2026년 2월 5일, 국내 최대 이커머스 플랫폼 쿠팡에서 또다시 충격적인 소식이 전해졌습니다. 지난해 11월 발생한 대규모 개인정보 유출 사건과 관련하여 16만5455개 계정의 개인정보가 추가로 유출된 사실이 확인된 것입니다. 이번 추가 유출 확인은 기존 3370만 명의 회원 계정 유출에 더해진 것으로, 피해 규모가 지속적으로 확대되고 있어 소비자들의 불안감이 커지고 있습니다.
16만5천 건 추가 유출, 어떻게 발견되었나
개인정보보호위원회에 따르면, 쿠팡은 2026년 2월 5일 오후 4시 2분에 추가 유출 사실을 신고했습니다. 이번에 추가로 확인된 유출 정보는 16만5455개 계정 이용자가 입력한 배송지 정보로, 이름, 전화번호, 주소가 포함되어 있습니다. 특히 주목할 점은 이번 추가 유출이 쿠팡의 자체 조사가 아닌 정부 합동조사단의 내부 시스템 및 서버 조사 과정에서 발견되었다는 사실입니다.
쿠팡 측은 배송지 목록 확인 과정에서 기존 3370만 개 회원 계정 외에 16만5천여 개 회원 계정의 추가 유출이 확인되었다고 밝혔습니다. 해당 정보들은 지난해 11월 발생한 해킹 사건 당시 함께 유출된 것으로 추정되며, 약 3개월이 지난 시점에서야 추가 피해 사실이 드러난 것입니다.
2024년 11월 최초 사건 발생 경과
쿠팡 개인정보 유출 사건의 시작은 2025년 11월로 거슬러 올라갑니다. 최초 해킹이 감지된 시점은 2025년 11월 6일 오후 6시 38분이었으며, 당시 회원 로그인 시 사용하는 1회용 암호인 액세스 토큰을 통한 비인가 무단 접근이 발생했습니다. 그러나 쿠팡이 실제로 침해 사실을 인지한 것은 11월 18일 오후 10시 52분으로, 이마저도 쿠팡이 선제적으로 감지한 것이 아니라 고객의 민원을 통해 알게 된 것이었습니다.
| 날짜 | 주요 경과 |
| 2025년 11월 6일 | 최초 해킹 감지 (오후 6시 38분) |
| 2025년 11월 18일 | 고객 민원으로 침해 사실 인지 |
| 2025년 11월 19일 | 4,536개 계정 접근 기록 발견 신고 |
| 2025년 11월 29일 | 약 3,370만 개 계정 유출 확인 발표 |
| 2026년 2월 5일 | 16만5455개 계정 추가 유출 확인 신고 |
쿠팡은 11월 19일 오후 9시 35분 신고 당시 "유효한 인증 없이 4,536개의 계정 프로필에 접근한 기록이 발견됐다"고 보고했습니다. 그러나 불과 열흘 뒤인 11월 29일에는 "후속 조사 결과 고객 계정 약 3,370만 개가 무단으로 유출된 것으로 확인됐다"고 수정 발표했습니다. 최초 발표된 규모와 실제 유출 규모의 격차가 수천 배에 달하는 것으로, 쿠팡의 초기 대응과 조사 능력에 대한 심각한 의문이 제기되었습니다.
유출된 정보의 종류와 위험성
이번 사건으로 유출된 개인정보는 단순한 아이디나 이메일 수준이 아닙니다. 유출된 정보에는 회원의 성명, 이메일, 배송지 전화번호, 그리고 상세 주소가 포함되어 있습니다. 특히 배송지 주소에는 공동현관 비밀번호까지 포함된 경우가 있어, 주거 침입 등 심각한 오프라인 범죄로 이어질 수 있다는 우려가 제기되고 있습니다.
| 유출 정보 항목 | 잠재적 위험 |
| 성명 | 신분 도용, 사칭 범죄 |
| 전화번호 | 보이스피싱, 스미싱, 스팸 전화 |
| 이메일 | 피싱 이메일, 스팸 메일 |
| 상세 주소 | 스토킹, 주거 침입, 택배 사기 |
| 공동현관 비밀번호 | 건물 무단 침입, 범죄 악용 |
공격자는 쿠팡 서버의 인증 취약점을 악용하여 정상적인 로그인 없이 수천만 개의 고객 계정 정보에 접근한 것으로 알려졌습니다. 해당 해킹의 배후로는 중국 국적의 전직 쿠팡 직원이 지목되고 있으며, 쿠팡은 협박성 이메일을 받은 정황도 확인되었습니다. 이메일에는 "회원들의 개인정보를 확보하고 있다", "보안을 강화하지 않으면 유출 사실을 언론에 알리겠다" 등의 내용이 포함되어 있었던 것으로 전해집니다.
