쿠팡 유출 사태, 깔끔하게 정리합니다
3,370만 건, 익숙한 수치이시죠? 네. 맞습니다. 이번에 쿠팡에서 유출된 정보의 숫자입니다. 이는 대한민국 전체 인구의 65%, 경제활동인구의 대부분을 포함하는 수치인데요. 워낙 전례 없는 사건이다 보니, 온·오프라인에는 확인되지 않은 '카더라' 통신과 막연한 공포를 자극하는 정보들이 넘쳐나고 있습니다.
그래서 오늘은 사안에 대한 분석보다는, '팩트(Fact)' 중심으로 사건의 경위를 정리해보려 합니다. 수사 기관의 발표와 12월 2일 국회 긴급 현안 질의를 토대로 쿠팡은 왜 뚫렸는지, 진짜 위험한 것은 무엇인지, 그리고 지금 당장 무엇을 해야 하는지를 쉽게 이해할 수 있도록 인터뷰 형식으로 짚어보겠습니다.
※ 본 글은 12월 2일까지 확인된 내용으로 작성되었습니다.
Q. 우선, 이번 '쿠팡 정보 유출' 사태가 정확히 어떤 사건인지, 규모는 어느 정도인지 궁금해요.
A. 이번 사고는 사실상 대한민국 역사상 최대 규모의 보안 사고로 평가됩니다. 지난 8월 약 2,300만 명이 피해를 본 SKT 유출 사건보다도 훨씬 큰 수치죠. 유출 기간은 2025년 6월부터 11월까지 약 5개월간 지속됐는데요. 사실상 쿠팡을 한 번이라도 써본 국민이라면 거의 모두가 해당한다고 봐야 합니다.
Q. 외부 해킹이 아니라 내부 직원이 유출했다는 말이 있던데, 사실인가요?
A. 내부 직원의 소행이 '유력'해요. 경찰 수사와 쿠팡 측 발표를 종합해 보면 유력한 용의자는 쿠팡에서 인증 업무를 담당했던 '중국인'이라고 특정하고 있는데요. 현재 이 직원은 퇴사 후 중국으로 출국한 상태로 조사가 어렵기 때문에 '확정'된 상태는 아니에요.
Q. 용의자가 중국인이라서 쿠팡의 인력 구조에 대한 이야기도 나오더라고요.
A. 네, 이번 사태가 더욱 주목받는 이유 중 하나가 바로 쿠팡의 글로벌 인력·권한 관리 구조입니다. 쿠팡은 글로벌 기업으로서 중국 주요 도시에 대규모 R&D 센터를 운영하고 있는데요. 해외에 근무하는 직원들이 한국 고객 데이터에 접근할 수 있는 구조를 갖고 있었다는 점이 문제로 지적되고 있습니다. 물리적 거리가 먼 만큼, 권한 관리와 접근 통제는 더 엄격했어야 한다는 비판이 나옵니다.
국회 질의에서 박대준 대표 역시 관련 질문을 받았고, “중국 R&D 센터에 인력이 있는 것은 맞지만, 대다수는 한국인”이라고 설명하며 논란을 진화하려는 모습을 보였습니다. 다만 국적 문제와 별개로, 해외 조직에서 국내 민감 정보에 접근 가능한 구조 자체가 위험하다는 지적은 여전히 유효하다는 평가가 나옵니다.
Q. 이미 퇴사한 직원이 어떻게 회사 시스템에 들어갈 수 있었던 거죠?
A. 이 부분이 이번 사태의 가장 뼈아픈 실책으로 평가됩니다. 보통 직원이 퇴사하면 회사 시스템 접속 권한이 즉시 차단되어야 하거든요. 이를 '오프보딩(off-boarding)'이라고 부르는데, 쿠팡에서는 이 과정이 제대로 작동하지 않았던 것으로 보입니다.
