본문바로가기

한겨레21

“유출 아니고 노출입니다”…쿠팡, 피해 축소 급급했다
전체메뉴보기
지면보기구독하기검색하기

기사 공유 및 설정

1591호

“유출 아니고 노출입니다”…쿠팡, 피해 축소 급급했다

서혜미 기자
등록 2025-12-01 09:47 수정 2025-12-01 10:22
2025년 11월30일 서울 시내 쿠팡 차량 차고지. 연합뉴스

2025년 11월30일 서울 시내 쿠팡 차량 차고지. 연합뉴스


‘피해자 3370만여 명’이라는 전례를 찾기 힘든 대규모 개인정보 유출 사고가 발생한 쿠팡의 대응을 두고 비판의 목소리가 나온다. 쿠팡은 결제·신용카드·로그인 정보는 유출되지 않았다고 강조했지만, 정작 피해 사실을 사건 발생 5개월 뒤에야 인지했고, 초기엔 피해 규모조차 제대로 파악하지 못했기 때문이다. 더욱이 고객 정보가 외부 해킹 등이 아닌 내부 직원에 의해 빠져나갔을 가능성이 제기되면서, 장기간 조직 내 개인정보 관리·감독 기능이 작동하지 않았을 것이란 분석도 나온다.

2025년 11월30일 쿠팡의 월간 활성 사용자 고객 현황을 보면, 지난 3분기 기준 2470만 명이다. 이번 유출 사고로 3370만 명의 개인정보가 빠져나간 점을 고려하면, 비활성 고객까지 포함한 사실상 대다수 고객 정보가 모두 유출된 것으로 보인다. 하지만 쿠팡은 이번 사태 초기부터 안내문 등에서 ‘개인정보 유출’이 아닌 ‘노출’이라는 표현을 고수해왔다. ‘시스템이 해킹당했으면 유출인데, 이번 사건은 시스템 해킹이 아니다’라는 것이 쿠팡 쪽 주장이다.

최경진 한국인공지능법학회장(가천대 법학과 교수)은 “노출은 일반적으로 데이터들이 일반인이 접근할 수 있도록 공개된 상태를 일컫는데, 경우에 따라선 경미한 과실로 인해 발생할 수도, 중대한 과실로 인해 발생할 수도 있다”고 설명했다. 반면 유출은 “외부 해킹이나 내부자의 악의적인 행위, 기업의 중대한 과실로 생긴 상황을 가리키는 경우가 많다”고 덧붙였다. 전날 3370만개 계정의 피해가 확인됐는데도 여전히 ‘경미한 과실’이라는 뜻을 고수하고 있는 셈이다.

이번 쿠팡 사태는 앞서 발생한 에스케이텔레콤(SKT)·케이티(KT) 등 통신사나 롯데카드 등에서 발생한 개인정보 유출 사고와는 규모나 기업의 개인정보 관리·감독 면에서 더욱 심각하다는 지적이 나온다. 앞서 발생한 사건은 해킹으로 인한 악성코드 감염, 불법 펨토셀(초소형 기지국) 등 외부적 요인이 원인이지만, 쿠팡의 경우엔 내부 직원에 의한 개인정보 유출 가능성이 거론되고 있기 때문이다. 정부는 지금까지 쿠팡 서버에서 발견된 악성코드는 없다고 밝혔다.


쿠팡은 이번 사고 원인에 대해 ‘해외 서버를 통한 비인가 조회’라고 설명하고 있다. 접근 권한이 없는 기업의 내·외부자가 고객 개인정보에 접근했다는 뜻이다. 배경훈 부총리 겸 과학기술정보통신부 장관은 2025년 11월30일 정부서울청사에서 긴급 관계부처 장관회의를 열고 “공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 3천만개 이상 고객 계정의 고객명, 이메일, 배송지 전화번호 및 주소를 유출한 것으로 확인했다”고 밝혔다. 쿠팡은 중국 국적의 전 직원이 범행을 저질렀을 가능성이 있다는 일부 보도에 이렇다 할 부인을 하지 않는 상황이다.

김명주 서울여대 교수(정보보호학과)는 “내부 직원이 고객 개인정보를 빼간다면 정보 유출 방지시스템(DLP)에 의해 자동으로 파악되기 마련”이라며 “내부 보안 전문가나 시스템 관리자에 대한 관리·감독이 제대로 되고 있었는지 살펴봐야 한다”고 말했다.

개인정보보호법은 관련 고시에서 개인정보처리자가 개인정보를 다룰 때 반드시 지켜야 하는 최소한의 보호 기준을 제시하고 있다. 예컨대 정당한 권한을 가진 자가 개인정보에 접근하도록 해야 하고, 개인정보 취급자가 바뀌거나 해당 직원의 업무가 바뀔 경우, 개인정보처리시스템의 접근 권한을 즉시 조정하거나 말소하도록 해야 한다는 것이다.

이 때문에 향후 쟁점은 쿠팡이 접근 권한 관리와 통제를 제대로 하고 있었는지가 될 것으로 보인다. 업계에서는 이번 사고로 역대 최대 과징금 처분이 나올 것이란 관측이 제기되고 있다. 지금까지 개인정보 유출에 따른 최대 과징금은 에스케이텔레콤의 1347억9100만원이다. 이번 사고로 유출된 개인정보 규모가 에스케이텔레콤 사고 때보다 큰데다, 외부 공격이 아닌 내부 직원 소행이라면 책임을 더욱 무겁게 볼 여지가 있다는 것이다. 김도승 개인정보보호법학회장(전북대 법학전문대학원 교수)은 “내부적인 문제에서 비롯된 측면이 있다면 중대한 과실을 추단할 수밖에 없고, 내부 관리 시스템 자체가 무너졌다고 비판해도 할 말이 없는 상황”이라고 말했다.

서혜미 기자 ham@hani.co.kr

한겨레 저널리즘
응원으로 지켜주세요
후원하기후원제 소개
맨위로

한겨레21 인기기사

한겨레 인기기사