이커머스 보안 쇼크… 쿠팡-지마켓 연쇄 사태로 드러난 구조적 취약점
일주일 만에 터진 이중 보안 위기
국내 이커머스 시장이 심각한 보안 위기에 직면했다. 쿠팡의 대규모 개인정보 유출 사고가 공개된 지 불과 며칠 만에, 지마켓에서도 무단 결제 사고가 발생하면서 온라인 쇼핑 생태계 전반의 보안 취약성이 동시다발적으로 드러났다.
2025년 11월 29일 쿠팡이 3,370만 건의 개인정보 유출을 공식 발표했고, 바로 같은 날 지마켓에서는 60여 명의 고객이 스마일페이를 통한 무단 결제 피해를 신고했다. 두 사건의 시기적 일치는 단순한 우연이 아닌, 이커머스 업계 전반의 구조적 문제를 시사한다.
쿠팡 5개월간 방치된 내부 보안 붕괴
쿠팡 사건의 심각성은 유출 규모뿐 아니라 발견 과정의 허술함에 있다. 사건은 2025년 6월 24일부터 시작됐으나, 쿠팡이 이를 인지한 것은 5개월이 지난 11월 18일이었다. 더욱 충격적인 것은 쿠팡 스스로 감지한 것이 아니라 고객 민원을 통해 뒤늦게 확인했다는 점이다.
초기 발표에서 쿠팡은 4,500개 계정의 피해를 언급했으나, 열흘 만에 피해 규모가 7,500배 증가한 3,370만 건으로 정정됐다. 이는 2024년 3분기 기준 활성 고객 2,470만 명을 훨씬 넘어서는 수치로, 탈퇴 고객을 포함한 사실상 전체 가입자의 정보가 유출된 것으로 분석된다.
유출된 정보는 이름, 이메일, 전화번호, 배송주소, 최근 5건의 주문 내역 등이며, 일부 배송지에는 공동현관 비밀번호까지 포함된 것으로 확인됐다. 쿠팡은 결제 정보와 로그인 비밀번호는 유출되지 않았다고 밝혔으나, 노출된 정보만으로도 택배 사칭 스미싱, 보이스피싱, 명의도용 등 2차 범죄에 악용될 가능성이 크다.
수사 결과 해외 서버를 통한 액세스 토큰 도용이 원인으로 밝혀졌으며, 중국 국적의 전 직원이 연루된 것으로 추정되고 있다. 이 과정에서 쿠팡은 협박성 이메일을 받았으나 금전 요구는 없었던 것으로 알려졌다.
지마켓 사태… 외부 도용된 정보의 2차 피해
쿠팡 사태가 공개된 바로 그날, 지마켓에서는 60여 명의 고객이 본인이 구매하지 않은 모바일 상품권이 결제됐다며 금융감독원에 신고했다. 피해액은 1인당 3만~20만 원 수준으로, 스마일페이에 등록된 카드 정보가 도용돼 기프트 상품권 등 환금성 상품이 무단 결제된 것으로 확인됐다.
지마켓 측은 내부 시스템 해킹 흔적은 발견되지 않았으며, 외부에서 탈취한 계정 아이디, 비밀번호, 스마일페이 비밀번호 등이 도용된 명의도용 사고로 추정하고 있다. 이는 최근 잇따른 대형 개인정보 유출 사고의 데이터가 범죄에 악용되고 있음을 보여주는 사례로, 2차 피해에 대한 우려를 현실화시켰다.
금융감독원은 즉각 지마켓에 대한 현장점검에 착수했으며, 쿠팡페이에 대한 결제정보 유출 여부도 함께 조사하고 있다.
투자는 늘어도 보안은 후순위
한국인터넷진흥원 정보보호 공시에 따르면 쿠팡은 2025년 정보보호 부문에 890억 원을 투자했다. 절대 금액으로는 2022년 535억 원, 2023년 639억 원에서 지속적으로 증가했으나, IT 투자 대비 정보보호 투자 비율은 오히려 2022년 7.1%에서 2025년 4.6%로 감소했다. 이는 글로벌 기업 평균인 1%는 넘지만 공시 기업 평균 6.3%에도 미치지 못하는 수치다.
다른 주요 이커머스 업체들도 상황은 비슷하다. 신세계(5.6%), SSG닷컴(4.6%), 이마트(4.0%), 롯데쇼핑(4.0%) 등 대부분의 유통기업이 기술 투자 대비 보안 투자 비중이 평균 이하로 나타났다.
전문가들은 투자 규모보다 관리 체계의 문제가 더 심각하다고 지적한다. 한 전문가는 “내부 권한을 가진 인력의 정보 유출을 막지 못했다는 것은 내부 모니터링 체계의 심각한 약점을 드러낸 것”이라며, 최소 권한 원칙과 상시 관제 시스템의 필요성을 강조했다.
실제로 쿠팡은 ISMS-P 인증을 보유하고 업계 최고 수준의 보안 조직을 갖추고 있었으나, 퇴사자 권한 회수, 비인가 IP 모니터링, 내부자 이상징후 분석 등 기본적인 보안 관리가 제대로 작동하지 않았다. DLP(데이터 유출 방지) 시스템이 수개월간 대규모 정보 반출을 감지하지 못한 것은 자동화된 모니터링 시스템의 실효성에 의문을 제기한다.
