쿠팡 정보유출 사건 개요, 3367만명 개인정보 대규모 유출
2026년 2월 10일, 과학기술정보통신부는 정부서울청사에서 쿠팡 침해 사고에 대한 민관 합동 조사 결과를 잠정 발표하였습니다. 이번 조사 결과에 따르면, 쿠팡의 '내 정보 수정 페이지'를 통해 이용자의 성명과 이메일 등 총 3367만 3817건의 개인정보가 유출된 것으로 확인되었습니다. 이는 동일 계정의 성명과 이메일을 하나로 묶어 집계한 계정 기준이며, 중복 계정은 없는 것으로 파악되었습니다.
더욱 심각한 것은 배송지 목록 페이지에서 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보를 범인이 무려 1억 4800만여 차례 조회한 것으로 밝혀졌다는 점입니다. 국내 최대 전자상거래 플랫폼에서 발생한 이번 사고는 역대 최대 규모의 개인정보 침해사고로 기록되고 있습니다.
전직 개발자의 치밀한 범행, 서명키 하드코딩이 화근
이번 사건의 핵심 원인은 쿠팡의 전직 개발자에 의한 내부자 공격이었습니다. 박대준 쿠팡 대표이사는 용의자가 단순 인증업무 담당자가 아니라 인증 시스템 설계·개발을 담당한 소프트웨어 개발자(Staff Back-end Engineer)였다고 밝혔습니다. 이 전직 개발자는 재직 당시 시스템 장애 등 백업을 위한 이용자 인증 시스템 설계·개발 업무를 수행하면서 핵심 보안 자산인 '서명키'에 접근할 수 있었습니다.
민관 합동 조사단이 현재 재직 중인 개발자의 노트북을 포렌식한 결과, 키 관리 시스템에만 저장해야 하는 서명키가 개발자 노트북에 직접 저장(하드코딩)된 사실이 확인되었습니다. 공격자는 이 서명키를 활용하여 전자 출입증을 위조하는 방식으로 쿠팡 내부망에 무단 접속하였습니다. 쿠팡은 서명키를 보안 시스템이 아닌 개발자 노트북에 저장해두었고, 해당 직원이 퇴사한 후에도 이를 갱신하지 않고 방치하는 등 관리 부실이 심각했던 것으로 드러났습니다.
7개월간 이어진 공격, 쿠팡은 전혀 인지하지 못했다
공격자는 지난해(2025년) 1월 퇴사 전 여러 차례 사전 공격 테스트를 수행한 뒤, 퇴사 후 본격적으로 개인정보 탈취에 나섰습니다. 공격은 2025년 4월 14일부터 11월 8일까지 약 7개월간 지속되었으며, 이 기간 동안 쿠팡 측은 부정 접근이 계속되고 있다는 사실을 전혀 인지하지 못했습니다.
최초 발견 시점은 2025년 11월 6일 18시 38분으로, 해킹이 시작된 지 거의 7개월이 지난 후에야 비로소 인지한 것입니다. 이는 쿠팡의 내부 보안 모니터링 시스템이 사실상 작동하지 않았음을 보여주는 대목입니다. 전직 직원이 퇴사 후에도 내부 시스템에 수개월간 접근할 수 있었다는 것 자체가 쿠팡의 접근권한 관리와 이상 행위 탐지 체계에 심각한 결함이 있었음을 방증합니다.
유출된 개인정보 항목과 제3자 정보 확대 가능성
이번 사건으로 유출된 개인정보 항목은 다음과 같습니다.
| 구분 | 유출 항목 | 비고 |
| 내 정보 수정 페이지 | 성명, 이메일 | 3367만 3817건 |
| 배송지 목록 페이지 | 이름, 전화번호, 배송지 주소, 공동현관 비밀번호(비식별화) | 1억 4800만여 차례 조회 |
| 추가 확인분 | 개인정보 추가 유출 | 16만 5000여 계정 |
다행히 카드번호나 로그인 비밀번호는 유출되지 않은 것으로 확인되었습니다. 그러나 유출된 배송지 정보에는 쿠팡 계정 소유자 본인뿐만 아니라, 물품을 대신 구매하여 배송한 가족, 친구 등 제3자의 이름, 전화번호, 배송지 주소 등도 다수 포함되어 있는 것으로 파악되었습니다. 이에 따라 실제 정보 유출 대상자의 범위가 3367만명을 훨씬 초과할 수 있다는 우려가 제기되고 있습니다.
또한 2026년 2월 5일에는 기존 조사 과정에서 16만 5000여 계정의 개인정보가 추가로 유출된 사실이 확인되면서, 피해 규모가 더욱 커질 가능성이 높아지고 있습니다.
쿠팡의 보상안, 1인당 5만원 구매이용권 지급
쿠팡은 이번 사태에 대한 보상으로 피해 고객 1인당 5만원 규모의 '구매이용권'을 지급하겠다고 발표하였습니다. 2026년 1월 15일부터 순차적으로 쿠팡 와우 회원, 일반 회원, 탈퇴 고객 등 총 3370만명을 대상으로 지급이 진행되고 있습니다.
| 이용권 종류 | 금액 |
| 쿠팡 전 상품 | 5,000원 |
| 쿠팡 이츠 | 5,000원 |
| 쿠팡 트래블 | 20,000원 |
| 알럭스 | 20,000원 |
| 합계 | 50,000원 |
다만, 이 보상안에 대해서는 여론의 반응이 긍정적이지 않습니다. 5만원이라는 금액 자체도 부족하다는 의견이 많지만, 특히 쿠팡 트래블(2만원)과 알럭스(2만원)는 실질적으로 사용하기 어려운 서비스라는 비판이 제기되고 있습니다. 실제로 현금성 보상은 쿠팡 전 상품 5,000원과 쿠팡 이츠 5,000원을 합쳐 1만원에 불과한 셈입니다.
