brunch
매거진 쌍둥이네 안전한 생활 이야기

쿠팡 개인정보 유출, 이제는 센 금융치료가 필요하다

by 페르세우스
Dec 6. 2025


안녕하세요, 자녀교육에 진심인 쌍둥이아빠 양원주입니다.


오늘은 많이 기다리셨을 쿠팡에 대한 이야기하려고 합니다.


지난 11월 말, 쿠팡에서 3,370만 개 계정의 개인정보가 유출되는 초유의 사태가 발생했습니다. SK텔레콤 유심정보 해킹사고를 뛰어넘는 수준입니다. 국내 성인 인구 기준으로 약 77%에 해당하는 규모로 이름, 전화번호, 이메일, 배송지 주소, 주문 정보는 물론 일부 이용자의 공동현관 비밀번호까지 털렸습니다.


쿠팡은 그동안 '로켓배송'이라는 편리함 뒤에 숨어 수많은 논란을 일으켜왔습니다. 2020년부터 배송기사와 물류센터 직원들이 과로사했지만, 쿠팡은 책임을 회피하거나 개인의 문제로 돌렸습니다. 주 60시간이 넘는 야간 노동, 배송 목표 미달 시 구역을 회수하는 '클렌징' 제도, 몸이 아파도 "힘내라"는 말 한마디로 끝나는 현장. 2021년 택배기사 과로 방지를 위한 사회적 합의에도 쿠팡만 불참했습니다.

KakaoTalk_20251205_180815910_01.jpg



쿠팡의 실질적 지배자는 김범석 의장입니다. 의결권의 70% 이상을 보유한 그는 한국계 미국인입니다. 저도 이번에 알았죠. 그는 2021년 쿠팡을 미국 뉴욕증권거래소에 상장시켰고, 매출의 대부분을 한국에서 올리면서도 국회가 증인 출석을 요구할 때마다 '해외 체류'를 이유로 불참해 왔습니다. 올해 국정감사에서도, 이번 개인정보 유출 사태에서도 마찬가지였습니다.


게다가 한국에서 돈은 벌되, 책임질 때는 미국인 행세를 하기 때문에 많은 사람들은 그를 '검은 머리 외국인'이라 부릅니다. 지난해에는 주식 200만 주(약 672억 원)를 기부했는데, 소득공제 혜택을 위해 전액 미국 자선기금에만 기부했다는 논란도 있었습니다.

KakaoTalk_20251205_180815910_02.jpg



이번 유출 사태는 쿠팡이 가진 보안 의식이 얼마나 허술한지 적나라하게 드러났습니다.

일단 해킹이 발생한 지 12일이나 지난 뒤 고객 민원에 의해 인지했다는 점도 큰 문제입니다. 하지만 조사 결과 정보유출은 6월 24일부터 5개월 넘게 진행되고 있었습니다.

배후로 지목된 중국인 직원은 퇴사한 후에도 인증키를 폐기하지 않아 마치 정상 이용자인 양 개인정보에 자유롭게 접근할 수 있었습니다. 기본적인 보안 절차도 지키지 않았죠.

처음 발표할 때는 피해고객이 4,500명이었는데 열흘 만에 7,500배나 되는 3,370만 명으로 늘었습니다. 피해규모가 늘어났다는 점도 의도적 축소 발표가 아니었는지 의심스러울 수밖에 없습니다.

KakaoTalk_20251205_180815910.jpg



더욱 충격적인 사실도 있습니다. 쿠팡은 지난해 11월, 약관에 '서버에 대한 제삼자의 모든 불법적인 접속으로 발생하는 손해에 관하여 책임을 지지 않는다'는 면책조항을 추가했습니다. 타이밍이 묘합니다. 이번 사태의 용의자는 지난해 12월 퇴사했는데 쿠팡이 위험을 감지하고 미리 면책조항으로 빠져나갈 구멍을 만들어놓은 건 아닌지 의심이 갈 수밖에 없는 대목입니다.


