지난해 11월, 쿠팡에서 터진 대규모 개인정보 유출로 인해 고객의 집 주소와 연락처, 배송을 위해 남겨둔 공동현관 출입번호 같은 생활 정보가 한꺼번에 흔들렸다. 무엇보다 사고가 커지는 과정에서 회사의 부실한 대응 역량이 적나라하게 드러났다.
사건의 흐름은 단순하지만 파장이 컸다. 쿠팡은 2025년 11월 18일에 침해 사실을 인지한 것으로 알려졌다. 이후 11월 20일 정부 당국에 1차 신고를 하면서 ‘유효한 인증 없이 4536개 계정 프로필에 접근한 기록’을 발견했다고 적었다. 열흘 뒤인 11월 29일, 쿠팡은 피해 규모를 ‘약 3370만 개 계정’으로 정정해 재 신고했다.
4536개라는 초기 숫자와 3370만개라는 숫자 사이에는 설명하기 어려운 격차가 있는데도 그랬다. 3370만개 계정은 국내 성인 4명 중 3명에 달하는 어마어마한 숫자다.
심지어 쿠팡이 발표했던 구매 이력이 있는 활성 고객 수 2470만명을 훌쩍 넘어서는 수치다. 사실상 현재 쿠팡을 이용하는 모든 사람과, 과거에 한 번이라도 이용했다가 탈퇴한 사람들의 정보까지 통째로 털린 셈이다.
이번 사고의 원인으로는 내부 보안 관리 부실과 허술한 시스템 설계가 지목된다. 쿠팡 고객계정 정보 유출은 지난 6월 말부터 약 5개월간 이어진 것으로 파악됐다. 정보를 빼돌린 인물은 중국 국적의 전 쿠팡 직원이다. 쿠팡에서 인증 시스템을 개발하던 개발자였던 것으로 전해졌다. 정부는 조사 과정에서 일반 고객이 쿠팡에 접속할 때 인증에 쓰이는 암호키가 악용된 정황을 확인했다고 밝혔다. 정확한 원인과 책임 범위는 조사 결과가 나와야 한다.
그럼에도 ‘늦은 인지’라는 결과 자체는 확정에 가깝다. 쿠팡이 11월 18일 침해 사실을 알았고, 11월 20일 1차 신고를 했다는 흐름은 공개된 정보로 알려져 있다. 문제는 그 이전이다.
내부에서 어떤 경보가 울렸는지, 울렸다면 왜 묻혔는지, 아예 울리지 않았다면 왜 탐지 체계가 작동하지 않았는지다. 침해 사고 대응에서 첫 번째 골든타임은 ‘탐지’다. 두 번째는 ‘범위 산정’이다. 초기 발표가 4536개였다가 3370만 개로 바뀌었다면, 범위 산정이 늦었거나 산정 체계가 현실을 반영하지 못했다는 얘기다.
◇ ‘데이터 분리 관리에 구멍이 있었던 것 아니냐’는 비판도 커져
커뮤니케이션도 문제를 키웠다. 초기에는 ‘일부 계정 접근’으로 보였던 사고가 뒤늦게 ‘전체 고객 규모에 준하는 유출’로 바뀌었다. 자칫 고객에게는 ‘축소 발표’로 읽힐 수 있다. 기업 입장에서는 조사 결과가 바뀐 것일 수 있다. 그러나 대중의 경험은 다르다. 숫자는 기억에 남고, 숫자가 바뀌면 신뢰도 함께 바뀐다.
특히 3370만이라는 숫자는 쿠팡의 활성 이용자 규모를 넘어서는 수준으로 알려지며 “탈퇴한 사람도 포함된 것 아니냐”는 의문을 낳았다. 탈퇴 고객에게도 통지 문자가 갔다는 사례가 알려지면서, 데이터 분리 관리에 구멍이 있었던 것 아니냐는 비판도 커졌다. 쿠팡이 활성 고객과 탈퇴 고객의 정보를 분리하지 않고 한곳에 모아 관리했음을 방증하기도 한다. 이는 개인정보 보호법 위반 소지가 다분한 대목이다.
쿠팡 사태는 빙산의 일각에 불과하다. 2025년 유통업계는 그야말로 ‘보안 잔혹사’의 현장이었다. 최근 4년간 발생한 개인정보 유출 사고 중 24.4%가 유통 분야에서 발생했다.
