비율은 2023년 6.9%, 2024년 5.6%로 떨어졌고, 2025년에는 4.6%까지 하락했다. 매출은 40조 원대로 성장했지만, 보안 투자는 오히려 줄어든 것이다.
| 기업 | 보안 투자 비율 | 비고 |
|---|---|---|
| 쿠팡 | 0.2% | 매출 대비 (2024년) |
| 네이버·KT | 0.4% | 쿠팡의 2배 |
| 카카오·SK텔레콤 | 0.7% | 쿠팡의 3.5배 |
| 아마존 | 1.0~1.4% | 쿠팡의 5~7배 |
| 알리바바 | 1.5% | 쿠팡의 7.5배 |
민변·참여연대 집단소송 준비…"사죄와 보상 촉구"
민주사회를 위한 변호사모임(민변) 민생경제위원회, 참여연대, 한국소비자연맹 관계자들은 3일 서울 송파구 쿠팡 본사 앞에서 '3370만 개인정보 유출 사태 집단분쟁조정신청 돌입 기자회견'을 열고 쿠팡의 사죄와 피해보상·보호대책 마련을 촉구했다.
시민단체들은 쿠팡이 고객 정보를 제대로 보호하지 못한 책임을 통감하고, 피해자들에게 실질적인 보상을 해야 한다고 주장했다. 개인정보보호법 제39조의2에 따르면, 실제 재산상 손해를 입증하지 않아도 1인당 최대 300만 원까지 법정손해배상을 청구할 수 있다.
3370만 명 전체가 1인당 300만 원을 청구할 경우, 총 배상액은 약 101조 원에 달한다. 물론 실제로는 소송 참여율과 법원의 판단에 따라 배상 규모가 달라지겠지만, SK텔레콤 개인정보 유출 사건(2312만 명)에서 최소 5조 원대 보상이 예상되는 점을 고려하면 쿠팡의 배상 부담은 막대할 것으로 보인다.
| 구분 | 내용 |
|---|---|
| 집단소송 주체 | 민변·참여연대·한국소비자연맹 |
| 법적 근거 | 개인정보보호법 제39조의2 (법정손해배상) |
| 배상 한도 | 1인당 최대 300만원 (손해 입증 불필요) |
| 최대 배상액 | 약 101조원 (3370만명 × 300만원) |
| 참고 사례 | SK텔레콤 (2312만명, 예상 5조원) |
과징금 최대 1조원 예상…SK텔레콤 기록 넘을 듯
개인정보보호법에 따르면 과징금은 매출액의 3%까지 부과할 수 있다. 쿠팡의 2024년 한국 사업 매출이 약 31조 원인 점을 고려하면, 최대 1조 원 가까운 과징금이 부과될 수 있다.
이는 2025년 4월 SK텔레콤이 받은 1348억 원(2312만 명 유출)을 크게 넘어서는 규모다. 쿠팡의 유출 규모가 SK텔레콤보다 1000만 명 이상 많고, 5개월간 탐지하지 못한 '안전조치 의무 위반'까지 더해지면 가중 처벌이 불가피할 것으로 보인다.
개인정보보호위원회는 현재 쿠팡에 대한 조사를 진행 중이며, 조사 결과에 따라 과징금 규모가 결정될 전망이다. 업계에서는 쿠팡이 사상 최대 규모의 과징금을 물게 될 것으로 예상하고 있다.
예상 처벌 규모
- 과징금 - 매출의 최대 3%, 약 1조원 예상 (SK텔레콤 1348억원의 7배)
- 민사 배상 - 1인당 최대 300만원, 총 101조원 (실제는 소송 참여율 따라 변동)
- 가중 요인 - 5개월 미탐지, 초기 축소 발표, 보안 투자 미흡
- SK텔레콤 대비 - 유출 규모 1.5배, 과징금은 7배 이상 예상
"탈퐁" 움직임 확산…소상공인 매출 30~90% 급감
개인정보 유출 사태 이후 쿠팡에서 탈퇴하는 '탈퐁' 움직임이 확산되고 있다. 소셜미디어에는 쿠팡 계정 삭제 인증샷이 쏟아지고 있으며, "탈퇴 버튼이 어디 있느냐"는 불만도 이어지고 있다.
쿠팡에 입점한 소상공인들의 피해는 더욱 심각하다. 온라인 판매의 75%를 쿠팡에 의존하던 소상공인들은 매출이 30~90% 급감하는 직격탄을 맞았다. 특히 신선식품을 판매하는 업체들은 구매 주기가 짧아 타격이 즉각 나타났고, 패션·화장품 업체들도 향후 매출 감소를 우려하고 있다.
쿠팡 소상공인연합회는 긴급 회의를 열고 쿠팡에 판매자 계정 보안 현황 확인, 매출 피해 실태 조사, 보상 방안 마련 등을 요구했다. 만약 2차 피해가 발생하면 집단소송을 조직하겠다는 입장이다.
쿠팡 "2차 피해 없어"…그러나 불안 여전
쿠팡은 7일 추가 공지를 통해 "새로운 정보 유출은 확인되지 않았다"며 "다만 유출된 정보를 악용한 2차 피해 가능성이 있으니 주의해달라"고 당부했다. 비정상적인 로그인 시도, 해외 결제 승인, 스미싱 메시지 등을 조심하라는 것이다.