G마켓, SSG닷컴, 11번가 등 주요 이커머스 업체 중 쿠팡처럼 포괄적인 면책조항을 둔 곳이 없다는 점에서 더욱 그렇습니다. 다행히도 법조계에서는 사업자가 부담해야 할 위험을 고객에게 떠넘기는 조항을 무효로 규정하기에 이 면책조항이 법적 효력을 갖기 어렵다고 봅니다.

maxresdefault.jpg



소비자들이 쿠팡 탈퇴를 시도하자, 또 다른 문제도 드러났습니다. 쿠팡 탈퇴는 모바일 앱이 아닌 PC 버전으로만 가능하며 무려 6단계를 거쳐야 해서였습니다. 거기에 와우 멤버십 가입자는 여기에 멤버십 해지 과정이 추가됩니다. 온라인에서는 이를 '다크패턴'(소비자 이탈을 막는 기만적 UI)이라 부릅니다. 방송미디어통신위원회가 이 사안에 대한 긴급 사실조사에 착수하기도 했죠.


보안 전문가들이 유출 사고에 명확한 권고사항을 제시했지만 그에 대한 안일한 인식도 분노를 불러일으켰습니다. 김승주 고려대 정보보호대학원 교수는 국회 현안질의에서 "쿠팡에 등록된 결제카드를 삭제하고, 해당 카드 비밀번호를 변경하며, 로그인 비밀번호도 바꿔야 한다"라고 조언했습니다. 실제로 개인통관고유부호도 문제가 될 수 있다고 해서 재발급 신청이 이틀 만에 42만 건을 넘어 관세청 시스템이 마비되기도 했습니다.


그런데 박대준 쿠팡 대표의 답변은 온도가 달랐습니다. "말씀하신 정보가 노출됐다고 확인된 바 없습니다. 너무 과잉해서 안내할 경우 불안감을 조성하게 됩니다."라며 전문가의 권고를 사실상 인정하지 않았죠. 자신들의 보안 실패로 국민 불안이 커진 상황에서, 오히려 고객들이 과잉 반응한다는 태도를 보였습니다.

KakaoTalk_20251205_180815910_03.jpg



많은 사람이 쿠팡 탈퇴와 불매운동을 외치고 있지만 이 방법만으론 턱없이 부족합니다. 오히려 입점 업체와 협력업체들에게 피해가 돌아갔던 사례들이 있었으니까요. 게다가 그 효과는 미미하고 시간이 지나면 다들 잊어버립니다. 결국 더 큰 무언가가 필요합니다.


올해 4월 SK텔레콤은 2,324만 명의 개인정보 유출로 역대 최대 규모인 1,347억 원의 과징금을 부과 받았습니다. 쿠팡은 피해 규모가 SK텔레콤보다 1.5배 크고, 매출액도 38조 원으로 SK텔레콤(17조 원)의 2배가 넘습니다. 개인정보보호법은 매출액의 3%까지 과징금을 부과할 수 있는데 쿠팡에게는 최대 1조 원대의 징벌적 과징금이 가능한 셈입니다. 미국의 T모바일은 7,660만 명 유출로 4,590억 원의 합의금을 냈던 전력이 있습니다. 이제는 신조어인 '금융치료'라 불리는 강력한 징벌적 과징금만이 기업의 안전불감증을 깨울 수 있습니다.


쿠팡은 많은 국민들의 지지로 성장했지만, 그 이면엔 노동자의 죽음과 고객 정보의 무방비 노출이 있었습니다. 미국에 상장하고, 한국에서 번 돈을 미국에 기부하며, 외국인으로 책임을 회피하는 김범석 의장. 약삭빠르하게 면책조항을 넣어놓는 태도, 전문가 권고마저 거부하는 안일함.


이제 더는 가볍게 넘어가선 안 됩니다. 아픈 만큼 성숙해지라는 말처럼, 쿠팡에게 필요한 건 뼈저린 교훈입니다.

한 줄 요약: 쿠팡의 개인정보 유출은 오랜 안전불감증의 결과물이며, 징벌적 과징금만이 진짜 변화를 이끌어낼 수 있다.

#쿠팡정보유출 #개인정보유출 #쿠팡해킹 #징벌적과징금 #금융치료 #김범석 #검은머리외국인 #쿠팡논란 #면책조항 #쿠팡탈퇴 #다크패턴 #개인정보보호

keyword
페르세우스 가족 분야 크리에이터 소속 출간작가 직업 칼럼니스트 프로필
파이브 포인츠(Five Points) 저자

2011년생 쌍둥이 아들 둘을 키우는 아빠입니다. 브런치를 통해 자녀교육에 대한 내용을 글로 쓰고 있으며 이를 통해 활발한 소통을 하고 싶습니다.

구독자 6,313