<사진 : 사임을 발표하는 박대준 대표>
3370만명 개인정보 유출 사태로 창사 이래 최대 위기를 맞은 쿠팡의 박대준 대표가 10일 전격 사임했다. 쿠팡은 미국 모회사인 쿠팡Inc의 해롤드 로저스 최고관리책임자 겸 법무총괄을 임시 대표로 선임했으나, 한국에서 근무한 경험이 없는 외국인 법률가를 내세운 것이 김범석 의장의 책임 회피로 비칠 수 있다는 비판이 제기되고 있다. 고객들은 5개월간 유출 사실을 몰랐던 회사의 안일한 대응과 복잡한 탈퇴 절차, 부실한 보상에 분통을 터뜨리며 집단소송 움직임까지 나타나고 있다.
1. 박대준 대표 사임, 사실상 '경질'
박대준 쿠팡 대표는 10일 "최근의 개인정보 사태에 대해 국민께 실망드린 점에 대해 매우 송구스럽게 생각한다"며 "이번 사태의 발생과 수습 과정에서의 책임을 통감하고 모든 직위에서 물러나기로 했다"고 밝혔다. 지난 5월 말 쿠팡의 단독 대표로 선임된 지 불과 6개월 만이다.
박 대표는 LG전자 대외협력실과 네이버 정책실을 거친 대관 출신으로, 2012년 쿠팡의 정책 담당 실장으로 합류했다. 국회에서 그의 별명은 김범석 의장의 '총알받이' 또는 '샌드백'이다. 그동안 쿠팡을 향한 집중포화를 온몸으로 막아냈던 박 대표가 사임함에 따라 업계는 사실상 경질로 받아들이고 있다.
2. 후임에 '김범석 복심' 미국 법무총괄
쿠팡의 모회사인 쿠팡Inc는 해롤드 로저스 최고관리책임자 겸 법무총괄을 쿠팡 임시 대표로 선임했다. 로저스 신임 대표는 하버드 로스쿨 출신의 법률·컴플라이언스 분야 전문가로, 2020년 1월 쿠팡Inc에 합류했다. 김범석 의장과 긴밀하게 의사소통을 주고받는 쿠팡Inc의 2인자로 통하며, 업계 내부에서는 '김 의장의 복심'으로 평가받는다.
로저스 임시 대표는 사내 공지를 통해 "지금 우리의 우선순위는 명확하다"며 "이번 사태를 철저히 대응하고, 재발을 방지하기 위해 정보보안을 강화하며, 신뢰를 회복하는 것"이라고 밝혔다. 쿠팡 측은 로저스 임시 대표가 개인정보 유출 사태에 따른 고객 불안을 해소하고 조직 안정화에 주력할 방침이라고 전했다.
로저스 신임 임시 대표 프로필
- 하버드 로스쿨 출신 법률·컴플라이언스 전문가
- 2020년 1월 쿠팡Inc 합류
- 쿠팡Inc 최고관리책임자(CAO) 겸 법무총괄
- 김범석 의장의 '오른팔', 쿠팡 2인자로 통함
- 글로벌 기업과 대형 로펌 경력 보유
- 한국 근무 경험 없음
3. 김범석 책임 회피 논란
한국 법인에서 창사 이래 최대 위기를 맞아 김범석 의장이 국회 청문회 출석까지 요구받은 상황에서 한국에서 근무하지 않은 외국인 임시 대표를 내세운 것이 책임 회피로 보일 수 있다는 비판이 제기되고 있다. 쿠팡은 미국 법인이지만 매출의 대부분을 한국에서 올리는 '한국 기업'이다. 김 의장은 의결권 70%를 보유한 실질적 경영자로, 쿠팡의 모든 전략적 결정은 그의 의중에 따라 움직인다.