개인정보보호위원회 조사 현황
개인정보보호위원회는 쿠팡의 대규모 개인정보 유출 사건에 대해 본격적인 조사에 착수했습니다. 정부 합동조사단은 쿠팡의 내부 시스템과 서버를 면밀히 조사하고 있으며, 이번 추가 유출 사실도 바로 이 조사 과정에서 발견되었습니다. 개인정보보호위원회는 쿠팡에 개인정보 '노출'이라는 표현을 '유출'로 수정하고, 유출 항목을 빠짐없이 반영하여 피해 고객에게 재통지하라는 요구를 심의·의결했습니다.
또한 개인정보보호위원회는 쿠팡이 활성 고객과 탈퇴 고객의 정보를 한 곳에 모아 관리한 방식이 개인정보 보호법 위반 소지가 있는지에 대해서도 보관 방식을 조사할 계획입니다. 탈퇴한 고객의 정보까지 활성 회원 정보와 동일한 방식으로 저장하여 한꺼번에 유출된 것이 문제로 지적되고 있습니다.
쿠팡 자체 조사의 신빙성 논란
이번 추가 유출 확인으로 쿠팡의 자체 조사 결과에 대한 신빙성이 크게 흔들리게 되었습니다. 쿠팡은 당초 언스트앤영(Ernst & Young) 등 글로벌 최상위 사이버 보안업체가 조사한 결과라며 자체 조사의 신뢰성을 강조했습니다. 그러나 정부 합동조사단의 조사에서 추가 계정 유출이 확인되면서, 쿠팡의 자체 조사가 불완전했음이 드러났습니다.
최초 쿠팡이 발표한 유출 계정 수는 약 3,000개에 불과했으나, 이후 조사에서 3,370만 개로 급증했고, 이제 16만5천 개가 추가로 발견되었습니다. 이처럼 피해 규모가 계속해서 늘어나는 상황은 쿠팡의 보안 시스템과 사후 조사 능력 모두에 심각한 문제가 있음을 시사합니다. 전문가들은 앞으로 추가 유출 사실이 더 발견될 가능성도 배제할 수 없다고 지적하고 있습니다.
2차 피해 현황과 정부의 경고
쿠팡 개인정보 유출로 인한 2차 피해가 현실화되고 있습니다. 금융감독원은 2025년 12월 18일 쿠팡 개인정보 유출 사고와 관련하여 보이스피싱, 스미싱 피해 사례가 확인됨에 따라 소비자경보 등급을 기존 '주의'에서 '경고'로 상향했습니다. 실제로 1,100만 원의 금전적 피해를 입은 사례도 보도되었습니다.
한국인터넷진흥원(KISA)에 따르면, 범죄 조직들이 '피해 보상금', '환불 안내' 등의 문자를 통해 악성 앱 설치를 유도하고 있습니다. 쿠팡을 사칭한 피싱 문자와 전화가 급증하고 있어 각별한 주의가 필요합니다. 정부는 쿠팡 사칭 피싱 및 스미싱에 대해 소비자들의 각별한 주의를 당부하고 있습니다.
