"내 집 주소, 이미 보이스피싱 조직 손에?"… 6개월간 대문 열어놓고 "몰랐다"는 쿠팡
"내 집 주소, 이미 보이스피싱 조직 손에?"… 6개월간 대문 열어놓고 "몰랐다"는 쿠팡
사실상 전 국민 개인정보 '무방비' 노출
SKT 사태 넘어선 역대 최대 규모 6개월간 이어진 '깜깜이' 대응
본문의 이해를 돕기 위해 생성형 AI로 만든 이미지
국내 이커머스 업계 1위 쿠팡이 창사 이래 최대 위기를 맞았다. 사실상 쿠팡을 이용하는 모든 고객에 해당하는 3370만 개의 계정 정보가 유출되는 사고가 발생했기 때문이다.
단순한 유출 사고를 넘어, 이 정보들이 무려 6개월 가까이 외부로 빠져나가고 있었음에도 쿠팡 측이 이를 전혀 인지하지 못했다는 사실이 밝혀지며 충격을 주고 있다.
업계에서는 이번 사태가 단순한 보안 사고를 넘어, 기업의 존폐를 위협할 수 있는 천문학적인 법적 책임으로 이어질 것이라는 전망이 나온다.
6개월간 뚫린 보안망, 아무도 몰랐다
사건의 발단은 지난 6월로 거슬러 올라간다. 경찰과 보안 당국의 조사 결과에 따르면, 쿠팡 서버에 대한 신원 미상의 비인가 접근은 2025년 6월 24일부터 시작됐다. 해커 혹은 비인가 접속자는 이때부터 야금야금 고객 정보를 빼내기 시작했고, 해가 바뀔 때까지 사실상 반년 동안이나 아무런 제지 없이 정보를 탈취했다.
피해 규모는 상상을 초월한다. 유출된 계정 수는 약 3370만 개로, 이는 올해 3분기 쿠팡의 활성 고객 수인 2470만 명을 훌쩍 뛰어넘는 수치다. 탈퇴한 회원을 포함해 사실상 대한민국 경제활동인구 전체의 정보가 털린 셈이다.
유출된 정보에는 이름, 이메일 주소, 배송지 주소록, 상세 주문 정보 등이 포함됐다. 쿠팡 측은 "카드 번호나 비밀번호 등 민감 정보는 유출되지 않았다"고 해명했으나, 고객들의 불안감은 가라앉지 않고 있다. 특히 유출이 시작된 지 이미 6개월이 지난 시점이어서, 유출된 배송지 정보와 주문 내역이 보이스피싱이나 스미싱 조직에 흘러들어가 2차 범죄에 악용되었을 가능성이 매우 높다.
'안전조치 의무' 위반, 법적 면죄부 없다
이번 사태의 핵심 쟁점은 쿠팡이 6개월이라는 장기간 동안 유출 사실을 까맣게 모르고 있었다는 점이다. 법조계에서는 이 지점이 쿠팡의 법적 책임을 가중시키는 결정적인 '스모킹 건'이 될 것으로 보고 있다.
현행 '개인정보 보호법' 제29조는 개인정보처리자에게 해킹이나 유출을 막기 위한 기술적·관리적 안전조치 의무를 부여하고 있다. 여기에는 불법적인 접근을 차단하는 시스템 설치뿐만 아니라, 접속 기록을 보관하고 정기적으로 점검하는 모니터링 의무가 포함된다.
대법원 판례(2021두55220)와 서울고등법원 판례(2023누34486)는 "접속기록 보관과 점검을 소홀히 하여 이상 징후를 탐지하지 못한 경우 안전조치 의무 위반에 해당한다"고 명시하고 있다. 즉, 반년 가까이 지속된 비정상적인 접근 패턴을 탐지하지 못한 것은 쿠팡의 보안 관제 시스템과 내부 통제 시스템이 사실상 '먹통'이었다는 것을 의미하며, 이는 명백한 법 위반이라는 지적이다.
SKT 사태 뛰어넘는 '징벌적 철퇴' 예고
쿠팡이 직면할 경제적 타격은 전례 없는 수준이 될 전망이다. 비교 대상은 역대 최악의 개인정보 유출 사고로 꼽혔던 SK텔레콤 사태다. 당시 SK텔레콤은 2700만 건의 정보 유출로 1348억 원이라는 거액의 과징금을 부과받았다. 하지만 쿠팡은 유출 규모가 이보다 1000만 건 가까이 더 많다.
개인정보 보호법 제64조의2에 따라 당국은 전체 매출액의 3% 이하 범위에서 과징금을 부과할 수 있다. 쿠팡의 연간 매출을 약 36조 원으로 추산할 때, 이론상 최대 1조 800억 원의 과징금 부과가 가능하다. 법률 전문가들은 유출 기간의 장기성(약 6개월)과 인지 지연이라는 악재가 겹쳐, 최소 1500억 원에서 2000억 원 이상의 과징금 폭탄이 떨어질 것으로 예상하고 있다.
여기에 민사 소송 리스크는 더욱 치명적이다. 3370만 명의 피해자가 집단 소송에 나설 경우, 법원은 쿠팡의 '중대한 과실'을 인정해 징벌적 손해배상(손해액의 최대 5배)을 명할 가능성이 높다. 서울행정법원(2024구합66443)은 최근 판결에서 안전조치 의무를 소홀히 한 경우를 고의·중과실로 판단하는 경향을 보이고 있어, 배상액 규모는 천문학적으로 불어날 수 있다.
보안 업계의 한 관계자는 "롯데카드나 KT 사례처럼 초기 조사보다 실제 피해 규모가 커지거나 조직적인 은폐 정황이 드러날 경우, 경영진에 대한 형사 처벌까지 이어질 수 있다"며 "쿠팡은 창사 이래 가장 혹독한 법적, 도의적 검증대에 서게 될 것"이라고 경고했다.
한편, 쿠팡 박대준 대표이사는 30일 공식 사과문을 통해 "올해 6월 24일 시작된 사고에 유감을 표한다"며 고개를 숙였다.
박 대표는 "무단 접근된 정보는 이름, 이메일, 전화번호, 배송지 주소, 특정 주문 정보로 제한되었으며, 비밀번호나 결제 정보는 포함되지 않았다"고 설명했다. 이어 "현재 민관합동조사단과 긴밀히 협력하고 있으며, 향후 데이터 보안 장치와 시스템을 전면 재검토해 고객 정보를 최우선으로 보호하겠다"고 덧붙였다.