쿠팡 3,370만명 개인정보 유출 사태, 한국 역사상 최악 규모 해킹 발생

쿠팡 개인정보 유출, 무슨 일이 벌어졌나

한국 대형 이커머스 플랫폼 쿠팡에서 약 3,370만 개의 고객 계정 정보가 유출되는 초대형 데이터 침해 사고가 발생했습니다. 이번 유출 규모는 한국 인구의 절반을 훌쩍 넘는 수준으로, 한국 이커머스 업계에서 최악급 사고로 평가되고 있습니다.​

쿠팡은 11월 18일 처음으로 약 4,500개 계정에서 비정상적인 정보 노출을 감지했습니다. 그러나 이후 내부 조사 결과, 실제로는 3,370만 개에 달하는 국내 고객 계정이 이미 5개월 이상에 걸쳐 침해된 것으로 확인됐습니다.

어떤 정보가 유출됐고, 무엇은 안전한가

쿠팡은 이번 침해로 다음 정보들이 유출 대상이 되었다고 밝혔습니다.​

• 이름
• 이메일 주소
• 전화번호
• 배송지 주소
• 일부 주문 내역(주문 이력의 특정 항목들)

반면 다음과 같은 고민감 정보는 유출되지 않았다고 설명했습니다.​

• 결제 정보(결제 수단, 계좌 정보 등)
• 신용카드 번호
• 계정 비밀번호 및 로그인 자격 증명

즉, 직접적인 결제·카드 정보 유출은 없었으나, 연락처·주소·구체적인 구매 패턴이 노출되면서 피싱, 스미싱, 보이스피싱, 타겟 사기 등 2차 피해 위험이 크게 높아진 상황입니다.​

해킹은 언제부터, 어떻게 진행됐나

쿠팡은 조사 결과, 2025년 6월 24일경부터 해외 서버를 통한 비인가 접근이 시작된 것으로 추정된다고 밝혔습니다. 즉, 약 5개월 이상 공격자가 내부 시스템에 접근할 수 있는 경로가 열려 있었던 셈입니다.​

회사 측 설명에 따르면, 이상 징후가 포착된 이후에는 다음과 같은 조치가 취해졌습니다.​

• 문제로 지목된 비인가 접근 경로 차단
• 내부 보안 모니터링 시스템 강화
• 외부 독립 보안 전문 업체를 영입해 포렌식 조사 진행

또한 이번 사고는 한국인터넷진흥원(KISA), 개인정보보호위원회(PIPC), 경찰청 등 관련 기관에 공식 보고된 상태입니다.​

용의자는 전직 중국 국적 쿠팡 직원

한국 경찰은 수사 과정에서 중국 국적의 전직 쿠팡 직원 1명을 주요 용의자로 특정한 것으로 알려졌습니다. 보도에 따르면, 이 인물은 퇴사 후에도 남아 있던 일부 접근 권한·인증 키 등을 활용해 내부 시스템에 접속한 정황이 포착되었고, 현재 해외에 체류 중인 상태입니다.​

수사당국은

• 내부 접근 통제·권한 회수 절차가 제대로 이뤄졌는지,
• 퇴사자 계정 비활성화, 접근키 회수 등 기본 보안 프로세스에 허점이 없었는지
  등을 중심으로 쿠팡의 관리 책임까지 함께 조사하고 있습니다.​

쿠팡의 과거 유출 전력과 한국 보안 환경

이번 사건은 2025년 들어 한국에서 연이어 발생한 대형 보안 사고들 가운데 하나로, “매달 한 번꼴”로 보안 사고가 터진다는 비판까지 나오는 상황에서 벌어졌습니다.​

쿠팡은 이번이 첫 사고가 아닙니다.​

• 2020~2021년: 고객 정보 유출 사례 발생 2023년 12월: 판매자 관리 시스템(Seller Management System) 취약점으로 2만2천여 명 고객 정보 노출​
• 2024년: 배송기사(라이더) 개인정보가 노출된 사고도 별도로 보고됨​

여러 차례 유출 사고를 겪고 있음에도, 쿠팡은 국내·국제 보안 인증(ISMS-P 등)을 획득했다는 점을 강조해 왔습니다. 그러나 반복되는 유출로 인해, “인증 획득”과 실제 보안 수준 사이의 괴리가 크다는 비판이 커지고 있습니다.​

해외 법인·타 서비스에도 피해가 있었나

쿠팡은 한국 외 서비스에 대한 영향에 대해 다음과 같이 밝혔습니다.​

• 일본·대만에서 운영 중인 쿠팡 마켓플레이스: 현재까지 별도 유출 정황 없음
• 대만에서 운영 중인 Coupang Taiwan 및 Rocket Now 서비스: 이번 침해 범위에 포함되지 않은 것으로 조사됨​

즉, 이번 사고는 한국 내 쿠팡 서비스 계정이 중심이며, 해외 법인의 고객 데이터는 현재까지는 안전한 것으로 파악되고 있습니다.​

한국 이용자에게 실제로 의미하는 위험

이번에 유출된 정보 조합(이름 + 휴대폰 번호 + 이메일 + 주소 + 주문 내역)은 다음과 같은 악용 가능성을 만듭니다.​

• 실제 구매 내역·주소를 아는 척 접근하는 정교한 스미싱/피싱
• 택배·배송을 사칭한 보이스피싱 전화
• 이메일을 통한 피싱 링크·악성코드 유포
• 특정 소비 패턴을 노린 맞춤형 사기(예: 특정 카테고리 소비자만 타겟팅)​

특히 “과거에 실제로 주문했던 상품/주소”를 언급하며 접근하면, 이용자가 진짜 쿠팡·택배사라고 착각할 가능성이 매우 높기 때문에 각별한 주의가 필요합니다.​

지금 쿠팡 이용자가 해야 할 보안 체크리스트

블로그 글에서는 독자가 바로 행동할 수 있도록, 다음과 같은 체크리스트를 함께 넣는 것이 좋습니다.​

1. 쿠팡 계정 비밀번호 변경
   • 다른 사이트와 같은 비밀번호를 쓰고 있었다면, 그 사이트들 비밀번호도 모두 변경
2. 2단계 인증(2FA) 활성화
   • 쿠팡 및 주요 이메일 계정, 금융 관련 서비스에는 반드시 추가 인증 설정​
3. 스미싱·피싱 문자·카톡 주의
   • “쿠팡 배송 문제”, “환불 안내” 등의 링크가 포함된 메시지는 앱 직접 접속 후 확인
4. 최근 주문 내역·배송 주소 점검
   • 모르는 주문 기록이 있는지, 주소가 임의로 추가·변경되지 않았는지 확인​
5. 스팸 필터·수신 차단 적극 활용
   • 동일 패턴의 스팸 번호·문자는 바로 차단 등록​

규제·기업 측에 미칠 파장

규제 당국은 정보통신망법·개인정보보호법상 안전조치 의무 위반 여부를 기준으로 과징금과 시정명령 등을 검토하고 있습니다.​ 이번 사고는 다음과 같은 논의를 촉발할 가능성이 큽니다.