쿠팡 개인정보 유출 사건 발단, 3367만 명 피해의 시작
2026년 2월 10일, 과학기술정보통신부와 민관합동조사단은 약 70일간의 조사 끝에 쿠팡 개인정보 유출 사건의 전모를 공식 발표하였습니다. 국내 최대 전자상거래 플랫폼에서 발생한 이번 사건은 총 3,367만 3,817건의 개인정보가 유출된 것으로 확인되었으며, 이는 역대 국내 개인정보 유출 사고 중에서도 손꼽히는 대규모 사건에 해당합니다.
사건의 발단은 2025년 11월로 거슬러 올라갑니다. 쿠팡은 자사 시스템에서 비정상적인 대량 접근을 감지하였고, 이후 내부 조사를 통해 전직 직원에 의한 조직적인 개인정보 탈취가 이루어졌음을 확인하게 되었습니다. 유출된 정보에는 쿠팡 회원들의 성명, 이메일 주소, 전화번호, 배송지 주소 등 민감한 개인정보가 포함되어 있어 국민적 충격과 분노를 불러일으켰습니다.
피의자 중국 국적 개발자 A씨(43세) 신원과 입사 경위
이번 사건의 핵심 피의자는 중국 국적의 소프트웨어 개발자 A씨(43세)로 확인되었습니다. A씨는 2022년 11월 쿠팡에 'Staff Back-end Engineer'로 입사하여, 시스템 장애 시 백업을 위한 이용자 인증 시스템 설계 및 개발 업무를 담당하였습니다. 해당 직무의 특성상 A씨는 쿠팡의 핵심 보안 시스템인 서명키 관리 체계에 깊숙이 관여할 수 있는 위치에 있었습니다.
A씨는 약 2년간 근무한 뒤 2024년 말(추정 2025년 1월) 퇴사하였습니다. 문제는 퇴사 과정에서 발생하였는데, A씨가 재직 당시 발급받은 서명키가 퇴사 후에도 폐기되거나 갱신되지 않았다는 점이 민관합동조사단의 조사를 통해 밝혀졌습니다. 이로 인해 A씨는 퇴사 이후에도 쿠팡의 시스템에 사실상 자유롭게 접근할 수 있는 상태가 지속되었습니다.
서명키 위변조 전자출입증 제작 수법 상세
A씨가 사용한 공격 기법은 쿠팡의 인증 체계를 근본적으로 우회하는 정교한 방식이었습니다. 쿠팡의 정상적인 인증 절차를 먼저 살펴보면, 이용자가 아이디와 비밀번호로 로그인하면 서버에서 '전자 출입증'(토큰)을 발급받게 되고, 이 전자 출입증을 관문 서버(API Gateway)가 검증한 뒤 서비스 접속이 허용되는 구조입니다.
A씨는 재직 당시 확보한 서명키를 활용하여 위변조된 전자 출입증을 직접 제작하였습니다. 이를 통해 정상적인 로그인 절차 없이도 마치 정상 이용자처럼 쿠팡 시스템에 접근할 수 있었습니다. 더욱 심각한 문제는 쿠팡의 관문 서버에 전자 출입증의 위·변조 여부를 확인하는 절차가 아예 존재하지 않았다는 점입니다. 정상적인 발급 절차를 거친 전자 출입증인지 여부를 검증하는 체계 자체가 부재했던 것입니다.
또한 조사 과정에서 현재 재직 중인 쿠팡 개발자들도 서명키를 개인 노트북에 저장하고 있는 사실이 발견되어, 키 관리 시스템(KMS) 외부에서의 키 유출 및 오남용 위험이 상존하고 있었음이 드러났습니다. 서명키의 발급·사용 이력 관리 체계 역시 미흡하여, 목적 외 사용을 사전에 점검하기 어려운 구조적 결함이 확인되었습니다.