박대준 쿠팡 대표는 3일 기자회견에서 "대만에서 사용하는 패스키(Passkey) 인증 방식을 한국에 서둘러 도입하겠다"며 "결제 정보는 유출되지 않았다"고 강조했다. 패스키는 비밀번호 없이 생체 인증이나 PIN으로 로그인하는 방식으로, 보안성이 높다는 평가를 받는다.
하지만 이미 유출된 3370만 명의 정보는 회수가 불가능하다. 주소와 전화번호, 주문 내역 등이 범죄에 악용될 가능성이 여전히 남아있어, 이용자들의 불안감은 쉽게 가라앉지 않고 있다. 특히 아파트 공동현관 비밀번호까지 유출된 일부 고객들은 보안 위협을 직접 느끼고 있다.
"이번 압수수색은 사건을 정확히 파악하기 위한 필수적인 조치다. 확보된 디지털 증거 등을 바탕으로 개인정보 유출자, 유출 경로 및 원인 등 사건의 전반적인 사실관계를 종합적으로 규명할 예정이다." - 서울경찰청 사이버수사과 관계자
4번째 유출 사고…쿠팡의 구조적 문제
이번 사고는 쿠팡의 네 번째 개인정보 유출 사건이다. 과거 세 차례 유출 사고로 총 16억 원의 과징금을 받았지만, 이는 쿠팡의 막대한 매출에 비하면 미미한 수준이었다. 낮은 처벌 수위가 쿠팡의 보안 의식을 높이는 데 실패했다는 지적이 나온다.
전문가들은 이번 사태가 단순한 기술적 오류가 아니라 경영진의 안일함과 비용 절감 우선 정책이 낳은 '예견된 재앙'이라고 지적한다. 매출은 급증했지만 보안 투자는 오히려 줄어드는 구조적 문제를 방치한 결과라는 것이다.
또한 5개월간 유출을 탐지하지 못한 것은 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 받았음에도 실질적인 통제가 이뤄지지 않았다는 반증이다. 형식적인 인증만 받고 실제 보안 관리는 소홀히 했다는 비판이 쏟아지고 있다.
| 연도 | 유출 사고 | 과징금 |
|---|---|---|
| 과거 3회 | 개인정보 유출 사고 | 총 16억원 |
| 2025년 | 3370만명 유출 (4번째) | 최대 1조원 예상 |
| 구조적 문제: 보안 투자 감소 (7.1%→4.6%), ISMS-P 형식적 인증, 5개월 미탐지 | ||
전문가 "책임에 걸맞은 보상해야 사업 지속 가능"
이호택 계명대 교수는 "쿠팡이 책임에 걸맞은 보상을 해야 한국에서 사업을 지속할 수 있을 것"이라며 "단순히 법적 최소 요건만 충족하는 것으로는 신뢰를 회복하기 어렵다"고 지적했다.
정보보안 전문가들은 쿠팡이 보안 투자를 대폭 늘리고, 내부 통제 시스템을 전면 재정비해야 한다고 조언한다. 특히 퇴사자의 시스템 접근 권한을 즉시 차단하는 절차, 이상 징후를 실시간으로 탐지하는 시스템 등이 시급히 구축돼야 한다는 것이다.
소비자단체들은 이번 사태를 계기로 전자상거래 기업들의 개인정보 보호 수준을 높이는 제도 개선이 필요하다고 강조한다. 보안 투자 최소 기준 설정, ISMS-P 인증의 실효성 강화, 과징금 상향 조정 등이 검토돼야 한다는 주장이다.
전문가 제언
- 보상 - 법적 최소 요건 넘어 실질적 보상으로 신뢰 회복 (이호택 교수)
- 보안 투자 확대 - 글로벌 기업 수준(1.0~1.5%)으로 투자 비율 상향
- 내부 통제 강화 - 퇴사자 접근 권한 즉시 차단, 이상 징후 실시간 탐지
- 제도 개선 - 보안 투자 최소 기준 설정, ISMS-P 실효성 강화, 과징금 상향
경찰 수사 결과 주목…쿠팡의 운명은?
경찰의 이번 압수수색은 쿠팡 개인정보 유출 사건의 중요한 전환점이 될 전망이다. 강제수사를 통해 확보한 디지털 증거가 사건의 전모를 밝히는 열쇠가 될 것이기 때문이다.
경찰은 향후 확보한 자료를 정밀 분석해 유출자를 특정하고, 유출 경로와 원인을 명확히 규명할 계획이다. 특히 쿠팡의 정보 처리 과정에서 불법성이나 과실이 있었는지, 내부 통제는 적절했는지를 철저히 조사할 방침이다.
이번 수사 결과에 따라 쿠팡이 받을 처벌 수위가 결정될 것이며, 이는 향후 쿠팡의 사업 전략과 한국 시장에서의 입지에 큰 영향을 미칠 전망이다. 국내 전자상거래 1위 기업의 몰락인지, 아니면 위기를 극복하고 재도약할 것인지 귀추가 주목된다.
