쿠팡 개인정보 유출, 편리함의 청구서가 도착했다

3,370만 명이 털린 디지털 일상, 우리가 다시 점검해야 할 것들

Dec 5. 2025 brunch_membership's

3,370만 명의 정보는 어디로 갔나

쿠팡 사태가 보여주는 한국 온라인 유통의 구조적 민낯

단톡방에서 시작된 한 줄의 메시지가, 이내 내 일상 전체를 뒤흔들었다.

"쿠팡에서 개인정보 유출됐다는데, 나도 문자 받았어. 이거 진짜야?"

나는 곧바로 스마트폰을 들여다봤다. 수신함에는 쿠팡에서 보낸 듯한 알림이 몇 개 쌓여 있었다. 처음엔 '또 광고겠지' 싶었다. 하지만 뉴스를 검색해보니, 상황은 생각보다 심각했다. 4,500개 계정이라던 초기 발표는 며칠 만에 3,370만 개로 정정됐고, 유출된 정보에는 이름·주소·전화번호는 물론 주소록에 저장된 타인 정보까지 포함되어 있었다.

단톡방은 금세 시끄러워졌다. "난 이미 탈퇴했는데도 문자 왔다", "주소록까지 털렸다더라", "쇼핑 기록까지 알면 우리 생활이 다 까발려지는 거 아냐?"

그날 저녁, 나는 오랜만에 커피 한 잔을 들고 창밖을 바라보았다. 서울 도심의 불빛들 사이로, 수많은 배송 오토바이가 분주히 움직이고 있었다. 우리는 클릭 몇 번으로 원하는 물건을 받아보는 편리함을 당연하게 여겼다. 그런데 그 편리함 이면에, 우리는 무엇을 대가로 치르고 있었던 걸까.

1. 해킹 이후, 더 큰 문제는 '태도'였다

이번 쿠팡 사건의 본질은 해킹을 당했다는 사실이 아니다. 문제는 해킹 이후, 쿠팡이 보여준 행동에 있었다.

11월 18일 비정상 접속을 인지한 쿠팡은 처음엔 "약 4,500개 계정의 개인정보가 노출됐다"고 발표했다. 하지만 추가 조사 결과, 실제로는 약 3,370만 개 계정의 정보가 유출됐다고 뒤늦게 인정했다. 4,500개에서 3,370만 개로. 숫자만 봐도 7,500배가 넘는 차이다. 이건 단순한 '집계 오류'가 아니다. 초기 대응의 진정성 자체를 의심케 하는 대목이다.

더욱 논란이 된 건 쿠팡의 용어 선택이었다. 쿠팡은 '유출'이라는 단어를 피하고 '노출'로 표현했다. 개인정보보호위원회는 이에 대해 공식 경고했다. "이건 노출이 아니라 유출이며, 내용을 바로잡아 다시 안내하라"고. 단어 하나의 차이처럼 보이지만, 그 안에는 사태를 축소하려는 의도가 담겨 있었다.

게다가 일부 이용자는 "4년 전에 쿠팡을 탈퇴했는데도 유출 문자를 받았다"고 증언했다. 탈퇴한 고객의 데이터를 제대로 삭제하지 않았다는 뜻이다. 연간 890억 원 이상을 보안에 썼다는 기업에서, 정작 기본 보안에서 뚫렸다는 지적이 나온다. 과징금 규모가 최대 1조 원까지 거론되는 이유다.

쿠팡 주가는 이미 흔들리기 시작했다. 9월 17일 33.53달러까지 올랐던 주가는 11월 이후 점차 미끄러지며, 사건 공지 이후에도 20달러 후반에서 불안하게 움직이고 있다. 시장은 사건 자체보다 장기적인 신뢰 훼손을 가격에 반영하고 있다.

2. 아마존은 어떻게 다른가 – '제3자 문제'로 책임 분산

그렇다면 미국의 온라인 유통 거인, 아마존은 어떨까.

아마존 역시 개인정보 유출 사고로부터 자유롭지 않다. 2024년 11월, 아마존은 직원 정보 280만 건이 유출되는 사고를 겪었다. 하지만 아마존의 대응은 쿠팡과 확연히 달랐다.

아마존은 즉각 발표했다. "아마존과 AWS 시스템은 안전하며, 우리 시스템에서 보안 사고는 발생하지 않았다. 이번 사건은 제3자 부동산 관리 업체의 MOVEit 파일 전송 소프트웨어 취약점을 통해 발생했다"고. 유출된 정보는 업무용 이메일 주소, 사무실 전화번호, 건물 위치 등 제한적인 내용이었고, 고객의 민감한 금융 정보나 개인 식별 정보는 포함되지 않았다고 강조했다.

아마존의 전략은 명확했다. 첫째, 책임 소재를 명확히 하되 제3자에게 돌린다. 둘째, 유출 범위를 구체적으로 한정한다. 셋째, 고객 신뢰를 지키기 위해 신속하고 투명하게 소통한다.

물론 이것이 아마존에게 면죄부를 주는 건 아니다. 제3자 관리 소홀이라는 또 다른 문제가 있기 때문이다. 하지만 적어도 아마존은 사태를 축소하거나 용어를 바꿔 위장하지 않았다. 이는 소비자 신뢰 관리에서 결정적 차이를 만든다.

3. 일본의 역설 – '아날로그 선호'가 부른 재앙

한편 일본은 또 다른 문제를 안고 있다. 일본은 역설적으로 '디지털 전환이 느려서' 해킹 피해가 급증하고 있다.

2024년 일본에서는 온라인 유통과 공공기관을 가리지 않고 해킹 사고가 속출했다. 라인야후는 네이버 클라우드를 통한 무단 접속으로 44만 건의 개인정보가 유출됐다. 카도카와 출판사는 랜섬웨어 공격으로 25만 명 이상의 정보가 새어나갔다. 토요타시는 42만 명, 즉 도시 전체 인구의 개인정보가 외부에 노출되는 초유의 사태를 맞았다.

문제의 핵심은 일본 기업들이 여전히 '아날로그 방식'을 선호한다는 점이다. 팩스, 종이 문서, 낡은 보안 시스템. 디지털 전환에 소극적인 태도가 오히려 보안 취약성을 키웠다. 해커들은 일본을 '먹잇감'으로 보기 시작했다.

일본 정부도 뒤늦게 팔을 걷어붙였다. 내각사이버보안센터(NISC)를 통해 각 부처와 독립 행정기관의 소프트웨어 취약점을 24시간 점검하는 시스템을 가동했다. 하지만 정작 NISC 자체가 2023년 이메일 시스템 해킹을 당해 5,000개의 이메일이 유출되는 해프닝까지 벌어졌다. 사이버 보안의 컨트롤 타워가 뚫린 셈이다.