퇴사 전 공격 테스트와 퇴사 후 7개월간 대규모 탈취 경위
민관합동조사단의 조사에 따르면, A씨는 퇴사 전부터 치밀하게 공격을 준비한 것으로 드러났습니다. A씨는 재직 중 몇 차례에 걸쳐 사전 공격 테스트를 실시하였으며, 인증 우회 방식이 실제로 작동하는지를 사전에 확인한 뒤 퇴사한 것으로 파악되었습니다. 이는 단순한 우발적 행위가 아닌 계획적이고 조직적인 범행이었음을 보여주는 대목입니다.
본격적인 공격은 2024년 4월 14일부터 시작되어 2024년 11월 8일까지 약 7개월간 지속되었습니다. A씨는 쿠팡의 '내 정보 수정 페이지'에 접근하여 이용자 성명과 이메일이 포함된 개인정보 3,367만여 건을 탈취하였습니다. 또한 '배송지 목록 페이지'에서는 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보를 무려 1억 4,800만여 차례 조회한 것으로 확인되었습니다.
특히 쿠팡이 내부 데이터베이스의 사용자 식별값(Primary Key)을 암호화된 난수나 랜덤 값이 아닌 순서대로 1씩 증가하는 정수(Auto Increment Integer)로 설정해 두고 있었다는 점도 대량 탈취를 용이하게 만든 요인으로 지적되었습니다. A씨는 이러한 예측 가능한 식별값 구조를 악용하여 전체 회원의 정보에 순차적으로 접근할 수 있었습니다.
IP 2,313개 돌려쓰기 자동화 웹크롤링 공격 방식
A씨가 활용한 공격 도구와 방식은 상당히 정교한 것이었습니다. A씨는 자동화된 웹크롤링 공격 도구를 직접 제작하여 대규모 정보 유출을 실행하였으며, 이 과정에서 총 2,313개의 IP 주소를 돌려 쓰는 방식으로 탐지를 회피하였습니다.
일반적으로 단일 IP에서 비정상적인 대량 접근이 발생하면 보안 시스템에 의해 차단되지만, A씨는 수천 개의 IP를 순환하며 접속함으로써 각 IP당 접근 빈도를 정상 범위 내로 유지하였습니다. 이러한 분산 공격 방식은 쿠팡의 기존 보안 모니터링 체계로는 감지하기 극히 어려운 구조였습니다.
민관합동조사단은 쿠팡이 이러한 대규모 비정상 접근을 7개월 동안 전혀 감지하지 못했다는 점을 심각한 보안 관리 부실로 지적하였습니다. 로그 관리 체계 역시 충분하지 않아, 공격자의 정확한 행적을 사후에 파악하는 데에도 상당한 어려움이 있었던 것으로 알려졌습니다.
쿠팡 24시간 이내 신고 의무 위반 논란
쿠팡의 침해사고 대응 과정에서도 중대한 법적 문제가 드러났습니다. 정보통신망법에 따르면, 기업은 침해사고를 인지한 시점으로부터 24시간 이내에 과학기술정보통신부 산하 한국인터넷진흥원(KISA)에 신고해야 할 의무가 있습니다.
그러나 쿠팡은 이 의무를 이행하지 않았습니다. 조사 결과에 따르면, 쿠팡의 정보보호 최고책임자(CISO)에게 침해사고가 보고된 시점은 2025년 11월 17일 오후 4시였으나, 실제 KISA 신고는 이틀여가 지난 2025년 11월 19일 오후 9시 35분에야 이루어졌습니다. 이는 24시간 규정을 약 50시간 이상 초과한 것으로, 명백한 법규 위반에 해당합니다.
과학기술정보통신부는 이러한 신고 지연에 대해 3,000만 원 이하의 과태료를 부과할 예정이라고 밝혔습니다. 다만 신고 지연 과태료 자체는 금액이 크지 않더라도, 이는 쿠팡의 전반적인 보안 관리 태도와 위기 대응 능력에 대한 심각한 의문을 제기하는 부분입니다.