퇴사 이후에도 개발자용 접근 권한이 남아 있었거나, 혹은 퇴사 전에 미리 만들어둔 ‘뒷문(백도어)’이 존재했을 가능성이 제기되고 있습니다. 조직 규모가 클수록 이런 실수는 더 치명적이기 때문에, 이번 사건은 권한 관리 체계의 구조적 허점을 드러냈다는 평가가 나옵니다.
Q. 기술적으로는 어떤 방법을 쓴 건가요?
A. 핵심은 '액세스 토큰(Access Token)'이라는 디지털 출입증입니다. 이 토큰은 일종의 전자 열쇠로, 보안상 유효 기간을 짧게 두고 주기적으로 갱신해야 안전한데요. 개발 편의를 위해 유효 기간이 과도하게 긴 토큰이 발급됐고, 이것이 사건의 결정적인 취약점이 된 것으로 보입니다. 용의자는 이 토큰을 이용해 마치 정상적인 관리자인 것처럼 시스템을 드나들 수 있었습니다.
Q. 유출 기간이 5개월이나 됐는데, 회사는 왜 몰랐을까요?
A. 이 부분 역시 국회에서 강하게 질타받은 지점입니다. 3,000만 명이 넘는 고객의 정보가 빠져나갔다면 상당한 트래픽 흔적이 남았을 텐데, 어떻게 이를 인지하지 못했느냐는 질문이었습니다. 쿠팡의 설명은 이렇습니다. 용의자의 행동이 ‘외부 침입(해킹)’이 아니라, 권한을 가진 내부 개발자의 정상적인 조회 행위처럼 보였기 때문이라는 겁니다.
Q. 중국으로 도망간 용의자, 처벌이나 송환이 가능할까요?
A. 현실적으로 쉽지 않을 전망입니다. 용의자가 이미 중국에 있기 때문에 중국 공안과 사법 공조를 해야 하거든요. 인터폴 수배 같은 절차를 밟겠지만, 국제 사법 공조라는 게 시간이 오래 걸리고 외교 관계에 따라 변수가 많습니다. 당장 처벌하기는 어려울 수도 있다는 전망이 우세합니다.
Q. 제일 걱정되는 건데, 제 카드 번호나 결제 비밀번호도 털린 건가요?
A. 불행 중 다행으로 신용카드 번호나 결제 비밀번호 같은 금융 정보는 유출되지 않은 것으로 파악됩니다. 이런 민감한 정보는 법적으로 아주 엄격하게 암호화해서 별도의 보안 구역에 저장하거든요.
Q. 금융 정보가 안전하다면, 어떤 걸 조심해야 하나요?
A. 당장 돈이 빠져나가진 않더라도 '2차 피싱'은 조심해야 합니다. 유출된 정보에 '주문 내역'과 '주소'가 포함돼 있거든요. 사기꾼들이 "OOO 고객님, 주문하신 [상품명] 배송 때문에 연락드립니다"라고 문자를 보내면, 정보가 너무 정확해서 속기 쉽습니다. 모르는 링크는 절대 누르지 마시고 의심하는 습관이 필요합니다.
Q. 공동현관 비밀번호나 개인통관고유부호도 위험하다던데요.
A. 배송 요청 사항에 적어둔 공동현관 비밀번호는 '일부'가 유출됐다고 밝혔어요. 그러나 가장 우려가 많았던 개인통관고유부호는 유출 정보에 포함되지 않았다고 합니다. 다만, 아직까지 정확한 조사 결과가 나온 것이 아니기 때문에 주의할 필요는 있어 보입니다.
Q. 이번 사태로 쿠팡이 물어야 할 과징금이 천문학적일 거라는 얘기가 있던데, 얼마나 되나요?
A. 네, 개정된 개인정보보호법이 적용되면 금액이 상상을 초월할 수 있습니다. 예전에는 '관련 매출' 기준이었지만, 이제는 '전체 매출액'의 3% 이하로 기준이 강화됐거든요. 쿠팡의 연 매출을 대략 30조 원으로 본다면, 산술적으로는 최대 9,000억 원에서 1조 원 가까운 과징금 부과가 가능합니다.