연초부터 GS리테일이 흔들렸다. 1월 GS25 홈페이지 해킹으로 9만 명의 정보가, 2월 홈쇼핑 GS샵 웹사이트에서는 무려 158만건의 정보가 유출됐다. 유출 항목에는 이름, 성별, 생년월일 외에도 기혼 여부와 결혼기념일, 개인통관고유번호 등 10개 항목이 포함됐다. 고객의 사생활을 가장 깊숙이 알고 있는 유통업계의 보안이 얼마나 취약한지 단적으로 보여주는 사례다.
3월에는 BYN블랙야크에서 해커의 SQL 삽입 공격으로 개인정보가 포함된 자료 파일이 유출돼 약 34만건의 개인정보가 유출된 것으로 확인됐다. 이에 개인정보보호위원회는 지난 7월 블랙야크에 과징금 13억 9,000만 원을 부과했다. 개인정보보호위원회는 과징금 부과 당시, 블랙야크가 웹사이트를 개설한 2021년 10월부터 SQL 삽입 공격 취약점에 대한 점검·조치를 소홀히 했다고 설명했다.
1세대 명품 플랫폼 머스트잇 역시 지난 6월 홈페이지를 통해 두 차례(5월·6월)의 해킹 시도가 있었으며 회원 이름, 성별, 생년월일 등 개인정보가 유출됐을 가능성이 있다고 공지했다.
디올·티파니·까르띠에·루이비통 등 글로벌 럭셔리 브랜드들 역시 한국 고객의 정보를 제대로 지키지 못했다. 특히 디올과 티파니는 각각 1월과 4월에 발생한 사고를 나중에야 인지하는 처참한 보안 수준을 드러냈다. 이밖에도 써브웨이, 파파존스 등 대형 식품 프랜차이즈까지 줄줄이 털리며 유통업계 전체가 해커들의 ‘놀이터’로 전락했다는 비판이 쏟아졌다.
◇ 보이스피싱 막기 위한 자가 방어 비용… 고객이 떠안는 구조 반복
이들 사고에는 기묘할 정도의 공통점이 있다. 대다수 기업들이 허술한 보안 시스템으로 해커의 공격을 제대로 막지 못했다. 사고 이후의 모습도 비슷했다. 해킹 당일 사실을 아는 기업은 거의 없었다. 짧게는 일주일, 길게는 수개월 뒤에야 사실을 인지하고 고객에게 뒤늦게 문자 한 통 보내는 것이 대응의 전부였다.
사고가 터지면 기업은 사과문을 내고 2단계 인증 설정을 권고하지만, 이미 유출된 정보를 되돌릴 수 없는 상황에서 주민등록번호나 주소를 바꾸는 부담, 스미싱과 보이스피싱을 막기 위한 자가 방어의 비용은 고스란히 고객이 떠안는 구조가 반복되고 있다.
법과 제도도 한계를 드러냈다. 개인정보보호법은 유출 시 지체 없는 통지와 일정 요건에서 인지 후 72시간 내 신고 의무를 규정한다. 과징금 상한이 강화됐고, 고의나 중과실이 인정될 경우 징벌적 손해배상 논의도 이어져 왔다. 현재 개인정보 유출 사고에 대해 해당 기업의 전체 매출액 3%까지 과징금을 매길 수 있다.
(사진 참여연대)
그런데 실제 피해자가 체감하는 구제는 여전히 멀다. 손해 입증 부담이 크고, 개별 소송은 시간과 비용이 든다. 기업은 법무와 보험으로 버틴다. 소비자는 지치고 포기한다. 이 악순환이 반복되면 유출 사고는 ‘처리 가능한 비용’으로 회계 처리되고, 보안 투자 우선순위는 뒤로 밀린다.
그런데 왜 하필 유통업계에서 이런 유출이 반복되는 걸까. 이유는 구조적이다. 유통은 회원 기반이다. 가입과 결제를 쉽게 만들기 위해 데이터를 모은다. 배송을 위해 주소를 받는다. 고객경험(CX)을 위해 구매 이력을 쌓는다. 마케팅을 위해 선호도를 분석한다. 이 모든 데이터가 한곳에 쌓이면 ‘비즈니스 엔진’이 된다.