---- 이미지 3번 ----
개인정보보호위원회 및 민관합동조사단 70일간 조사 경과
이번 사건에 대한 정부의 대응은 과학기술정보통신부와 개인정보보호위원회가 각각의 소관 법률에 따라 병행 조사를 진행하는 방식으로 이루어졌습니다. 과기정통부는 정보통신망법에 근거하여 침해사고의 기술적 원인과 경위를 조사하였고, 개인정보보호위원회는 개인정보보호법에 따라 개인정보 유출에 대한 관리적·법적 책임을 조사하였습니다.
민관합동조사단은 2025년 12월 2일 구성되어 약 70일간의 집중 조사를 수행한 끝에 2026년 2월 10일 최종 결과를 발표하였습니다. 조사 과정에서는 유출 범인의 신원과 국적을 장기간 공개하지 않아 논란이 되기도 하였습니다. 일부에서는 외교적 고려 때문에 중국 국적을 숨기고 있는 것이 아니냐는 의혹을 제기하였으나, 조사단 측은 수사 진행 중인 사안이라 공개가 어려웠다고 해명하였습니다.
조사 결과 발표에서는 공격자가 유출된 정보를 해외 클라우드 서버로 전송할 수 있는 기술적 가능성은 확인되었으나, 실제 외부 전송 여부는 관련 기록이 남아 있지 않아 확인이 불가능하다고 밝혔습니다. 다만 2차 피해(결제정보 유출 등)는 현재까지 확인되지 않은 것으로 알려졌습니다.
쿠팡의 중국 개발자 대규모 채용 지속 논란
이번 사건에서 특히 논란이 된 부분은 쿠팡의 중국 개발자 채용 정책입니다. 핵심 피의자가 중국 국적 개발자로 지목된 상황에서도 쿠팡은 중국 본토에서의 대규모 개발자 채용을 중단하지 않고 지속하고 있는 것으로 확인되었습니다.
보도에 따르면, 쿠팡은 최근 중국 베이징·상하이 지역에서 80여 개 이상의 고연봉 개발직을 모집하고 있으며, 일부 직군은 연봉 8만~15만 달러(한화 약 1억~2억 원대)에 달하는 고급 인력을 대상으로 하고 있습니다. 사고 원인 규명과 보안 강화 대책을 내놓기도 전에 중국 개발 조직을 그대로 유지·확대하고 있다는 점에서 비판의 목소리가 높아지고 있습니다.
이에 대해 쿠팡 측은 개발 인력의 국적과 보안 사고는 별개의 문제이며, 글로벌 인재 채용은 기업의 경쟁력 확보를 위해 필수적이라는 입장을 밝혀왔습니다. 그러나 해당 사건이 내부자에 의한 보안 침해라는 점에서, 외국 국적 개발자의 핵심 시스템 접근 권한 관리에 대한 근본적인 재검토가 필요하다는 지적이 이어지고 있습니다.
국내 IT 기업 퇴직자 접근권한 관리 실태와 보안 체계 문제점
이번 쿠팡 사태는 국내 IT 기업 전반의 퇴직자 접근권한 관리 실태에 대한 경종을 울리고 있습니다. 순천향대학교 정보보안학과 염흥열 명예교수는 "보안 인가를 받았던 직원이 퇴사를 한다면 유효기간과 상관없이 즉시 접근 권한을 말소하는 것이 당연한 절차"라며, 쿠팡의 보안 준칙 미준수를 강하게 비판하였습니다.
