한국 최대 전자상거래 업체 쿠팡이 무단 데이터 접근으로 3,370만 고객 계정의 개인정보 유출이 발생한 데 대해 일요일 공식 사과했다. 회사는 이번 사건으로 고객에게 불편을 끼쳤다며 유감을 표명했다.
2025년 11월 30일, 로이터 보도에 따르면, 박대준 쿠팡 대표는 회사 웹사이트에 올린 글에서 “고객 여러분께 불편을 끼쳐 드린 점 다시 한 번 진심으로 사과드린다”고 밝혔다.
“고객 여러분께 불편을 끼쳐 드린 점 다시 한 번 진심으로 사과드린다.” — 박대준 쿠팡 대표
이번 침해는 최근 SK텔레콤 등 국내 주요 기업에서 잇따른 데이터 유출 사례들에 이어 발생한 최신 사건으로, 시장 전반의 보안 관리 실태에 대한 경각심을 높이고 있다.
정부는 일요일 긴급 회의를 열고 개인정보 보호 관련 안전조치 의무 위반 여부를 점검 중이라고 밝혔다. 배경훈 과학기술정보통신부 장관은 쿠팡의 관련 법규 준수 여부를 조사하고 있다고 전했다.
쿠팡은 11월 18일 데이터 침해 사실을 인지해 당국에 신고했다고 설명했다. 회사는 현재 수사기관 및 규제당국과 협력 중이라고 밝혔다.
쿠팡은 한국 소비자에게 “로켓”으로 알려진 신속 배송 서비스로 널리 이용되고 있으며, 3분기 기준 활성 상거래 사용자1가 2,470만 명이라고 밝힌 바 있다. 1 ‘활성 상거래 사용자’는 일정 기간 내 실제 구매 활동을 보인 이용자를 의미하는 통상적 지표다.
연합뉴스는 일요일 보도에서 중국 국적의 전(前) 쿠팡 직원이 이번 유출 배후로 의심을 받고 있다고 전했다. 쿠팡은 이달 경찰에 고소장을 제출했으며, 경찰이 수사 중이라고 했다. 연합뉴스는 보도 출처를 특정하지 않았다고 덧붙였다.
쿠팡 측은 근무시간 외에는 즉각적인 논평을 제공할 수 없었다고 로이터는 전했다.
이번 유출로 고객의 이름, 이메일 주소, 전화번호, 배송지 주소, 일부 주문 이력이 노출됐다고 회사는 밝혔다. 다만 결제 정보와 로그인 자격증명(아이디·비밀번호 등)은 유출되지 않았다고 설명했다.
쿠팡은 개인정보에 대한 무단 접근이 6월 24일 해외 서버를 통해 시작된 것으로 파악하고 있다고 했다. 이와 관련한 정확한 침해 경로와 공격 방식에 대해서는 수사가 진행 중이다.
한국인터넷진흥원(KISA)은 이번 유출 영향을 받은 이용자들에게 공식 권고문을 내고, 피싱(Phishing) 사기에 주의할 것을 경고했다. KISA는 유사 사건에서 개인정보를 미끼로 한 접근 시도가 잦다는 점을 강조해 왔다.
핵심 포인트 정리
• 사건 규모: 3,370만 고객 계정의 개인정보가 노출됐다고 쿠팡은 밝혔다.
• 인지 및 신고: 11월 18일 인지 후 당국에 신고했고, 수사·규제당국과 협력 중이다.
• 노출 범위: 이름·이메일·전화번호·배송지·일부 주문 이력. 결제 정보·로그인 정보는 제외.
• 시작 시점: 6월 24일 해외 서버를 통한 무단 접근이 시작된 것으로 추정.
• 정부 대응: 일요일 긴급 회의 개최, 보호조치 위반 여부 조사.
• 수사 관련: 연합뉴스는 전(前) 직원 연루 의혹을 보도; 경찰이 수사 중.
용어·맥락 설명
• 로켓배송: 쿠팡의 빠른 배송 서비스 브랜드로, 주문 다음 날 또는 당일 배송을 지향하는 물류 서비스다.
• 활성 상거래 사용자: 특정 분기 또는 월에 실제 구매 활동을 한 계정 수를 가리키는 전자상거래 업계의 표준 지표다.
• 피싱(Phishing): 이메일·문자·메신저 등을 통해 신뢰할 수 있는 기관을 사칭하여 비밀번호, 카드정보 등을 빼내려는 사회공학적 공격을 뜻한다.
실용 정보: 2차 피해 예방을 위한 유의사항
• 의심스러운 연락 차단: 배송 정보나 주문 이력을 언급하며 링크 클릭이나 개인정보 추가 입력을 요구하는 메시지는 열람을 자제하고, 발신자 주소·도메인을 재확인하는 것이 바람직하다.
• 계정 보안 점검: 동일하거나 유사한 비밀번호를 여러 서비스에서 사용했다면 변경하고, 가능하면 다단계 인증(MFA)을 활성화하는 것이 일반적으로 권장된다.
• 주문 내역·결제 내역 모니터링: 비정상 주문 알림, 낯선 배송지 변경 요청, 알 수 없는 고객센터 사칭 연락 등에 주의를 기울여야 한다.
• 공식 채널 확인: 서비스 공지·앱 내 알림 등 공식 안내를 우선 확인하고, 비공식 링크·문서는 피하는 것이 안전하다.
맥락과 함의
이번 사건은 대규모 고객 기반을 가진 전자상거래 플랫폼에서의 데이터 접근 통제와 내부자 통제의 중요성을 환기시킨다. 특히 결제 정보와 로그인 자격증명은 제외됐다는 회사 측 설명에도 불구하고, 이름·연락처·배송지·주문 이력의 결합 정보는 표적형 피싱과 사회공학 공격의 정교화를 가능케 할 수 있어, 사용자 주의가 요구된다. 정부가 안전조치 의무 위반 여부를 조사 중이라는 점은, 보호조치의 적정성과 사전적 위험 완화 체계에 대한 정책·규제적 점검이 병행되고 있음을 시사한다.
또한 연합뉴스가 전한 전(前) 직원 연루 의혹 보도 및 경찰 수사 진행은, 내부자 위협이 대규모 유출에서 반복적으로 문제시되어 왔다는 일반적 보안 리스크를 재조명한다. 다만 해당 의혹과 관련한 사실관계는 수사 결과로 확인될 사안이다.
현재까지 확인된 사실
• 쿠팡은 사과 입장을 밝혔다.
• 3,370만 계정의 개인정보가 무단 접근에 노출됐다.
• 11월 18일 인지 후 당국 신고 및 수사·규제당국과 협력 중이다.
• 이름·이메일·전화번호·배송지·일부 주문 이력이 노출, 결제·로그인 정보는 제외.
• 무단 접근은 6월 24일 해외 서버 통해 시작된 것으로 추정.
• 정부는 긴급회의를 열고 보호조치 위반 여부 조사에 착수했다.
• KISA는 피싱 주의를 당부하는 공개 권고를 발표했다.
