올해만 해도 개인 정보 유출 사태가 많은 한해 입니다. 그런데… 전국민이 사용하고 있는 쿠팡에서 역대급 개인정보 유출 사태가 발생했습니다.

무려 3,370만건의 개인정보가 유출된 것으로 확인되었습니다. 이는 대한민국 전체 인구의 65%, 경제활동인구의 대부분을 포함한 수치인데요. 워낙 전례 없는 사건이다 보니, 온·오프라인에서는 확인되지 않은 정보들도 넘쳐나고 있습니다.

그래서 오늘은 사안에 대한 분석보다는, ‘팩트(Fact)’ 중심으로 사건의 경위를 정리해보려 합니다.

※ 본 글은 12월 14일까지 확인된 내용으로 작성되었습니다.

Q. 우선, 이번 ‘쿠팡 정보 유출’ 사태가 정확히 어떤 사건인지, 규모는 어느 정도인가?

A. 이번 사고는 사실상 대한민국 역사상 최대 규모의 보안 사고로 평가됩니다. 지난 8월 약 2,300만 명이 피해를 본 SKT 유출 사건보다 훨씬 큰 수치입니다. 유출 기간은 2025년 6월부터 11월까지 약 5개월간 지속되었다고 알려져있습니다. 사실상 쿠팡을 한 번이라도 써본 국민이라면 거의 모두 해당한다고 봐야합니다.

Q. 외부 해킹이 아니라 내부 직원이 유출했다는 말이 있던데, 사실인가?

A. 내부 직원의 소행이 ‘유력’하다고 전해집니다. 경찰 수사와 쿠팡 측 발표를 종합해 보면 유력한 용의자는 쿠팡에서 인증 업무를 담당했던 ‘중국인’이라고 특정하고 있습니다. 현재 이 직원은 퇴사 후 중국으로 출국한 상태로 조사가 어렵기 때문에 ‘확정’된 상태는 아니라고 합니다.

Q. 용의자가 중국인이라서 쿠팡의 인력 구조에 대한 이야기도 나오는 것 같은데, 그렇다면 쿠팡의 인력 구조는 어떤 상황인가?

A. 이번 사태가 더욱 주목받는 이유 중 하나가 바로 쿠팡의 글로벌 인력·권한 관리 구조입니다. 쿠팡은 글로벌 기업으로서 중국 주요 도시에 대규모 R&D 센터를 운영하고 있다고 합니다. 해외에 근무하는 직원들이 한국 고객 데이터에 접근할 수 있는 구조를 갖고 있었다는 점이 문제로 지적되고 있습니다. 물리적 거리가 먼 만큼, 권한 관리와 접근 통제는 더 엄격했어야 한다는 비판이 나옵니다.

국회 질의에서 박대준 한국 쿠팡 대표 역시 관련 질문을 받았고, “중국 R&D 센터에 인력이 있는 것은 맞지만, 대다수는 한국인”이라고 설명하며 논란을 진화하려는 모습을 보였습니다. 다만 국적 문제와 별개로, 해외 조직에서 국내 민감 정보에 접근 가능한 구조 자체가 위험하다는 지적은 여전히 유효하다는 평가가 나옵니다.

Q. 이미 퇴사한 직원이 어떻게 회사 시스템에 들어갈 수 있었는가?

A. 이 부분이 이번 사태의 가장 뼈아픈 실책으로 평가됩니다. 보통 직원이 퇴사하면 회사 시스템 접속 권한이 즉시 차단되어야 하는데, 이를 ‘오프보딩(off-boarding)’이라고 부릅니다. 쿠팡에서는 이 과정이 제대로 작동하지 않았던 것으로 보입니다.

퇴사 이후에도 개발자용 접근 권한이 남아 있었거나, 혹은 퇴사 전에 미리 만들어둔 ‘뒷문(백도어)’이 존재했을 가능성이 제기되고 있습니다. 조직 규모가 클수록 이런 실수는 더 치명적이기 때문에, 이번 사건은 권한 관리 체계의 구조적 허점을 드러냈다는 평가가 나옵니다.

Q. 기술적으로는 어떤 방법을 썼나?

A. 핵심은 ‘액세스 토큰(Access Token)’이라는 디지털 출입증입니다. 이 토큰은 일종의 전자 열쇠로, 보안상 유효 기간을 짧게 두고 주기적으로 갱신해야 안전합니다. 개발 편의를 위해 유효 기간이 과도하게 긴 토큰이 발급됐고, 이것이 사건의 결정적인 취약점이 된 것으로 보입니다. 용의자는 이 토큰을 이용해 마치 정상적인 관리자인 것처럼 시스템을 드나들 수 있었습니다.

