댓글 0
기사입력 : 2025.12.01 16:02
국내 최대 이커머스 기업인 쿠팡에서 약 3,000만 명에 달하는 고객의 개인 식별 정보(PII)가 유출되는 사상 초유의 보안 참사가 발생했다. 이는 국내 전체 인구의 절반을 훌쩍 넘는 규모로, 단일 기업 정보 유출 사례로는 역대급이다.
경찰청 국가수사본부와 한국인터넷진흥원(KISA)의 공동 조사 결과, 이번 사태는 쿠팡의 중국 국적 전(前) 직원의 소행으로 잠정 확인되었다. 퇴직 후에도 비정상적인 경로를 통해 내부망에 접근하여 대규모 데이터를 빼돌린 것으로 드러나, 기업의 내부 보안 및 접근 통제 시스템에 심각한 결함이 있었음이 드러났다.
이번 사건은 'K-커머스' 전체의 신뢰도 하락은 물론, 향후 초대형 집단 소송 및 천문학적인 과징금 부과 가능성까지 제기되며 일파만파의 파장을 낳고 있다.
유출 규모와 피해 정보: '국민 절반'의 개인 식별 정보
쿠팡 측은 지난 28일 새벽, 자사 고객 3,000만 명의 개인정보가 유출된 사실을 공식 인정하고 사과문을 발표했다. 유출된 정보는 이름, 휴대폰 번호, 주소, 일부 구매 내역, 암호화된 비밀번호 등 핵심적인 **개인 식별 정보(PII)**가 포함되어 있는 것으로 알려졌다.
주민등록번호나 카드 결제 정보 등 민감 정보는 유출되지 않았다고 주장하고 있으나, 주소와 이름, 전화번호만으로도 보이스피싱, 스미싱 등 2차 피해를 유발하기에 충분하다는 지적이다.
특히 쿠팡의 고객 기반이 전국민적 규모라는 점에서, 이번 유출은 사실상 '국가적 데이터 보안 비상사태'로 받아들여지고 있다. 피해자들은 정보 유출로 인한 금전적 피해뿐만 아니라, 자신의 온라인 활동 내역까지 제3자에게 노출될 수 있다는 불안감에 떨고 있다.
'중국인 퇴직 직원' 소행의 전모와 내부자 위협
경찰 수사 결과, 이번 대규모 정보 유출은 쿠팡의 IT 시스템 운영 관련 부서에서 근무하다 퇴직한 중국 국적 직원 A씨의 소행으로 파악됐다. A씨는 퇴직 처리 과정에서 내부 시스템 접근 권한이 제대로 회수되지 않았거나, 혹은 별도의 백도어(Backdoor) 계정을 만들어 퇴직 후에도 VPN 등을 이용해 원격으로 내부망에 침입한 것으로 보인다.
보안 업계는 이번 사건을 전형적인 '내부자 위협(Insider Threat)' 사례로 분석한다. 특히 중국 전문 기자로서 관찰하건대, 최근 몇 년간 중국으로 복귀한 IT 전문가들이 이전 직장의 기술 정보나 데이터베이스를 국제 데이터 암거래 시장에 유출하는 사례가 꾸준히 보고되어 왔다.
A씨의 소행 역시 단순한 복수심을 넘어, 유출된 3,000만 명의 데이터를 국제 금융 범죄 조직이나 데이터 브로커에게 판매하여 금전적 이득을 취하려 했을 가능성이 높게 제기되고 있다. 경찰은 중국 공안과의 국제 공조를 요청하고 A씨에 대한 체포영장을 발부받아 검거에 나섰다.
쿠팡의 안일한 보안 인식과 시스템 취약점 분석
사상 최대 규모의 정보 유출이 '퇴직 직원의 소행'이었다는 잠정 결론은 쿠팡의 보안 시스템이 얼마나 취약했는지를 단적으로 보여준다. 전문가들은 다음과 같은 핵심적인 보안 취약점을 지적한다.
퇴직자 계정 관리 실패: 직원이 퇴사하는 즉시 모든 내부 시스템, 원격 접속(VPN), 클라우드 접근 권한을 즉각적이고 완전하게 회수하지 못한 것은 기본적인 보안 규정 위반이다.
