3,370만 명 개인정보 유출…5개월 동안 몰랐다

국내 최대 이커머스 플랫폼 쿠팡에서 고객 계정 3,370만 개의 개인정보가 유출됐다. 쿠팡이 밝힌 활성 고객 수가 약 2,470만 명 수준인 점을 감안하면, 탈퇴자를 포함해 ‘한 번이라도 쿠팡을 쓴 사람’ 대부분이 사고의 영향권에 들어간 셈이다.

사건의 타임라인은 더 심각하다. 여러 조사 결과를 종합하면, 비인가 접속은 올해 6월 24일 해외 서버를 통해 시작된 것으로 추정된다. 그러나 쿠팡이 이상 징후를 내부에서 인지한 시점은 11월 중순, 고객 민원과 자체 조사가 겹친 뒤였다. 비정상적인 접근이 거의 다섯 달 동안 이어졌는데도 감지하지 못했다는 얘기다.

쿠팡은 처음에는 “약 4,500개 계정의 개인정보가 노출됐다”고 당국에 신고했다. 그러나 며칠 뒤 실제 피해 규모는 4,500개가 아니라 3,370만 개라는 사실이 드러났다. 회사의 초기 파악과 실제 피해 사이에 무려 7,500배 가까운 차이가 난 셈이다.

유출된 정보에는 이름, 휴대전화 번호, 이메일, 배송지 주소, 주문 정보 등이 포함된 것으로 알려졌다. 결제 정보와 비밀번호는 빠져 있다는 것이 회사의 설명이지만, 생활 동선과 소비 패턴이 고스란히 담긴 데이터가 한 번 밖으로 나가면, 2차·3차 피해 가능성은 언제든 남는다.

‘노출’에서 ‘유출’로…약관 속 면책 조항까지

이번 사태에서 여론을 더 자극한 것은 쿠팡의 사후 대응 태도였다.

쿠팡은 사고 직후 고객 문자와 공지에서 ‘개인정보 노출’이라는 표현을 반복 사용했다. 마치 외부 공격이라기보다 단순한 정보 노출인 것처럼 뉘앙스를 조절한 셈이다. 이후 개인정보보호위원회가 나서 “표현을 ‘유출’로 고쳐 다시 통지하라”고 요구한 사실이 알려지면서, 쿠팡이 책임의 무게를 의도적으로 낮추려 한 것 아니냐는 비판이 나왔다.

논란은 여기서 그치지 않는다. 법조계 분석에 따르면, 쿠팡은 사고 약 1년 전 이용약관에 “제3자의 불법적인 서버 접속·이용으로 발생하는 손해에 대해 회사는 책임을 지지 않는다”는 취지의 조항을 새로 넣었다. 개인정보보호법과 약관규제법상 이 조항으로 완전히 면책되기는 어렵다는 게 다수 전문가의 해석이지만, 그 방향성이 “책임 최소화”에 맞춰져 있다는 인상을 주기에 충분했다.

해킹·인증 취약점·감지 실패가 겹쳐 벌어진 대형 사고에서, 기업이 가장 먼저 꺼낸 카드가 “법적 책임을 어디까지 줄일 수 있느냐”라는 인상을 준다면, 신뢰 회복은 더욱 멀어진다.

전직 엔지니어·중국 국적 의혹…어디까지가 팩트인가

수사 초기부터 “전직 직원이 연루된 내부자 범행 가능성”이 거론된 것은 사실이다. 과학기술정보통신부는 쿠팡 서버의 전자서명 키(인증키) 취약점이 악용되었다고 밝히며, 권한 관리·인증 수단 관리 등 보안 통제 전반에 대한 조사를 예고했다.

이후 일부 매체와 커뮤니티를 통해 “쿠팡에서 퇴사한 중국 국적 엔지니어가 유력한 용의자”라는 보도가 잇따랐다. 해외로 출국한 전 직원이 장기간 유지된 인증키를 이용해 다량의 개인정보를 조회했다는 추정이 그것이다.

다만 이 대목은 현재 진행형 수사 사안이다. 정부와 경찰은 “해외 서버를 이용한 비인가 접근과 내부자 연루 가능성을 수사 중”이라고만 밝히고 있을 뿐, 특정 개인의 국적과 신원을 공식적으로 확정한 단계는 아니다.

그럼에도 온라인과 일부 정치권에서는 “중국인 전 직원이 한국인 정보를 털어갔다”는 식의 표현이 앞서가고 있다. ‘중국 국적 전 직원’이란 설명은 어디까지나 언론과 커뮤니티발 의혹일 뿐이라는 점, 그리고 설령 사실이라 해도 그가 그렇게 할 수 있는 시스템을 만든 책임은 회사에 있다는 점은 분리해서 봐야 한다.

범죄 혐의가 사실로 드러난다면, 해당 전직자는 마땅히 형사 책임을 져야 한다. 그러나 그것이 곧 “중국인이라서 문제”라는 혐오 프레임으로 번지는 순간, 쿠팡의 보안·내부통제·경영 책임은 흐려진다. 문제의 본질은 국적이 아니라, 어떤 사람이든 그런 공격이 가능하도록 열려 있던 시스템 그 자체다.

“IT 인력 절반이 중국인” 논란은 아직 ‘주장’일 뿐

이번 사태와 맞물려, 온라인 익명 커뮤니티 ‘블라인드’에는 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저급의 상당수가 중국인”이라는 글이 올라와 큰 파장을 일으켰다. 일부 국회의원은 국회 발언에서 이 글을 인용하며 “쿠팡의 구조적 중국 리스크”를 지적했다.