Q. 유출 기간이 5개월이나 됐는데, 회사는 왜 몰랐을꺄?

A. 이 부분 역시 국회에서 강하게 질타받은 지점이고 저도 이해가 가지 않는 부분입니다. 3,000만 명이 넘는 고객의 정보가 빠져나갔다면 상당한 트래픽 흔적이 남았을 텐데, 어떻게 이를 인지하지 못했느냐는 질문이었습니다. 쿠팡의 설명은 이렇습니다. 용의자의 행동이 ‘외부 침입(해킹)’이 아니라, 권한을 가진 내부 개발자의 정상적인 조회 행위처럼 보였기 때문이라는 겁니다.

Q. 중국으로 도망간 용의자, 처벌이나 송환이 가능한가?

A. 현실적으로 쉽지 않을 전망입니다. 용의자가 이미 중국에 있기 때문에 중국 공안과 사법 공조를 해야 합니다. 인터폴 수배 같은 절차를 밟겠지만, 국제 사법 공조라는 게 시간이 오래 걸리고 외교 관계에 따라 변수가 많습니다. 당장 처벌하기는 어려울 수도 있다는 전망이 우세합니다.

Q. 제일 걱정되는 건데, 고객의 카드 번호나 결제 비밀번호도 털린 건가?

A. 불행 중 다행으로 신용카드 번호나 결제 비밀번호 같은 금융 정보는 유출되지 않은 것으로 파악됩니다. 이런 민감한 정보는 법적으로 아주 엄격하게 암호화해서 별도의 보안 구역에 저장하거든요.

Q. 금융 정보가 안전하다면, 어떤 걸 조심해야 하나?

A. 당장 돈이 빠져나가진 않더라도 ‘2차 피싱’은 조심해야 합니다. 유출된 정보에 ‘주문 내역’과 ‘주소’가 포함돼 있거든요. 사기꾼들이 “OOO 고객님, 주문하신 [상품명] 배송 때문에 연락드립니다”라고 문자를 보내면, 정보가 너무 정확해서 속기 쉽습니다. 모르는 링크는 절대 누르지 마시고 의심하는 습관이 필요합니다.

Q. 공동현관 비밀번호나 개인통관고유부호도 위험하다고?

A. 배송 요청 사항에 적어둔 공동현관 비밀번호는 ‘일부’가 유출됐다고 밝혔습니다. 그러나 가장 우려가 많았던 개인통관고유부호는 유출 정보에 포함되지 않았다고 합니다. 다만, 아직까지 정확한 조사 결과가 나온 것이 아니기 때문에 주의할 필요는 있어 보입니다.

Q. 이번 사태로 쿠팡이 물어야 할 과징금이 천문학적일 거라는 얘기가 있던데, 얼마나 될까?

A. 개정된 개인정보보호법이 적용되면 금액이 상상을 초월할 수 있습니다. 예전에는 ‘관련 매출’ 기준이었지만, 이제는 ‘전체 매출액’의 3% 이하로 기준이 강화되었습니다(최근 정부에서 이 문제의 심각성을 고려하여 10%로 기준을 강화하자고 주문했습니다). 쿠팡의 연 매출을 대략 30조 원으로 본다면, 3% 기준 산술적으로는 최대 9,000억 원에서 1조 원 가까운 과징금 부과가 가능합니다.

물론 실제로는 여러 감경 요소를 따지겠지만, 유출 규모가 워낙 크고 5개월간 몰랐다는 과실이 커서 국내 기업 역사상 가장 큰 과징금이 나올 것이라는 관측이 지배적입니다.

Q. 집단 소송 움직임도 있던데, 전망은 어떤가?

A. 현재 여러 법무법인이 참여자를 모으고 있습니다. 법조계에서는 승소 가능성이 있다고 보고 있습니다. 회사가 5개월이나 유출 사실을 몰랐다는 건, 관리 의무를 소홀히 했다는 결정적인 증거가 될 수 있거든요. 배상액은 재판 결과가 나와봐야 알겠지만, 책임 소재는 분명히 다퉈볼 만합니다.

