쿠팡 퇴사 직원은 어떻게 고객 정보를 빼갔을까

입력 2025.12.02 07:00

유설희 기자
기사를 재생 중이에요

쿠팡에서 대규모 개인정보 유출이 발생, 2차 피해까지 우려되고 있는 1일 서울 송파구 쿠팡 본사 건물에 적막이 흐르고 있다. 성동훈 기자

국내 e커머스(전자상거래) 업계 1위 업체인 쿠팡에서 초유의 개인정보 유출 사고가 발생했습니다. 고객 계정 3370만건이 유출됐는데요. 이는 쿠팡이 올해 3분기 밝힌 활성고객(구매이력이 있는 고객) 2470만명보다 큰 규모로, 국내 성인 4명 중 3명에 달하는 개인정보가 유출된 겁니다. 지난 4월 SK텔레콤 유출 사건 피해 규모(2324만명)를 뛰어넘는데다 이름·주소·전화번호·e메일·주문정보 등 생활 밀착 정보가 빠져나간 만큼 ‘역대 최악의 정보 유출 사건’이라는 평가가 나오는데요. 오늘 점선면에서는 ‘쿠팡 개인정보 유출 사태’는 왜 벌어진 건지, 어떤 2차 피해가 일어날 수 있는지 등을 짚어볼게요.

점(사실들): 쿠팡 퇴사 직원은 어떻게 고객 정보를 빼갔나

쿠팡이 개인정보 유출을 인지한 건 지난달 16일입니다. 한 고객이 개인정보가 유출됐다는 민원을 제기한 건데요. 쿠팡은 이와 관련해 내부 검증에 나선 지 이틀 만인 지난달 18일 개인정보 유출 사실을 최종 확인하게 됩니다.

알고 보니, 정보 유출은 5개월 전인 지난 6월24일 시작되었습니다. 쿠팡에서 퇴직한 중국 국적 개발자 A씨가 유력한 용의자로 지목되고 있는데요. 인증 업무를 담당했던 A씨는 근무하면서 확보한 ‘토큰’을 통해서 퇴사 이후에도 개인정보를 빼돌릴 수 있었던 것으로 추정됩니다.

토큰은 일종의 전자 출입증이라고 할 수 있는데요. 토큰이 있으면 아이디·비밀번호 입력 등 정상적 로그인 절차를 거치지 않고도 내부 시스템 접근이 가능합니다. 이 토큰을 신뢰할 수 있을지는 일종의 마스터키 개념의 ‘인증키’가 검증하는데요. 쿠팡 측이 인증키를 제때 교체하지 않아 퇴사자가 내부 시스템에 접근할 수 있었던 것으로 보입니다.

결과적으로 쿠팡은 A씨 퇴사 이후에도 그가 알고 있던 인증키를 폐기하지 않는 등 데이터 접근 권한을 부실하게 관리한 정황이 드러난 겁니다. 또한 쿠팡은 고객이 민원을 제기하기 전까지 무려 5개월(147일) 동안이나 3370만명의 정보가 빠져나간 걸 전혀 알아차리지도 못했고요.

지난달 30일 서울 종로구 정부서울청사에서 쿠팡 관련 긴급 관계부처 장관회의가 열린 가운데 회의장을 찾은 박대준 쿠팡대표가 개인정보 유출에 관한 사과를 하고 있다. 사진공동취재단

선(맥락들): 현관 비밀번호까지 유출…시민들 ‘패닉’

‘쿠팡 개인정보 유출 사태’로 인해 가장 우려스러운 점은 유출 정보를 악용한 2차 피해 가능성입니다. 이번 사건으로 유출된 정보에는 이름, 휴대전화 번호, 집주소, 아파트·빌라 공동현관 비밀번호, 최근 주문 상세 내역(5건) 등과 같은 민감한 정보가 포함되어 있는데요. 이러한 정보를 조합하면 ‘맞춤형 피싱’ 이 손쉬워집니다.

