2025년 11월 18일 쿠팡은 고객 계정 정보에 대한 비인가 접근 사실을 확인하고, 이후 피해 규모가 약 3,370만 개 계정으로 확대되었음을 발표했습니다. 이 사건은 국내 e커머스 업계에서 최대 규모의 개인정보 유출 사고로 기록되고 있습니다.
피해 범위
최종 피해 규모
최종 확인된 피해 규모는 약 3,370만 개 고객 계정으로, 이는 쿠팡의 전체 고객 기반에 해당하는 수치입니다. 초기 발표된 4,500개 계정에 비해 약 7,500배 증가한 수치로, 이로 인해 심각한 신뢰성 문제가 발생했습니다.
유출된 정보
유출된 개인정보 항목은 다음과 같습니다:
– 이름 (성명)
– 이메일 주소
– 전화번호
– 배송지 주소록 (이름, 전화번호, 주소)
– 일부 주문 정보
결제 정보, 신용카드 번호, 로그인 정보는 별도의 암호화 시스템에 보관되어 유출되지 않았습니다.
유출 원인
해커 접근 방식
쿠팡은 해커가 해외 서버를 통해 2025년 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있습니다. 해커는 고객이 로그인할 때 발급받는 인증 토큰을 탈취하여 사용한 것으로 보입니다.
탐지 실패
사고 발생 시점은 11월 6일이었으나, 쿠팡은 고객의 신고를 통해 11월 18일에야 사실을 인지했습니다. 이는 12일간의 탐지 실패로, 보안 관리에 대한 심각한 문제로 지적되고 있습니다.
대응 조치
즉각적인 조치
쿠팡은 사건을 인지하자마자 무단 접근 경로를 차단하고, 경찰청 및 개인정보보호 관련 기관에 즉시 신고했습니다. 또한, 유출된 고객들에게 개별 공지를 완료했습니다.
보안 강화
내부 모니터링 시스템을 강화하고, 외부 보안 전문가를 영입하여 조사를 진행하고 있습니다. 또한, 고객들에게 쿠팡을 사칭하는 연락에 주의해 줄 것을 당부했습니다.
문제점
탐지 지연
사고 발생 후 12일간 탐지하지 못한 점은 심각한 보안 모니터링 체계의 실패로 여겨지며, 이는 국회에서도 비판받고 있습니다.
반복되는 보안 사고
쿠팡은 과거에도 여러 차례 개인정보 유출 사고를 겪었습니다. 예를 들어, 2021년 배달원 개인정보 유출, 2023년 판매자 시스템에서의 정보 유출 등이 있습니다. 이로 인해 신뢰성 문제가 더욱 심화되었습니다.
규제 체계의 한계
이 사건은 국내 주요 기업들이 반복적으로 정보보호 사고를 겪고 있으나, 실효성 있는 제재와 개선이 이루어지지 않는 점을 드러냈습니다. 개인정보보호위원회는 쿠팡에 대해 과징금을 부과하기도 했습니다.
자주 묻는 질문
쿠팡 개인정보 유출 사건의 피해 대상은 누구인가요?
피해 대상은 약 3,370만 개 고객 계정으로, 이는 쿠팡의 전체 고객 기반에 해당합니다.
유출된 정보는 어떤 것들이 있나요?
유출된 정보에는 이름, 이메일 주소, 전화번호, 배송지 주소록 및 일부 주문 정보가 포함됩니다. 그러나 결제 정보는 안전하게 보호되었습니다.
쿠팡은 사건 이후 어떤 조치를 취했나요?
쿠팡은 무단 접근 경로 차단, 고객 공지, 내부 보안 강화 및 외부 전문가 영입 등의 조치를 취했습니다.
이번 사건과 관련하여 정부는 어떤 조치를 취하나요?
쿠팡은 과학기술정보통신부 및 개인정보보호위원회와 긴밀히 협력하여 조사를 받고 있습니다.
고객들은 어떻게 대처해야 하나요?
고객들은 쿠팡을 사칭한 전화나 문자에 주의하고, 의심스러운 연락이 올 경우 즉시 신고하는 것이 중요합니다.
이전 글: 최신 시사용어 정리