국회 과학기술정보방송통신위원회는 9일 전체회의를 열어 청문회 증인으로 김범석 의장을 포함해 박대준 전 대표, 강한승 전 대표, 민병기 정책협력실 부사장, 조용우 국회·정부 담당 부사장 등 5명을 채택했다. 쿠팡 측은 로저스 임시 대표는 출석할 것이라고 밝혔으나, 김 의장 출석 여부는 확인해줄 수 없다고 했다.
| 구분 |
내용 |
| 청문회 일정 |
2025년 12월 17일 |
| 증인 채택 |
김범석 의장, 박대준 전 대표, 강한승 전 대표, 로저스 임시 대표, 민병기 부사장, 조용우 부사장 등 6명 |
| 김범석 의장 출석 |
확인 불가 (쿠팡 측 답변) |
| 로저스 대표 출석 |
출석 예정 |
"쿠팡 사태를 수습하기 위해선 김범석 의장이 직접 나서야 한다. 쿠팡의 실질적 경영자인 김 의장이 책임을 회피하려고 한다는 인상을 지울 수 없다. 이번 사태는 단순한 실무 차원의 오류가 아니라 고객 정보 보호와 관련한 최고경영진의 인식과 시스템 전반의 문제에서 비롯됐을 가능성이 높다." - 한국경제 사설
4. 3370만명 개인정보 유출, 5개월간 몰라
이번 사태는 지난 6월 24일부터 시작됐으나 쿠팡이 이를 인지한 시점은 5개월이 지난 11월 18일이다. 최초 발견 당시 인지한 해킹 건은 11월 6일 오후 6시 38분이었으나, 침해 사실을 알게 된 날은 그로부터 12일이나 지난 11월 18일 오후 10시 52분이었고 이마저도 쿠팡이 선제적으로 감지한 것이 아니라 고객의 민원으로 겨우 알게 된 것이다.
쿠팡은 처음 4536개 계정의 개인정보가 노출됐다고 발표했으나, 후속 조사 결과 약 3370만 개 계정이 유출된 것으로 확인됐다. 7500배나 증가한 규모다. 유출된 정보는 이름, 이메일 주소, 전화번호, 배송지 주소록, 일부 주문 정보 등이며, 쿠팡은 결제 정보와 신용카드 번호, 로그인 정보는 노출되지 않았다고 밝혔다.
| 항목 |
내용 |
| 유출 시작 |
2025년 6월 24일 |
| 최초 해킹 발견 |
2025년 11월 6일 오후 6시 38분 |
| 침해 인지 |
2025년 11월 18일 오후 10시 52분 (고객 민원으로 확인) |
| 유출 규모 |
약 3370만 계정 (당초 4536개로 발표) |
| 유출 정보 |
이름, 이메일, 전화번호, 배송지 주소, 주문 정보 |
| 미유출 정보 |
결제 정보, 신용카드 번호, 로그인 정보 |
| 용의자 |
중국 국적 전 쿠팡 직원으로 추정 (해외 도피) |
5. 고객 분노 폭발, 집단소송 움직임
이번 사태에 대한 고객들의 분노는 쿠팡의 안일한 대응에서 비롯됐다. 쿠팡은 사과문에서 '유출' 대신 '노출', '무단접근' 등 비교적 수위가 낮은 표현을 사용했고, 정확한 유출 시점도 알려주지 않았다. 탈퇴를 원하는 고객들은 탈퇴 절차가 복잡하고 숨겨져 있어 "일부러 숨겨 놓은 게 아닌가" 싶을 정도로 불편했다고 토로했다.
온라인 커뮤니티에서는 "고객 피해는 누가 책임지느냐", "정보가 다 털려서 너무 무섭다", "유출에 대한 피해 보상이 필요하다"는 발언이 쏟아졌다. 지난 29일 네이버에 개설된 '쿠팡 정보유출 집단소송 카페' 운영진은 "3370만명이 피해를 본 초유의 사태에 대해 법적 책임을 묻고 공동 대응 방안을 마련하겠다"고 밝혔다.