피해 회원이 취해야 할 대응 방법
쿠팡 개인정보 유출 피해를 최소화하기 위해서는 즉각적인 조치가 필요합니다. 전문가들은 다음과 같은 순서로 대응할 것을 권고하고 있습니다.
| 순서 | 대응 조치 | 방법 |
| 1 | 로그인 기록 확인 | 쿠팡 앱 또는 웹사이트에서 최근 로그인 기록 점검 |
| 2 | 통관번호 재발급 | 개인통관고유부호 재발급 신청 |
| 3 | 비밀번호 변경 | 쿠팡 및 동일 비밀번호 사용 사이트 모두 변경 |
| 4 | 결제수단 비활성화 | 등록된 카드 및 결제수단 삭제 또는 일시 중지 |
| 5 | 스미싱·보이스피싱 차단 | 스팸 차단 앱 설치, 의심 문자 및 전화 무시 |
가장 중요한 것은 쿠팡을 사칭한 문자나 전화에 응답하지 않는 것입니다. '피해 보상', '환불 안내' 등의 문구가 담긴 문자에 포함된 링크는 절대 클릭하지 말아야 하며, 모르는 번호로 걸려온 전화에는 응답하지 않는 것이 좋습니다. 공동현관 비밀번호가 유출된 경우에는 아파트 관리사무소에 연락하여 비밀번호 변경을 요청해야 합니다.
집단소송 및 손해배상 청구 현황
쿠팡 개인정보 유출 사건으로 인해 다수의 법무법인에서 집단소송을 진행하고 있습니다. 피해자들은 개인정보 유출로 인한 정신적 피해에 대해 손해배상을 청구할 수 있습니다. 과거 인터파크, 카드사 개인정보 유출 판례에 따르면 1인당 위자료는 약 10만 원 선으로 책정되었으나, 이번 사건은 주소지 정보가 포함되어 스토킹, 보이스피싱 등 오프라인 범죄 악용 가능성이 높아 더 높은 위자료가 인정될 여지가 있습니다.
특히 개인정보보호법 제39조의2에 따른 법정손해배상제도를 활용하면, 구체적인 금전 피해를 입증하기 어려운 경우에도 실제 손해액 입증 없이 최대 300만 원까지 배상을 청구할 수 있습니다. 만약 3,370만 명의 피해자 전원에게 1인당 10만 원의 배상이 이루어질 경우, 총 배상액은 약 3조 3,700억 원에 달할 것으로 추산됩니다. 이재명 대통령은 이번 사태에 대해 징벌적 손해배상 제도 적용을 포함한 실질적인 대책 마련을 지시한 바 있습니다.
대형 이커머스 플랫폼 보안 문제 재조명
이번 쿠팡 개인정보 유출 사건은 대형 이커머스 플랫폼의 보안 문제를 다시 한번 부각시켰습니다. 수천만 명의 회원 정보를 보유한 플랫폼임에도 불구하고, 인증 취약점을 통한 대규모 정보 유출이 발생했다는 점은 심각한 보안 허점을 드러낸 것입니다. 특히 탈퇴 회원의 정보까지 활성 회원 정보와 동일하게 관리하여 한꺼번에 유출된 점은 개인정보 관리 체계의 근본적인 문제를 시사합니다.
전문가들은 이커머스 플랫폼들이 개인정보 보호에 더 많은 투자와 관심을 기울여야 한다고 강조하고 있습니다. 서명 키 보안, 액세스 토큰 관리, 비인가 접근 탐지 시스템 등 기술적 보안 조치뿐만 아니라, 전직 직원의 접근 권한 즉각 해제, 내부 보안 감사 강화 등 관리적 측면의 보안도 함께 강화되어야 합니다. 이번 사건을 계기로 국내 이커머스 업계 전반의 개인정보 보호 수준이 한 단계 높아지기를 기대해 봅니다.
향후 전망
쿠팡 개인정보 유출 사건은 아직 진행 중입니다. 정부 합동조사단의 조사가 계속되고 있어 추가적인 유출 사실이 더 발견될 가능성도 있습니다. 개인정보보호위원회는 쿠팡에 대한 행정처분을 검토하고 있으며, 개인정보 보호법 위반 여부에 따라 상당한 규모의 과징금이 부과될 수 있습니다.
소비자들은 당분간 쿠팡을 사칭한 보이스피싱과 스미싱에 각별히 주의해야 합니다. 의심스러운 문자나 전화를 받으면 즉시 한국인터넷진흥원(118) 또는 금융감독원(1332)에 신고하는 것이 좋습니다. 피해를 입은 경우에는 집단소송에 참여하거나 개별적으로 손해배상을 청구할 수 있으니, 관련 법무법인의 안내를 참고하시기 바랍니다. 이번 사건이 국내 개인정보 보호 체계 전반을 점검하고 강화하는 계기가 되기를 바랍니다.