국내 이커머스 1위 쿠팡의 개인정보 유출 사태가 단순 '해킹'이 아닌 내부 직원 범죄로 드러나면서, 소비자 불신이 폭발 직전이다. 3,370만 개 계정—쿠팡 활성 고객(2,470만 명)의 136%에 달하는 규모—의 이름·전화번호·주소·주문 이력이 해외 서버로 빠져나간 사실이 확인됐고, 그 배후엔 퇴사한 외국 국적 직원이 있다는 충격적인 정황까지 포착됐다. 5개월간 보안 시스템이 침투를 눈치채지 못한 '관리 부실'이 핵심 원인으로 지목되면서, 정부 조사와 집단소송 움직임이 급물살을 타고 있다. 이 사태는 쿠팡의 성장 신화를 넘어, 국내 디지털 경제 전체의 취약점을 적나라하게 드러낸 '경고등'으로 남을 전망이다. ▪️내부자 범죄와 '5개월 블라인드'…구조적 취약점 폭로 쿠팡의 유출은 2025년 6월 24일부터 시작된 '장기 침투'였다. 회사 측은 "해외 서버를 통한 무단 접근"으로 추정하지만, 최근 서울경찰청 사이버수사대에 제출된 고소장에 따르면 핵심 용의자는 쿠팡 전 직원—외국 국적의 퇴사자—로 지목됐다. 이 직원은 사건 직후 한국을 떠나 본국으로 귀국한 상태로, 이미 퇴사 처리된 것으로 확인됐다. 머니투데이 취재에 따르면, 용의자는 내부 접근 권한을 악용해 데이터를 해외로 이전한 정황이 포착됐으며, 쿠팡은 "외부 해킹 흔적은 없고, 비인가 내부 접근"으로 결론지었다. 더욱 충격적인 건 쿠팡의 '늦장 대응'이다. 침투가 시작된 지 5개월 만인 11월 18일에야 소규모 유출(4,500건)을 포착했고, 후속 조사에서야 전체 규모가 드러났다. 이는 보안 모니터링 시스템의 치명적 허점을 드러낸다. 전문가들은 "평문(암호화되지 않은) 데이터 저장 구조가 내부 접근 시 그대로 노출될 수밖에 없는 환경"을 지적하며 "이름·주소·전화번호 조합만으로 보이스피싱·스미싱이 가능하고, 주문 이력까지 유출되면 생활 패턴과 현관 비밀번호까지 추적할 수 있다. 쿠팡처럼 고객 데이터를 중앙 집중식으로 관리하는 플랫폼의 고질적 리스크"라고 분석했다. 유출 정보는 기본적으로 이름·이메일·전화번호·배송지 주소록(이름·전화·주소)·최근 5건 주문 이력(상품명·주소 포함)으로, 결제 정보·신용카드·로그인 비밀번호는 보호됐다고 쿠팡은 강조한다. 하지만 X(옛 트위터)에서 "현관 비번까지 저장돼 있었다"는 피해자 증언이 쏟아지며, 실제 피해 범위가 더 클 수 있다는 우려가 제기되고 있다. ▪️접근 차단에 그친 '뒷수습'…정부·경찰 '올인' 수사 쿠팡은 즉시 무단 경로를 차단하고 내부 모니터링을 강화했으며, 리딩 보안 기업 전문가를 영입해 추가 조사를 진행 중이다. 29일부터 피해자 개별 문자·이메일 공지와 FAQ 페이지(incident_help@coupang.com)를 열었지만, "고객 별도 조치 불필요"라는 입장은 역풍을 불렀다. 회사 측은 "이번 일로 모든 우려에 사과드리며, 사칭 피싱 주의"를 당부했으나, X에서 "털렸는데 왜 우리가 조심해야 하냐"는 비아냥이 쏟아졌다. 정부는 '전면 대응' 모드로 전환했다. 과학기술정보통신부는 민관합동조사단을 구성해 원인 분석과 재발 방지 대책을 마련하며, 개인정보보호위원회는 과징금 부과를 검토 중이다. 서울경찰청 사이버수사대는 25일 고소장 접수 후 "모든 가능성 열고 추적"에 나섰고, 보호나라(www.boho.or.kr)에 대국민 보안 공지를 게시했다. 최악 시나리오로 SK텔레콤(2,324만 명 유출, 과징금 1,348억 원) 사례를 넘어설 수 있으며, 1인당 10만 원 위자료 기준 총 3조 3,700억 원 규모 처분이 예상된다. ▪️2차 피해 폭증·주가 하락…이커머스 '보안 공포' 확산 이 사태의 가장 큰 피해는 '2차 범죄'다. 유출 정보로 스팸·사기·스토킹이 급증할 전망이며, X에서 "쿠팡 문자 왔는데, 이제 집 앞에 사기꾼이 서 있나 무섭다"는 반응이 넘친다. 이미 집단소송 페이지(cp.sar.kr)가 개설됐고, 변호사들은 "기업 책임 추궁"을 외치며 참여를 호소하고 있다. 경제적 충격도 만만치 않다. 쿠팡 주가는 29일 3% 급락하며 나스닥 상장사로서의 신뢰가 흔들렸다. 경쟁사(11번가·G마켓)들은 긴급 보안 점검에 나섰고, 중소 플랫폼들은 "쿠팡 따라잡기" 대신 "보안 강화"에 올인할 조짐이다. 보안 업계 관계자는 "내부 직원 관리와 데이터 암호화가 핵심인데, 쿠팡처럼 규모가 커지면 리스크가 기하급수적"이라고 꼬집었다. 장기적으로는 산업 전체 재편을 촉진할 전망이다. 정부는 개인정보 보호법 개정으로 '대형 유출 시 24시간 의무 보고'를 도입할 방침이며, ZK-Proof(영지식 증명) 같은 블록체인 기술 도입 논의가 가속화될 가능성이 크다. 쿠팡은 이제 '빠른 배송' 이미지를 넘어 '안전한 플랫폼'으로 재탄생해야 한다. 3,370만 명의 분노를 달래는 첫걸음이 관건이 될 것이다. 이 사태가 단순 사고로 끝나지 않고, 디지털 경제의 '보안 혁명'으로 이어지길 바란다. Welaunch 김선호 기자 스타트업 뉴스 플랫폼, 위런치 © 2024 Welaunch. All Rights Reserved 보도자료/기고 : editor@welaunch.kr 광고/제휴 문의: we@welaunch.kr