고객 불만 및 요구사항
- 사과문 표현 문제: '유출' 대신 '노출', '무단접근' 사용
- 정확한 유출 시점 미고지
- 복잡하고 숨겨진 탈퇴 절차
- 실질적 보상 부재 (사과문만 발표)
- 5개월간 유출 사실 인지 못한 무책임
- 공동 현관 비밀번호 유출 가능성 불안
- 2차 피해(스미싱, 보이스피싱) 우려
6. "탈쿠팡" 선언 고객들 잇따라
쿠팡을 애용하던 구정순 씨는 사태가 터지자마자 쿠팡을 탈퇴했다. 구 씨는 "회사가 정확한 진단이나 대책을 내놓지 못해 정보가 유출된 피해자만 발을 동동 구르고 있다"며 "전화번호는 노출됐는데 카드 정보와 비밀번호는 노출되지 않았다는 회사의 설명을 어떻게 믿겠느냐"고 말했다.
김지향 씨는 "개인정보 유출 소식을 처음 들었을 때 황당하고 화가 났다"며 "개인정보 유출에 대한 보상도 없고 사과문 하나만 띄웠다. 집단소송 참여 방법을 한번 찾아보고 직접적인 피해가 있다면 참여할 것"이라고 밝혔다. 김서영 씨는 "사과문이 문자로 와서 알게 됐는데 죄송한 느낌도 없고 사안을 축소하려고 하는 것 같아 기분이 굉장히 상했다"고 말했다.
조민규 씨는 "쿠팡에서 개인정보가 해킹당했다는 문자가 왔다는 소식을 접하자마자 탈퇴했다"며 "탈퇴 과정도 절차가 너무 숨겨져 있었고 일부러 숨겨 놓은 게 아닌가 싶을 정도로 불편하게 느껴졌다"고 말했다.
7. 집단소송 준비, 손해배상 청구 움직임
카카오톡에서 '쿠팡 정보유출 피해자 모임' 채팅방을 개설한 이 씨는 "개인의 힘으로는 거대 기업인 쿠팡의 안일한 대응에 맞서기 어렵다고 판단했다"면서 "집단 분쟁 조정 신청이나 집단소송까지 고려하고 있다"고 설명했다.
손해배상 집단소송을 준비 중인 김경호 변호사는 "핵심 쟁점은 쿠팡이 개인정보보호법 제29조에 따른 '안전조치의무'를 다했는지 여부"라며 "해킹 기술이 고도화됐다 하더라도 쿠팡이 당시 기술 수준에서 요구되는 접근 통제, 접속 기록 보관, 암호화 조치 등을 소홀히 했다면 과실이 인정된다"고 주장했다.
"미국 기업 쿠팡은 미국에서 사업을 했어도 이렇게 허술하게 개인정보를 관리했겠는가. 쿠팡은 피해를 입은 국민에게 충분한 정보를 제공하고 납득할만한 보상 대책을 내놓아야 한다." - 참여연대 성명
8. 역대 최대 규모 유출, SK텔레콤 넘어서
쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 역대 최대 과징금 1348억원 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만명)를 크게 넘어선다. 쿠팡의 활성 고객 수(구매 이력이 있는 고객)는 2470만명인데, 이번 유출 규모는 이보다 900만명이나 많다. 사실상 쿠팡 전체 고객의 정보가 유출된 것이다.
개인정보보호위원회는 쿠팡에 대해 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 이재명 대통령은 "쿠팡 사고원인을 조속히 규명하고 엄중하게 책임을 물어야 한다"며 과징금 강화와 징벌적 손해배상제도 현실화를 지시했다.
| 기업 |
유출 규모 |
과징금 |
비고 |
| 쿠팡 |
3370만명 |
조사 중 |
2025년 11월 발생 |
| SK텔레콤 |
2324만명 |
1348억원 (역대 최대) |
2025년 4월 해킹 |
9. 중국인 전 직원 소행 추정, 수사 난항
경찰은 유력 용의자로 중국 국적 전 쿠팡 직원을 지목하고 있다. 최민희 과방위원장이 쿠팡에서 제출받은 자료에 따르면 유출자로 추정되는 전 중국인 직원은 인증 관련 업무 담당자였다. 빠르게 만료되는 액세스 토큰과 달리 그 발급에 필요한 인증키는 유효기간이 상대적으로 긴데, 중국인 직원의 퇴사 이후에도 쿠팡 측이 인증키를 폐기하지 않아 고객 개인정보에 자유롭게 접근할 수 있었던 것으로 파악됐다.