현재 소비자 뿐만 아니라 쿠팡 입점 판매자를 포함해서 60만 명이 집단 소송에 나선다고 합니다. 하지만 집단 소송 시, 만약 승소를 하게되면, 소송을 한 사람들만 배상을 받을 수 있습니다. 그래서 정치권에서는 소송에 참여하지 않은 관련 피해자들 모두가 배상을 받을 수 있는 ‘집단 소송제’를 도입하자는 의견이 나오고 있습니다.

Q. 마지막으로, 지금 당장 우리가 할 수 있는 조치는 무엇인가요?

A. 피해 가능성을 최소화하기 위해 지금 바로 점검할 수 있는 5가지 조치가 있습니다. 이 기본만 지켜도 리스크를 크게 줄일 수 있습니다.

1) 공동현관 비밀번호 변경: 이번 유출 정보에 공동현관 비밀번호가 포함됐을 가능성이 제기된 만큼, 변경이 가능하다면 새 번호로 업데이트하는 것이 안전합니다.

2) 개인통관고유부호 재발급: 이번 사태에서는 유출되지 않았다고 발표됐지만, 최근 여러 사건에서 반복적으로 노출된 바 있어 재발급을 고려하는 것도 좋은 예방책입니다.

3) 가족 간 ‘확인 암호’ 만들기: 딥페이크 음성까지 활용한 피싱이 늘고 있습니다. 이름·주소·전화번호가 노출되면 공격자에게는 훌륭한 소재가 됩니다. 가족 간에 “이 질문에 답 못하면 돈 보내지 않는다”와 같은 검증 절차를 미리 정해두시길 바랍니다.

4) 비밀번호 및 인증 강화: 쿠팡뿐 아니라 네이버·카카오·구글 등 주요 서비스의 보안 설정을 강화시길 권합니다. 비밀번호를 바꾸는 것을 권장드리며, OTP를 활용한 2단계 인증을 적극 사용하시길 바랍니다.

5) 최근 주문 내역·이상 결제 모니터링: 배송 주소가 유출됐을 때 자주 악용되는 방식 중 하나가 ‘물품 배송을 가장한 추가 정보 수집’입니다. 최근 주문 내역과 문자 메시지를 주기적으로 확인하는 습관이 필요합니다.

박대준 대표는 이 사태를 끝까지 책임지지 않고 사의를 표했고, 쿠팡 창업주 김범석 회장은 국정감사에 출석하라는 요구에도 불구하고, 바쁘다는 핑계로 참석할 수 없다라는 입장을 표명을 했습니다.

아무도 이 사태에 책임지는 사람이 없습니다. 3,370만 명의 개인정보가 유출되었고, 5개월간 방치되었으며, 피해자들은 지금 이 순간도 2차 피싱의 위험에 노출되어 있습니다. 그런데도 책임을 회피하고 도망치는 모습만 보입니다.

이 사태에 대해서는 법적 책임과 겅제적 제재도 가해져야 할 것입니다. 하지만 3,370만 명의 신뢰를 배신하고도 한 마디 진심 어린 사과조차 하지 않는 이들에게 묻고 싶습니다. 법적 책임을 피할 수 있다고 해서, 도덕적 책임까지 회피할 수 있다고 생각하는 건 아닐까요?

이들이 지금까지 쌓아온 기업의 가치는 수많은 고객의 신뢰 위에 세워진 것입니다. 그 신뢰를 무너뜨린 이들이, 최소한의 도덕적 책임이라도 다해야 하지 않을까요?

내 정보가 이미 공공재처럼 퍼졌다는 사실은 안타깝게도 되돌릴 수 없습니다. 그렇기에 더더욱 부정확한 정보에 휘둘리지 않는 ‘팩트 체크’와 실질적인 ‘방어 조치’가 중요합니다.

다만, 불안한 마음은 행동으로 지울 수 있습니다. 귀찮더라도 오늘 전해드린 5가지 대응방안, 지금 바로 실천해 보시면 어떨까요?

댓글남기기

참고

OpenAI 코드 레드, 왕좌에서 언더독으로

안녕하세요! 아침마다 AI 뉴스를 보다 보면, OpenAI와 챗GPT는 늘 ‘기준점’처럼 서 있었습니다. 새로운 모델이 나올 때마다 “GPT보다 좋은가?”가 자동으로 따라붙었고요.

엔비디아는 왜 우리나라에 GPU를 주었을까?

지난 10월 30일 ~ 10월 31일 젠슨 황 엔비디아 CEO가 한국을 찾아왔습니다. 1박 2일의 일정 중, 머무는 시간이 약 30시간 밖에 되지 않았지만, 한국에 엄청난 인상을 남겼습니다.