미흡한 접근 통제(Access Control): A씨가 담당했던 직무 범위를 벗어난 방대한 고객 데이터베이스에 접근하고 다운로드할 수 있도록 허용된 것은 내부망 접근 통제 정책이 부실했음을 의미한다. 쿠팡이 수천만 명의 고객 데이터를 다루면서도 **접근 시 다중 인증(MFA)**을 의무화하거나, 데이터 접근 기록(로그)에 대한 실시간 모니터링을 소홀히 한 정황이 포착되었다.
해외 원격 접속 관리 미흡: A씨가 중국 현지에서 원격 접속을 시도했음에도 불구하고, 비정상적인 대용량 데이터 전송에 대한 **이상 징후 감지 시스템(IDS)**이 제대로 작동하지 않았다.
법적 책임과 천문학적 과징금, 집단 소송 파장
이번 사건은 한국의 개인정보보호법 위반 중에서도 가장 중대한 사안으로 다뤄질 전망이다. 현행 개인정보보호법에 따르면, 기업이 고객 개인정보 보호 의무를 위반하여 정보가 유출될 경우, 전체 매출액의 일정 비율을 과징금으로 부과할 수 있다.
법조계는 쿠팡의 국내 매출액과 유출된 정보의 규모를 고려했을 때, 과거 역대 정보 유출 사건의 과징금 규모를 훨씬 상회하는 천문학적인 과징금이 부과될 것으로 예측하고 있다. 더 나아가, 피해 고객 3,000만 명 중 상당수가 참여하는 **대규모 집단 소송(Class Action Lawsuit)**이 불가피하다. 과거 유사 사례에서 소송 참여자당 수십만 원의 배상액이 책정된 점을 미루어 볼 때, 쿠팡이 부담해야 할 민사적 책임 규모는 수조 원대에 달할 수도 있다.
이와 별개로, 개인정보보호위원회는 이번 사안을 단순한 보안 사고가 아닌 기업의 안일한 보안 인식과 구조적 결함으로 보고, 쿠팡 경영진에 대한 책임 추궁과 함께 강도 높은 징계를 검토하고 있는 것으로 알려졌다.
기업 신뢰도 추락과 K-커머스의 위기
쿠팡은 빠른 배송과 혁신적인 서비스로 국내 이커머스 시장을 지배해왔으나, 이번 사건으로 기업의 신뢰도가 바닥까지 추락했다. 온라인 플랫폼의 성공이 **'데이터'**에 기반하는 만큼, 이 데이터를 지키지 못한 기업에 대한 소비자의 불만과 배신감은 쉽게 가라앉지 않을 전망이다.
또한, 이번 사건은 쿠팡만의 문제가 아닌, **'데이터 경제'**를 표방하는 국내 IT 산업 전반에 걸친 경고등으로 작용하고 있다. 외국인 직원의 비중이 높은 국내 IT 기업들에게 내부 보안 관리를 어떻게 해야 하는지, 그리고 핵심 데이터의 국경 간 이동을 어떻게 통제해야 하는지에 대한 근본적인 숙제를 던지고 있다.
데이터 보안은 이제 단순한 기술적 문제가 아닌, 기업의 생존과 직결된 경영 리스크이자 국가 안보 문제로 격상되었다는 분석이다.
재발 방지 및 데이터 주권 강화 요구
경찰은 A씨의 신병 확보를 위해 외교 경로를 통한 국제 사법 공조를 요청하는 한편, 쿠팡에는 정보 유출 관련 공지 의무를 충실히 이행하고 피해 최소화에 총력을 다할 것을 주문했다.
전문가들은 기업들이 퇴직자 계정 회수 자동화, 내부망 접근 시 제로 트러스트(Zero Trust) 기반의 인증 시스템 도입, 그리고 국가별 데이터 접근 권한을 엄격히 분리하는 데이터 분리 정책을 시급히 도입해야 한다고 강조한다.
이번 사태는 대한민국이 데이터 강국으로 나아가기 위해, 편리함 뒤에 가려져 있던 **데이터 주권(Data Sovereignty)**과 국가적 보안 의식을 근본적으로 재점검해야 함을 강력하게 시사하고 있다.