피해 확인 방법 및 개인 대응 방안
쿠팡은 피해 고객에게 앱 및 웹사이트를 통해 개별 통지를 시작하였습니다. 피해 여부를 확인하는 방법은 다음과 같습니다.
1단계: 쿠팡 앱 또는 웹사이트에 로그인합니다.
2단계: 메인 배너 또는 알림 내 '개인정보 유출 안내'를 클릭합니다.
3단계: 본인 인증을 완료한 후 유출 항목을 확인합니다.
배너가 보이지 않는 경우에는 쿠팡 고객센터를 통해 직접 확인을 요청할 수 있습니다.
피해를 최소화하기 위한 개인 차원의 대응 방안도 반드시 숙지해야 합니다. 우선, 쿠팡에서 받은 유출 통지 문자와 앱 공지 화면을 캡처하여 저장해두는 것이 좋습니다. 마이쿠팡의 '보안 및 로그인' 메뉴에서 낯선 기기 기록이 있는지 확인하고, 발견 시 즉시 캡처해야 합니다. 스미싱 문자나 보이스피싱 시도 등 의심되는 정황이 있다면 반드시 기록으로 남겨두어야 합니다.
비밀번호 변경, 2단계 인증 설정, 결제수단 삭제 등의 보안 조치를 즉시 취하고, 해당 조치 날짜를 메모해두는 것도 중요합니다. 만약 금전적 피해가 발생하였다면 카드사·은행 고객센터에 접수하고 내역을 보관해야 합니다.
정부 대응 및 제재 전망, 영업정지와 과징금
정부는 이번 사건에 대해 강력한 경고를 보내고 있습니다. 과학기술정보통신부는 민관 합동 조사를 통해 어떤 정보가 유출되었는지, 어떤 피해가 예상되는지, 피해 회복 조치를 쿠팡이 적절히 수행할 수 있는지 등을 종합적으로 판단하여 필요하면 영업정지까지 처분할 수 있다고 밝혔습니다.
개정된 개인정보보호법 제64조의2에 따르면, 개인정보 유출사고 시 매출액의 3%까지 과징금이 부과될 수 있습니다. 쿠팡의 매출 규모를 고려하면 최소 1,500억 원에서 이론상 최대 1조 2,000억 원까지 과징금이 부과될 수 있는 상황입니다. 다만, 현행 법체계와 공정거래위원회의 집행 관행을 고려할 때 실제 영업정지로 이어질 가능성은 높지 않으며, 과징금 부과와 강도 높은 시정명령이 현실적인 시나리오로 거론되고 있습니다.
한편, 국민의힘은 쿠팡과 이동통신 3사 등의 개인정보 유출에 대한 국정조사 요구서를 제출한 상태로, 이번 사건의 파장이 정치권까지 확대되고 있습니다. 개인정보보호위원회도 개인정보 유출 규모 및 범위, 개인정보보호법 위반 여부를 별도로 조사하고 있어 쿠팡에 대한 추가 제재가 이어질 가능성이 높습니다.
손해배상 소송, 법적 보상 받을 수 있을까
현재 여러 법무법인에서 쿠팡 개인정보 유출 피해자를 대상으로 손해배상 소송 참여자를 모집하고 있습니다. 위자료 청구액은 보통 1인당 20만 원에서 30만 원 사이로 공지되어 있습니다. 접수 마감일이 정해진 곳도 있으므로, 참여를 원하는 피해자는 안내 조건과 필요 서류를 꼼꼼히 확인하는 것이 중요합니다.
손해배상 소송에 참여하기 위해서는 몇 가지 준비가 필요합니다. 쿠팡으로부터 받은 유출 통지 내역, 앱 내 유출 확인 화면 캡처, 스미싱이나 보이스피싱 등 2차 피해 증거, 금전적 피해가 있을 경우 관련 자료 등을 미리 확보해두어야 합니다. 쿠팡의 5만원 구매이용권 보상과는 별도로 법적 손해배상을 청구할 수 있으므로, 피해 사실이 확인된 이용자라면 적극적으로 검토해볼 만합니다.
쿠팡 사태가 남긴 교훈, 기업 보안 관리의 중요성
이번 쿠팡 개인정보 유출 사건은 대한민국 전자상거래 역사상 최대 규모의 침해사고로, 기업의 내부 보안 관리가 얼마나 중요한지를 여실히 보여주었습니다. 특히 퇴사자의 접근 권한을 즉시 회수하지 않고, 핵심 보안 자산인 서명키를 개발자 노트북에 하드코딩한 채 방치한 점은 기본적인 보안 수칙조차 지키지 않은 중대한 과실에 해당합니다.
7개월간 이어진 부정 접근을 전혀 감지하지 못한 것도 쿠팡의 보안 모니터링 체계가 사실상 무력화되어 있었음을 의미합니다. 3367만명이라는 유출 규모는 대한민국 전체 인구의 약 65%에 해당하며, 제3자 정보까지 포함하면 그 범위는 더욱 확대될 수 있습니다.
쿠팡 이용자라면 반드시 유출 여부를 확인하고, 비밀번호 변경 및 2단계 인증 설정 등 즉각적인 보안 조치를 취하는 것이 바람직합니다. 아울러 손해배상 소송 등 법적 구제 방안도 적극적으로 검토하여 자신의 권리를 보호하는 것이 필요합니다. 정부와 개인정보보호위원회의 최종 조사 결과와 제재 수준에 대해서도 지속적인 관심을 기울여야 할 것입니다.