실제로 이번 사건에서 드러난 쿠팡의 보안 관리 부실 사항은 다음과 같이 다수에 달합니다.
| 구분 | 문제점 | 정상 절차 |
| 서명키 관리 | 퇴사 후에도 서명키 미폐기 | 퇴사 즉시 접근 권한 말소 |
| 키 저장 방식 | 개발자 노트북에 서명키 저장 | 키 관리 시스템(KMS) 전용 저장 |
| 인증 검증 | 전자출입증 위변조 검증 부재 | 발급 절차 검증 및 유효성 확인 |
| 사용자 식별값 | 순차 정수(Auto Increment) 사용 | 암호화된 난수·UUID 사용 |
| 이상 탐지 | 7개월간 비정상 접근 미감지 | 실시간 이상 행위 모니터링 |
| 로그 관리 | 접근 기록 관리 체계 미흡 | 전수 로그 보관 및 정기 감사 |
이러한 문제점들은 비단 쿠팡만의 문제가 아닐 수 있습니다. 국내 많은 IT 기업들이 빠른 성장과 서비스 확대에 집중하는 과정에서 내부자 위협 관리와 퇴직자 접근권한 관리에 충분한 투자를 하지 않고 있다는 우려가 제기되고 있습니다.
개인정보보호법 위반 과징금 처분 전망
쿠팡에 대한 행정 제재는 크게 두 가지 경로에서 진행될 전망입니다. 첫째는 과학기술정보통신부의 정보통신망법 위반에 따른 제재이고, 둘째는 개인정보보호위원회의 개인정보보호법 위반에 따른 과징금 부과입니다.
특히 주목해야 할 점은 개정된 개인정보보호법 제64조의2에 따른 과징금 규모입니다. 개인정보 유출 사고 시 매출액의 최대 3%까지 과징금이 부과될 수 있으며, 쿠팡의 연매출 규모를 고려하면 최소 1,500억 원에서 이론상 최대 1조 2,000억 원까지 과징금이 부과될 수 있다는 분석이 나오고 있습니다. 이는 국내 개인정보 유출 사고 과징금 중 역대 최대 규모가 될 가능성이 높습니다.
| 제재 항목 | 근거 법률 | 예상 규모 |
| 신고 지연 과태료 | 정보통신망법 | 3,000만 원 이하 |
| 개인정보 유출 과징금 | 개인정보보호법 | 최소 1,500억~최대 1조 2,000억 원 |
| 시정명령 | 정보통신망법 | 재발 방지 대책 이행 |
| 영업정지 검토 | 개인정보보호법 | 검토 중 |
과기정통부는 조사 결과를 토대로 쿠팡에 재발 방지 대책 이행 계획을 2월 중 제출하도록 하였으며, 3~5월 이행 점검, 6~7월 최종 점검을 거쳐 미흡할 경우 정보통신망법에 따른 시정조치를 내릴 방침입니다. 또한 개인정보보호위원회는 쿠팡에 대해 개인정보 '노출' 통지를 '유출' 통지로 수정하고, 유출 항목을 빠짐없이 반영하여 재통지할 것을 요구하였습니다.
피해자 집단소송 현황과 손해배상 전망
행정 제재와 별도로, 피해자들의 민사 소송도 본격화되고 있습니다. 국내에서는 2025년 12월 2일부터 2026년 1월 16일까지 집단소송 접수가 진행되었으며, 제주 지역에서만 2,300여 명의 소송 참여 신청자가 접수되어 이 중 1,527명을 1차 원고로 소송이 제기되었습니다. 총 1,500명 이상의 피해자가 쿠팡을 상대로 집단소송에 나선 상태입니다.
법정 손해배상 제도에 따르면, 실제 손해액을 입증하지 않더라도 법원이 최대 300만 원 범위 내에서 상당한 손해액을 인정할 수 있습니다. 다만 과거 카드사 정보 유출, 인터파크 해킹 사건 등의 판례를 보면, 법원은 기업의 과실이 인정될 경우 피해자 1인당 10만~20만 원 내외의 위자료를 인정한 바 있어, 실제 배상액은 이 수준에서 결정될 가능성이 높습니다.