그러나 이 주장은 현재까지 검증되지 않은 익명 폭로에 머무르고 있다. 쿠팡 측은 “사실이 아니다. 한국인 비율이 압도적으로 많다”고 공개적으로 반박했다. 회사가 인력 구성 비율을 세부적으로 공개하지 않아 정확한 수치는 외부에서 확인하기 어렵지만, 최소한 지금 단계에서 “IT 인력 절반이 중국인”을 기정사실처럼 단정하는 것은 무리다.

그럼에도 일부 언론·정치권은 이 주장을 전제로 “중국인 개발자들을 무분별하게 채용한 탓에 벌어진 사태”라는 식의 메시지를 반복하고 있다. 익명 폭로와 혐오 정서가 결합하는 순간, 논의의 초점은 “인증키 관리 실패와 내부통제 붕괴”에서 한참 벗어나게 된다.

대체재 없다는 자신감이 만든 ‘배짱 태도’

쿠팡의 대응을 관통하는 정서는 하나로 요약된다. “그래도 쿠팡을 완전히 떠날 수 있는 사람은 많지 않을 것”이라는 계산이다.

쿠팡은 이미 한국 온라인 유통에서 압도적 1위 사업자다. 2025년 기준 3,370만 계정이 동시에 유출됐다는 사실 자체가, 쿠팡이 얼마나 많은 사람의 일상과 금융·소비 패턴에 깊숙이 들어와 있는지를 보여준다.

해외 투자은행 JP모건은 이번 사고 직후 보고서에서 “데이터 유출에 따른 고객 이탈은 제한적일 것”이라고 전망했다. 이유는 간단하다. 쿠팡이 한국 이커머스 시장에서 사실상 대체 불가능한 위치를 차지하고 있고, 한국 소비자들이 데이터 유출 문제에 상대적으로 둔감하다는 분석 때문이다.

생활 밀착형 서비스 역시 쿠팡 의존도를 높이고 있다. 로켓배송·쿠팡이츠·와우 멤버십·스트리밍 서비스까지 얽힌 생태계 안에서, 쿠팡을 떠나려면 단순히 쇼핑 앱을 바꾸는 수준이 아니라 생활 패턴 전체를 갈아엎어야 하는 사용자도 적지 않다.

실제로 유출 직후 ‘탈쿠팡’을 선언한 소비자들이 늘고 있지만, 각종 분석은 “일정 기간 불매 이후 다시 돌아오는 비율도 높을 것”이라고 본다. 쿠팡에 입점한 소상공인들은 이미 주문 감소로 매출 피해를 호소하면서도, “당장 대체 판로가 없다”는 딜레마를 토로하고 있다.

이 구조 속에서, 기업은 위기 상황에서도 “법적으로만 문제 없게 넘기면 큰 타격은 없을 것”이라는 유혹을 받기 쉽다. 위험을 감수한 것은 회사지만, 위험의 결과는 소비자와 소상공인이 나눠 떠안는 구조이기도 하다.

문제는 ‘중국인’이 아니라, 규율 받지 않는 플랫폼이다

이번 쿠팡 사태는 몇 가지 불편한 질문을 던진다.

첫째, 인증키와 권한 관리, 이상 징후 탐지 시스템이 어떻게 5개월간 작동하지 않았는가.
둘째, 사고를 인지한 뒤 쿠팡은 왜 초기에 피해 규모를 축소 파악했고, 왜 ‘노출’이라는 표현을 고집했는가.
셋째, 이런 대형 유출이 반복되는데도 왜 기업에 부과되는 제재와 책임은 늘 뒷북에 그치는가.

이 질문의 답은 “중국인 개발자를 많이 뽑았기 때문” 같은 문장으로는 결코 설명되지 않는다.

검증되지 않은 익명 폭로와 국적 프레임은 분노를 빠르게 조직하는 데는 효과적일지 모르지만, 제도 개선과 규제 강화, 플랫폼 지배 구조 개편이라는 진짜 숙제를 밀어낸다. 이번 사건으로 촉발된 여론에 힘입어, 정부와 국회가 개인정보보호 기준과 기업 책임을 한 단계 끌어올릴 법·제도 논의를 시작했다는 소식이 전해지는 것은 그나마 다행스러운 부분이다.

쿠팡은 미국 법에 따라 설립된 지주회사(Coupang Inc.)가 뉴욕 증시에 상장된 뒤, 그 아래 한국 법인을 두는 구조를 갖고 있다. 표면적으로는 “한국의 기업”처럼 보이지만, 지배 구조와 자본 흐름은 전형적인 글로벌 플랫폼이다.

따라서 “쿠팡이나 아마존이나 다 미국 기업”이라는 냉소는 단순한 감상이 아니다. 어떤 국적의 자본이냐를 떠나, 국내 소비자의 일상과 데이터, 상거래 인프라를 장악한 거대 플랫폼을 한국 사회가 얼마나 강하게 규율할 수 있느냐의 문제다.

혐중 정서에 분노를 몰아넣는 것은 쉽다. 그러나 그렇게 분노를 소모하고 나면, 남는 것은 3,370만 명의 개인정보와, 여전히 막강한 영향력을 가진 채 한국 시장을 지배하는 거대 플랫폼뿐이다. 지금 우리가 겨눠야 할 것은 “중국인 직원”이 아니라, 책임을 제대로 지지 않는 구조와 규율 받지 않는 플랫폼이다.