물론 실제로는 여러 감경 요소를 따지겠지만, 유출 규모가 워낙 크고 5개월간 몰랐다는 과실이 커서 국내 기업 역사상 가장 큰 과징금이 나올 것이라는 관측이 지배적입니다.
Q. 집단 소송 움직임도 있던데, 전망은 어떤가요?
A. 현재 여러 법무법인이 참여자를 모으고 있습니다. 법조계에서는 승소 가능성이 있다고 보고 있어요. 회사가 5개월이나 유출 사실을 몰랐다는 건, 관리 의무를 소홀히 했다는 결정적인 증거가 될 수 있거든요. 배상액은 재판 결과가 나와봐야 알겠지만, 책임 소재는 분명히 다퉈볼 만합니다.
Q. 마지막으로, 지금 당장 우리가 할 수 있는 조치는 무엇인가요?
A. 피해 가능성을 최소화하기 위해 지금 바로 점검할 수 있는 5가지 조치가 있습니다. 이 기본만 지켜도 리스크를 크게 줄일 수 있습니다.
· 공동현관 비밀번호 변경 : 이번 유출 정보에 공동현관 비밀번호가 포함됐을 가능성이 제기된 만큼, 변경이 가능하다면 새 번호로 업데이트하는 것이 안전합니다.
· 개인통관고유부호 재발급 : 이번 사태에서는 유출되지 않았다고 발표됐지만, 최근 여러 사건에서 반복적으로 노출된 바 있어 재발급을 고려하는 것도 좋은 예방책입니다.
· 가족 간 ‘확인 암호’ 만들기 : 딥페이크 음성까지 활용한 피싱이 늘고 있습니다. 이름·주소·전화번호가 노출되면 공격자에게는 훌륭한 소재가 됩니다. 가족 간에 “이 질문에 답 못하면 돈 보내지 않는다”와 같은 검증 절차를 미리 정해두세요.
· 비밀번호 및 인증 강화 : 쿠팡뿐 아니라 네이버·카카오·구글 등 주요 서비스의 보안 설정을 강화하세요. 비밀번호를 바꾸는 것을 권장드리며, OTP를 활용한 2단계 인증을 적극 사용하시길 바랍니다.
· 최근 주문 내역·이상 결제 모니터링 : 배송 주소가 유출됐을 때 자주 악용되는 방식 중 하나가 ‘물품 배송을 가장한 추가 정보 수집’입니다. 최근 주문 내역과 문자 메시지를 주기적으로 확인하는 습관이 필요합니다.
올해 들어 개인정보 유출 소식이 잇따르고 있습니다. 심지어 사건이 터질 때마다 그 규모는 기록을 경신하는 수준인데요. 이제 우리는 인정해야 합니다. '대기업이라는 간판이 내 정보를 지켜주지 않는다'는 현실을 말입니다.
내 정보가 이미 공공재처럼 퍼졌다는 사실은 안타깝게도 되돌릴 수 없습니다. 그렇기에 더더욱 부정확한 정보에 휘둘리지 않는 '팩트 체크'와 실질적인 '방어 조치'가 중요합니다.
다만, 불안한 마음은 행동으로 지울 수 있습니다. 귀찮더라도 오늘 전해드린 5가지 대응방안, 지금 바로 실천해 보시면 어떨까요? 행동하는 만큼 마음은 한결 편안해지실 겁니다.
*위 글은 '테크잇슈' 뉴스레터에 실린 글입니다.
테크잇슈는 IT 커뮤니케이터가 만드는 쉽고 재밌는 IT 트렌드 레터입니다.
IT 이슈 모음과 위와 같은 아티클을 전달드리고 있으니, 관심 있는 분들은 구독 부탁드립니다 :)