정부의 대응 “노출이 아닌 유출”
개인정보보호위원회는 12월 3일 긴급 전체회의를 열고 쿠팡이 유출 사실을 ‘노출’로 축소 표현했다며 강력히 비판했다. 개보위는 쿠팡에 대해 7일 이내에 개인정보 노출 통지를 유출 통지로 수정하고, 누락된 항목을 포함해 재통지할 것을 명령했다. 또한 홈페이지 초기 화면에 유출 내용을 지속적으로 공지하고, 추가 피해 예방 요령을 적극 안내할 것을 요구했다.
과학기술정보통신부는 “공격자가 쿠팡 서버의 인증 취약점을 악용해 정상 로그인 없이 3천만 개 이상의 계정 정보를 유출했다”고 확인했다. 이재명 대통령은 국무회의에서 “5개월간 회사가 유출 자체를 파악하지 못했다는 것이 참으로 놀랍다”며 “사고 원인을 신속히 규명하고 엄중하게 책임을 물어야 한다”고 질타했다.
SK텔레콤이 2,696만 건의 개인정보 유출로 1,348억 원의 과징금을 받은 선례를 고려하면, 쿠팡은 최대 1조 원대의 과징금이 부과될 가능성이 있다. 개보위는 매출액 규모뿐 아니라 위반 행위의 중대성을 종합적으로 고려해 결정할 예정이라고 밝혔다.
소비자 불안 확산: 집단소송 움직임과 탈퇴 러시
개인정보 유출 사실이 공개된 지 이틀 만에 네이버에는 쿠팡 집단소송 준비 카페가 10여 개 개설됐으며, 가입자 총합이 약 20만 명에 달했다. 로피드 법률사무소와 법률사무소 호인 등 여러 법무법인이 집단소송 참여자 모집에 나섰으며, 1인당 10만 원의 배상을 청구하는 소송이 12월 24일 제기될 예정이다.
쿠팡 계정 탈퇴를 시도하는 ‘탈팡’ 움직임도 확산되고 있으나, 모바일에서는 탈퇴가 거의 불가능하고 PC 버전에서도 6단계를 거쳐야 하는 복잡한 절차로 인해 소비자 불만이 가중되고 있다. 한국소비자단체협의회는 이를 “개인정보 유출 이후에도 소비자가 자신의 정보를 통제하기 어려운 현실”이라며 모바일·PC에서 1단계 탈퇴가 가능하도록 개선할 것을 촉구했다.
주가도 큰 타격을 받았다. 12월 1일 뉴욕증권거래소에서 쿠팡(NYSE: CPNG) 주가는 5.3% 폭락했으며, 사고 공개 직전 CFO와 전 부사장이 수십억 원의 주식을 매도한 사실이 드러나 내부자 거래 의혹도 제기되고 있다.
제2의 쿠팡사태 막으려면
전문가들은 이번 사태를 계기로 이커머스 업계 전반의 보안 체계를 전면 재검토해야 한다고 강조한다. 전문가들은 “쿠팡이 신속하게 사과, 보상, 보안 강화 로드맵을 내놓지 못하면 충성 고객들조차 시장 전체에 대한 불신을 키우게 될 것”이라고 경고했다. 또한 “보안에 몇백억을 투자해도 관리에 하자가 많으면 뚫린다는 것이 이번 사태로 드러났다”며 퇴사자 키 회수 및 권한 즉시 폐기, 비인가 IP 접근 상시 모니터링, 내부자 이상 징후 분석 등 기본적인 보안 관리 체계 강화를 제언했다.
민주당 김남근 의원실 분석에 따르면 개인정보 유출 사건 10건 중 6건이 내부자에 의한 것으로, 내부자 리스크 관리가 가장 시급한 과제로 떠올랐다. 네이버, G마켓, SSG닷컴, 11번가 등 주요 이커머스 사업자들은 공식 언급은 자제하면서도 내부 점검과 예방 조치를 강화하고 있는 것으로 알려졌다.
신뢰의 밥상을 다시 세워야 할 때
쿠팡과 지마켓의 연쇄 사태는 온라인 쇼핑이 일상화된 대한민국에서 개인정보 보안이 더 이상 기업의 기술적 책임만으로는 해결될 수 없는 사회적 과제임을 보여준다. 3,370만 명의 정보 유출은 단순한 숫자가 아니라 국민 대다수의 일상과 안전이 위협받는 상황을 의미한다.
한국소비자단체협의회가 요구한 집단소송제 도입, 징벌적 손해배상 현실화, 입증책임전환제도 도입 등 제도적 개선과 함께, 기업의 보안 투자 확대와 내부 통제 체계 강화, 그리고 소비자의 경각심 제고가 동시에 이루어져야 제2, 제3의 쿠팡 사태를 막을 수 있을 것이다.
디지털 시대의 편리함 뒤에는 개인정보라는 무게가 있다. 그 무게를 함께 떠안고 신뢰의 밥상을 다시 세우는 것, 그것이 지금 우리 사회가 직면한 과제다.
추천기사
1. 람보르기니로 수원 아파트 주차장 막은 20대 차주의 최후2. 루이비통 붕어빵 키링 실화?
3. 이재명 대통령이 “저 대신 맞느라 고생하시네요” 말한 장관은 누구?
4. “주사 맞으면 혈관 녹아” 박미선이 공개한 항암 치료
5. 배현진 “김건희 천박함을 천박하다 했는데..왜 흥분?”