문제는 용의자가 이미 해외로 도피한 것으로 알려져 수사가 난항을 겪을 가능성이 크다는 점이다. 중국은 자국민을 타국으로 보내지 않는 관행(자국민 불인도 원칙)이 강해 신병 확보가 사실상 불가능하다. 인터폴 적색수배는 가능하지만, 핵심 증거인 피의자의 PC나 스마트폰 확보는커녕 소환 조사조차 불투명해 사건이 기소중지로 장기화될 우려가 크다.
10. 시민단체 및 전문가 비판
참여연대는 성명을 통해 "미국 기업 쿠팡은 미국에서 사업을 했어도 이렇게 허술하게 개인정보를 관리했겠는가"라며 "쿠팡은 피해를 입은 국민에게 충분한 정보를 제공하고 납득할만한 보상 대책을 내놓아야 한다"고 촉구했다.
박순장 칼럼니스트는 "쿠팡의 개인정보 유출은 고립된 사건이 아니고 총체적 안전 불감증의 발현"이라며 "속도와 효율만을 추구하는 과정에서 안전과 책임은 최소화됐다. 로켓배송의 신화 뒤에는 과로에 시달리는 노동자들이 있었고, 폭발적 성장의 그늘에는 방치된 보안 시스템이 있었다. 쿠팡은 성장했지만 성숙하지 못했다"고 비판했다.
전문가들은 쿠팡에 대해 최고 수위의 과징금 부과와 함께 징벌적 손해배상 제도를 즉각 도입해야 한다고 주장한다. 유출된 정보로 인한 스미싱, 보이스피싱 피해가 발생하면 쿠팡이 피해액 전액을 배상하도록 해야 기업이 실질적인 경제적 책임을 지게 된다는 것이다.
전문가 권고사항
- 최고 수위 과징금 부과 (매출의 일정 비율)
- 징벌적 손해배상 제도 즉각 도입
- 2차 피해 발생 시 전액 배상 의무화
- 전사적 보안 시스템 개선 강제 명령
- 개인정보보호위원회 권한 강화
- 신속한 공동 대응 체계 구축
11. 쿠팡 "재발 방지 최선" 약속
쿠팡 관계자는 "개인정보 유출 사태로 심려를 끼쳐드린 점에 대해 깊이 사과드린다"며 "재발 방지를 위해 정보보안을 강화하고 신뢰 회복에 최선을 다할 것"이라고 말했다. 로저스 임시 대표는 "이번 사태를 철저히 대응하고, 재발을 방지하기 위해 정보보안을 강화하며, 신뢰를 회복하는 것이 우선순위"라고 밝혔다.
쿠팡은 고객들에게 쿠팡을 사칭하는 전화, 문자 등에 각별한 주의를 당부했다. 개인정보 유출로 인한 스미싱, 보이스피싱 등 2차 피해 가능성이 제기되고 있기 때문이다. 쿠팡은 '보상', '환불' 문자에 포함된 링크는 절대 누르지 말 것을 강조했다.
그러나 고객들의 분노는 쉽게 가라앉지 않을 전망이다. 5개월간 유출 사실을 몰랐던 회사의 무능, 안일한 대응, 부실한 보상, 김범석 의장의 책임 회피 등이 복합적으로 작용하면서 쿠팡에 대한 신뢰가 크게 추락했기 때문이다. 17일 국회 청문회에서 김 의장이 출석해 직접 사과하고 실질적인 재발 방지 대책을 제시할 수 있을지가 주목된다.
