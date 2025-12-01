(서울=연합뉴스) 김성민 기자 = 국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3천만건이 넘는 대규모 정보 유출 사고가 발생했다. 쿠팡은 현재까지 고객 계정 약 3천370만개가 유출된 것을 확인했다. 사진은 1일 쿠팡이 피해 고객에게 보낸 개인정보 노출 통지 문자 메시지. 2025.12.1 ksm7976@yna.co.kr

쿠팡에서 3천만건이 넘는 대규모 개인정보 유출 사고가 발생하자 비슷한 유통구조를 가진 다른 이커머스(전자상거래) 업체들에도 비상이 걸렸다.



쿠팡은 매년 수백억원씩을 정보보호에 투자하고 있으나 이번 3천만개가 넘는 고객 계정 정보 유출 사건으로 수천억원, 많게는 1조원대 과징금을 부과받을 위기에 놓였다.



2023년 개정된 개인정보보호법에선 법 위반 시 매출액의 3%까지 과징금을 부과할 수 있다. 지난 4월 발생한 개인정보 유출 사고로 SK텔레콤[017670]은 역대 최고치인 1천347억9천만원의 과징금을 부과받았다.



이번 개인정보 유출로 인한 쿠팡의 과징금은 최대 1조원대가 될 수 있다는 전망이 나온다. 쿠팡은 올해 3분기 누적 매출은 36조3천억원으로, 이중 약 14%를 차지하는 대만·파페치·쿠팡이츠 등 개인정보 유출과 관련성이 낮은 성장사업 매출을 제외하면 31조원 수준이다. 이를 연 매출로 환산하면 이론적으로 약 1조2천억원의 과징금 부과가 가능하다는 계산이 나온다.



이번 개인정보 유출에 배송 정보가 포함되면서 소비자 불안이 커지고 있는 만큼 다른 이커머스 업체들도 빠르게 긴급 점검 등 후속 대응에 나선 모습이다.



이번에 유출된 정보는 이름, 이메일, 전화번호, 배송지 주소뿐 아니라 일부 주문 내역까지 포함돼, 단순한 통신사 정보 유출보다 피해 범위와 파장이 크다는 분석이 지배적이다. 특히 배송지 정보는 일상생활과 직결돼 2차 스미싱이나 피싱 등의 악용 가능성도 제기된다.



특히 이번 개인정보 유출이 기존 업체들에서 발생한 외부 세력에 의한 해킹보다 인증토큰과 서명키를 이용한 전직 직원 소행에 무게가 실리면서 전방위적인 점검이 이뤄지는 분위기다.



구체적으로는 접근 권한 관리, 로그 기록, 모니터링 체계 등 기본적 통제 절차를 다시 점검하고 있는 것으로 전해졌다.



G마켓(지마켓) 관계자는 1일 연합뉴스와의 통화에서 "주말 내 자체 긴급 보안점검을 실시했고, 후속 점검 방안도 논의 중"이라고 밝혔으며 SSG닷컴(쓱닷컴)도 "정기, 수시 점검과 내부 통제를 지속 강화하고 있다"고 전했다.



롯데온 역시 자체 긴급 보안점검을 실시했으며 상황을 예의주시하며 점검 계획을 추가적으로 수립해 진행할 계획이라는 입장이다.



11번가는 보안관제전문서비스를 통해 365일 24시간 침해 위협을 모니터링하고 있다면서 특히 개인정보처리시스템의 대량 조회 기록이나 과다 사용 이력, 허용되지 않은 접속시도를 상시 점검 중이라고 밝혔다. 개인정보 파일의 외부 전송 시도는 개인정보탐지시스템에 탐지되며 승인이 있어야만 외부로 전송할 수 있도록 통제하고 있다는 설명이다.



11번가 관계자는 "이번 이슈와 관련해 서버·DB 접속 이력을 재점검할 예정"이라고 말했다.



컬리는 "결제 승인에 필요한 최소한의 마스킹된 정보만 보관하기 때문에 일부 시스템에 이상 징후가 발생하더라도 전체 고객의 결제정보가 한 번에 노출되는 일은 거의 발생하지 않는다"며 "이번 사태를 계기로 정기 보안 점검과 별도로 유사 유형의 사고 발생 가능성을 줄이기 위한 선제적 점검과 내부통제를 진행 중"이라고 했다.



업계 일각에서는 최근 이커머스 시장에서 글로벌 사업자와의 합작이나 협업이 늘어나는 점도 보안 관리 측면에서 주의가 필요하다고 보고 있다.



특히 지마켓이 올해 알리바바와 합작법인 '그랜드오푸스홀딩스'를 설립한 사례처럼 국내 기업과 해외 플랫폼의 결합이 이뤄지면서 고객 정보가 해외로 유출될 가능성이 커졌고 이 경우 정보가 어디까지 흘러갈지 가늠하기 어려워졌다는 지적이다.



공정거래위원회는 기업결합을 승인하면서 그 조건으로 국내 소비자 데이터를 기술적으로 분리하고 '국내 온라인 해외직구 시장'에서 상대방의 소비자 데이터(이름·ID·이메일·전화번호·서비스 이용기록·검색이력 등) 공유를 금지했으나, 해외직구 이외 시장에서는 소비자들이 데이터 공유 여부를 선택할 수 있도록 했다.



여기에 알리익스프레스·테무·쉬인 등 'C커머스(중국계 이커머스)' 기업의 국내 진입이 이뤄진 상황이어서 데이터 접근 범위나 국외 이전 가능성에 대한 소비자 우려도 크다.



이번 사태는 정보보호 투자와 인력을 강화해온 '유통 공룡' 이커머스 기업에서 대규모 개인정보 유출이 발생했다는 점에서, 단순 '예산 부족'이 아닌 '운영 체계와 내부 통제'에 근본적 허점이 드러났다는 비판이 나온다. 직원이 퇴사했는데도 인증토큰과 서명키 등 권한이 차단되지 않은 것이 대표적이다.



쿠팡은 유통업계에서 정보기술·정보보호에 가장 큰 규모로 투자하는 기업이다.



한국인터넷진흥원(KISA) 정보보호 공시에 따르면 쿠팡은 올해 정보기술에 1조9천171억원, 이중 정보보호 부문에 890억원(4.6%)을 각각 투자하고 있다.



정보보호 투자 규모는 2022년 535억원, 2023년 639억원, 지난해 660억원 등으로 지속적으로 늘고 있다. 이 부문에서 최근 4년간 투자한 규모는 2천700억원이 넘는다.



쿠팡의 정보보호 부문 투자액 비중은 삼성전자[005930]와 KT[030200] 다음으로 크다.



업계 일각에서는 "대규모 예산을 개인정보보호에 쓰면서도 3천400만건에 달하는 정보가 유출됐는데도 5개월간 유출 사실을 감지하지 못했다는 것이 이해되지 않는다"며 "경보시스템이 정상적으로 작동하지 않은 것"이라는 반응도 나온다.



이커머스 업계 한 관계자는 "지금으로서는 정확히 어떤 고리에서 정보 유출이 이뤄졌는지 알 수 없는 상황이어서 내부 통제 부분을 포함해 전반적인 점검을 하고 있다"며 "조사가 진행되면서 구체적인 정황이 확인되는 대로 지속해 대응해나갈 것"이라고 말했다.