예를 들어서 최근 주문 정보를 이용해서 스미싱(문자 메시지를 이용한 휴대전화 해킹) 범죄조직이 “고객님이 주문하신 물건을 집 앞에 뒀습니다” “주문하신 물건의 재고가 부족해 환불해드립니다” 등과 같은 문자를 보내면, 고객 입장에서 문자를 클릭할 확률이 높아지는 것이죠. 쿠팡 고객 김모씨(29)는 “전화번호로 연락해 주소를 말하고, 샀던 물품까지 말하면서 보이스피싱을 하면 더 속기 쉬울 것 같다”고 우려했습니다.

특히 집주소와 공동현관 비밀번호 유출에 대해서도 불안감을 호소하는 사용자들이 많습니다. 스미싱 등 사이버 범죄를 넘어서서 주거 침입, 스토킹 등 물리적 범죄에 이용될 가능성도 배제할 수 없기 때문인데요. 남세은씨(43)는 “아파트 공동현관 출입번호도 주문정보에 적어뒀는데, (범죄자들이) 새벽에도 집 앞까지 올 수 있다는 생각이 든다”고 우려했습니다.

쿠팡 개인정보 유출 사태에 분노한 일부 시민들은 집단소송을 준비 중입니다. 어제(1일) 기준 쿠팡 상대 집단 소송을 준비하는 네이버 카페는 20여개에 달합니다.

강민욱 택배노조 쿠팡택배본부 준비위원장(오른쪽)과 김광석 택배노조 위원장이 지난달17일 서울 서대문구 전국택배노동조합 대회의실에서 기자회견을 갖고 있다. 권도현 기자

면(관점들): 겉으로 드러나지 않는 비용은 소홀?

물류센터 노동자와 택배기사 과로사 논란, 일용직 퇴직금 미지급 사건 등 쿠팡을 둘러싼 각종 사회적 논란은 끊이지 않았는데요. 업계 한 관계자는 “리스크가 잇따라 터지는 것은 결코 우연의 일치가 아니다”라며 “쿠팡이 노동자 복지와 고객 데이터 보호 등 겉으로는 드러나지 않고 비용이 들어가는 문제는 관리를 소홀히 했던 것 아닌가 싶다”고 말했습니다.

쿠팡이 규제, 국정감사 등을 대응하기 위한 로비 비용에만 돈을 쓰다가 보안 문제는 뒷전이 된 것 아니냐는 지적도 나옵니다. 경향신문 데이터저널리즘 취재 결과, 쿠팡은 올해에만 정부 대관 업무를 위해 국회의원 보좌관, 퇴직 공직자 등 18명을 영입했습니다. 이는 삼성그룹에 이어 두 번째로 많은 수입니다.

경향신문은 사설에서 “쿠팡은 때늦은 대표 사과를 넘어 개인정보 유출 피해를 본 고객에게 충분한 정보와 납득할 만한 보상 대책을 내놔야 한다. 정부 역시 보안·안전 조치 의무 위반 사항이 있는지 철저히 조사해 엄중히 처벌해야 한다”며 “나아가 과로사·새벽배송·부당노동행위 등 쿠팡이 야기한 사회적 문제들도 더는 방관하지 말고, 법적·윤리적·제도적 해법을 찾아야 한다”고 지적했습니다.

“하나를 보더라도 입체적으로” 경향신문 뉴스레터 <점선면>의 슬로건입니다. 독자들이 생각해볼 만한 이슈를 점(사실), 선(맥락), 면(관점)으로 분석해 입체적으로 보여드립니다. 매일(월~금) 오전 7시 하루 10분 <점선면>을 읽으면서 ‘생각의 근육’을 키워보세요.

<점선면>의 다른 뉴스레터가 궁금하시다면 구독을 눌러주세요! ▶ https://buly.kr/AEzwP5M