동시에 해커에게는 ‘보물 창고’가 된다. 반면 보안 투자는 즉각 매출로 연결되지 않는다. 물류센터를 늘리면 배송이 빨라지고, 광고를 늘리면 매출이 뛴다. 보안은 사고가 없으면 성과가 보이지 않는다. 이 유혹이 누적되면 기본 점검이 밀린다. 패치가 늦고, 계정 회수가 느슨해지고, 외부 협력사 접근이 넓어진다. 사고는 그 지점에서 터진다.
(사진 쿠팡)
◇ 보안 전문가들…‘거버넌스부터 바꿔야 한다’고 강조
유통업계가 해커에게 쉽게 털리는 배경에는 ‘설마 떠나겠어?’라는 오만도 깔려 있다. 쿠팡의 경우, 새벽배송과 간편결제라는 편리함에 길들여진 소비자들이 쉽게 서비스를 끊지 못할 것이라는 ‘록인(Lock-in) 효과’를 맹신하는 것이다. 하지만 이번 사태는 그 믿음을 정면으로 반박하고 있다.
최근 SNS와 온라인 커뮤니티에는 쿠팡 탈퇴 인증샷이 줄을 잇고 있다. 단순히 정보 유출 때문만이 아니다.
실제 쿠팡 내부 사무직 노조인 ‘쿠니언’조차 “김의장은 책임을 실무진에 전가하지 말고 직접 사과하라”며 성명을 냈다. 고객을 돈줄로만 보고 신뢰를 비용으로 여기는 경영진의 오만이 ‘탈팡’이라는 실질적인 저항으로 나타나고 있는 것이다.
여전히 쿠팡의 위상은 강력하지만, 소비자가 “쿠팡 없으면 안 된다”는 심리적 장벽을 한 번 넘으면 이야기가 달라진다. 한번 대체재를 경험한 소비자는 다음 위기에서 더 쉽게 이동한다. 쿠팡 사태 이후 일부 경쟁사의 트래픽이 늘고 새벽배송 대체 수요가 커졌다는 분석도 이어지고 있다.
유통업계는 지금 중대한 기로에 서 있다. 이번 사건을 ‘재수 없게 걸린 일’로 치부하고 넘어갈 것인가, 아니면 ‘보안 인프라 경영’으로 체질을 개선할 것인가. 고객은 이미 그 선택을 지켜보며 탈퇴 버튼 위에 손가락을 올리고 있다. 꼼꼼한 보안 체계를 갖추지 못한 기업은, 아무리 화려한 서비스를 내놓아도 결국 시장의 냉혹한 심판을 피할 수 없을 것이다.
보안 전문가들은 거버넌스부터 바꿔야 한다고 강조한다. 최고경영진이 보안을 ‘운영’이 아니라 ‘경영’으로 끌어올려야 한다. 보안 책임자의 권한을 강화하고, 보안 예산을 고정비로 편성해야 한다.
고객 중심 구제 체계 마련도 필수다. 정보 수집과 보관 정책을 재점검해야 한다. 꼭 필요하지 않은 데이터는 덜 모으고, 꼭 보관해야 하는 데이터는 더 강하게 가둬야 한다. 탈퇴 고객 데이터도 예외가 아니다. 법적 보관 의무가 있다면 그만큼 보안 등급을 높여야 한다.
정부의 역할도 중요하다. 조사 인력과 점검 빈도를 늘리고, 유통처럼 고위험 산업에는 상시 점검 체계를 강화해야 한다. 피해자 구제도 개인 소송에만 맡기지 말아야 한다. 일정 규모 이상 유출이 확인되면 자동으로 지원이 시작되는 체계를 고민할 시점이다. 기업이 소비자에게 입증을 요구하는 순간, 피해는 통계에서 사라진다. 사라진 피해는 개선을 막는다.
개인정보 유출 사건은 앞으로도 계속 이어질 공산이 크다. 이는 한국 유통업계 성장 공식에 균열을 낼 수 있다. ‘빠르게’ ‘싸게’ ‘편하게’라는 약속은 ‘안전하게’가 붙지 않으면 지속될 수 없기 때문이다. 보안은 화려한 혁신이 아니다. 대신 기업의 미래를 지키는 기초 체력이다.