한편, 미국에서도 피해자들이 쿠팡아이엔씨(Coupang Inc.)와 김범석 의장을 상대로 개인정보보호 의무 위반을 이유로 73억 원 이상의 징벌적 손해배상을 청구하는 집단소송을 제기하였습니다. 현재까지 7,000명 이상의 정보유출 피해자가 미국 집단소송 참가와 관련하여 연락해 온 것으로 알려졌습니다. 미국의 징벌적 손해배상 제도가 적용될 경우, 쿠팡이 부담해야 할 배상 규모는 국내 소송보다 훨씬 커질 수 있습니다.
유사 사고 재발 방지를 위한 기업 보안 강화 대책
이번 쿠팡 사태를 계기로 국내 IT 기업 전반의 보안 체계 강화가 시급하다는 목소리가 높아지고 있습니다. 전문가들이 제시하는 핵심 보안 강화 대책은 다음과 같습니다.
첫째, 퇴직자 접근권한 즉시 말소 체계 구축입니다. 직원이 퇴사하는 즉시 모든 인증 수단과 접근 권한을 자동으로 폐기하는 시스템이 반드시 마련되어야 합니다. 서명키, 접근 토큰, VPN 계정 등 모든 인증 수단이 퇴사 프로세스와 연동되어 자동 폐기되는 구조가 필요합니다.
둘째, 서명키 관리 체계(KMS)의 고도화입니다. 서명키는 반드시 전용 키 관리 시스템에서만 저장·관리되어야 하며, 개발자 개인 장비에 저장하는 것을 기술적으로 차단해야 합니다. 또한 키 발급·사용·폐기 전 과정의 이력 관리와 정기 감사가 이루어져야 합니다.
셋째, 이상 행위 실시간 탐지 시스템 강화입니다. 대규모 비정상 접근 패턴을 실시간으로 감지할 수 있는 보안 모니터링 체계를 고도화하고, 다수 IP를 활용한 분산 공격에도 대응할 수 있는 행위 기반 탐지 기술을 도입해야 합니다.
넷째, 사용자 식별값 보안 강화입니다. 순차 정수(Auto Increment) 방식의 Primary Key를 UUID나 암호화된 난수로 전환하여, 식별값의 예측을 통한 대량 정보 탈취를 원천적으로 차단해야 합니다.
다섯째, 전자 출입증(토큰) 검증 체계 정비입니다. 관문 서버에서 전자 출입증의 정상 발급 여부를 검증하는 절차를 반드시 추가하고, 위변조된 토큰의 사용을 사전에 차단할 수 있는 다중 검증 체계를 구축해야 합니다.
향후 전망과 시사점
쿠팡 개인정보 유출 사건은 단순한 해킹 사고를 넘어 국내 IT 기업의 보안 체계 전반에 대한 근본적인 재점검을 요구하는 사건입니다. 내부자에 의한 위협이 외부 공격보다 더 치명적일 수 있다는 사실을 여실히 보여주고 있으며, 특히 핵심 보안 시스템에 접근 권한을 가진 개발자의 퇴사 후 관리가 얼마나 중요한지를 일깨워주고 있습니다.
과학기술정보통신부는 쿠팡에 재발 방지 대책 이행 계획을 2월 중 제출하도록 하였으며, 이후 단계적 점검을 통해 이행 상황을 확인할 예정입니다. 개인정보보호위원회의 과징금 부과 결정과 국내외 집단소송의 결과에 따라 쿠팡이 부담해야 할 총 비용은 수천억 원에 달할 수 있을 것으로 전망됩니다.
이번 사건은 모든 국내 기업에 중요한 교훈을 남기고 있습니다. 아무리 성장과 서비스 확대가 중요하더라도, 고객 개인정보 보호를 위한 기본적인 보안 체계 구축에 소홀해서는 안 된다는 것입니다. 퇴직자 접근권한 관리, 서명키 관리, 이상 행위 탐지 등 기본 중의 기본이라 할 수 있는 보안 절차가 제대로 갖추어지지 않았다는 점에서, 국내 IT 업계 전체가 보안 투자와 관리 체계를 근본적으로 재검토해야 할 시점입니다.