사건 핵심 요약
“국민 4명 중 3명의 정보가 5개월간 무방비로 뚫렸다”
- 피해 규모: 약 3,370만 개 계정
- 유출 기간: 2025년 6월 24일 ~ 11월 8일 (약 147일간 지속)
- 유출 정보: 이름, 전화번호, 이메일, 배송지 주소, 공동현관 비밀번호(확인됨), 일부 주문 내역
- 현재 현황:
- 이용자 이탈: 사태 발생 후 나흘 만에 이용자 약 180만 명 감소 (12.05 기준).
- 정부 대응: 대통령실·공정위 등 전방위 조사 착수(면책 조항, 다크 패턴, 전관 채용 등).
- 현재 위협: 유출된 주소와 전화번호를 결합한 카드 배송 기사 사칭 신종 보이스피싱 기승.
- 사고 원인: 퇴사한 중국인 직원(인증 담당)이 접근 권한(액세스 토큰 서명키)을 악용. 쿠팡은 퇴사자의 권한을 즉시 회수하지 않는 등 기본적인 보안 수칙(ISMS-P)을 위반함.
3가지 핵심 쟁점
단순 해킹 사고를 넘어 기업 윤리와 도덕적 해이 문제로 번지고 있습니다.
1. “사과문 공유하니 특가 혜택?”… 진정성 없는 대처 논란
- 사과문도 마케팅?: 쿠팡이 게시한 사과문 링크를 공유하면 미리보기 화면에 “쿠팡이 추천하는 혜택과 특가”라는 홍보 문구가 노출되어 공분을 샀습니다.
- 반복된 실수: 초기 유출을 노출로 축소 표기한 데 이어, 사과문조차 기술적 점검 없이 판촉 문구를 방치했다는 점에서 “진정성이 없다”는 비판이 쏟아지고 있습니다.
2. 배상 보험은 고작 10억… 책임은 회피하고 탈퇴는 막고
- 쥐꼬리 배상금: 피해자는 3천만 명이 넘는데, 쿠팡이 가입한 개인정보 배상 책임 보험 한도는 법정 최소 금액인 10억 원에 불과한 것으로 드러났습니다. (피해자 1인당 약 30원꼴)
- 탈퇴 장벽(Dark Pattern): 이용자 이탈을 막기 위해 앱 내 탈퇴 불가, 7단계 복잡한 절차 등을 둔 것에 대해 공정거래위원회가 위법 여부 조사에 착수했습니다.
3. “불안해서 못 쓰겠다”… 나흘 만에 180만 명 대탈출
- 탈쿠팡 러시: 모바일인덱스 집계 결과, 12월 1일 대비 5일 기준 일간 이용자(DAU)가 약 181만 명 급감했습니다.
- 신뢰 붕괴: 초기에는 유출 확인을 위해 접속이 늘었으나, 부실한 대응과 보이스피싱 공포가 겹치며 실제 앱 삭제 및 이탈로 이어지고 있습니다.
[긴급] 경찰청 권고 행동 요령
- “카드 배송/발급” 전화는 즉시 끊으세요: 쿠팡 유출을 언급하며 보안 앱 설치를 유도하면 100% 사기입니다.
- 공동현관 비밀번호 변경: 배송지 정보에 포함된 공동현관 비번이 유출되었으므로 즉시 변경해야 합니다.
- 문자 속 링크 클릭 금지: “배송 지연”, “주소 확인” 문자의 URL은 절대 누르지 마세요.
주요 언론 보도 및 정부 보도자료(최신순)
이 사건과 관련하여 반드시 확인해야 할 핵심 뉴스를 최신순으로 정리했습니다. 링크를 클릭하면 원문으로 이동합니다.
📉 [12.08] 이용자 이탈 및 사과문 논란 폭발
[단독] 사과문조차 판촉 활용한 쿠팡, 이용자 나흘새 180만 줄었다 (조선일보)
- 내용: 쿠팡 사과문을 카카오톡 등에 공유하면 “쿠팡 혜택과 특가”라는 제목이 뜨는 황당한 일이 발생했습니다. 쿠팡 측은 기술적 오류라고 해명했으나, 이 기간 동안 이용자는 180만 명이나 줄어들며 탈쿠팡이 가속화되고 있습니다.
- 기사 원문 보기 >
3천만 명 정보 털렸는데…쿠팡 가입 배상보험 한도는 10억 불과 (YTN)
- 내용: 쿠팡이 가입한 배상 책임 보험이 고작 10억 원 한도인 것으로 확인되었습니다. 천문학적 피해 규모에 비해 턱없이 부족한 금액이라, 향후 실질적인 피해 구제가 어려울 수 있다는 우려가 나옵니다.
- 기사 원문 보기 >
공정위, 쿠팡 탈퇴절차 조사…“先시정 後제재 검토” (조선비즈)
- 내용: 탈퇴하려면 PC로만 가능하고 7단계를 거쳐야 하는 쿠팡의 복잡한 절차(다크 패턴)에 대해 공정위가 칼을 빼 들었습니다. 위법 여부를 조사하고 즉각적인 시정을 요구할 방침입니다.
- 기사 원문 보기 >
대통령실 “쿠팡 해킹면책·전관채용 조사하라” (파이낸셜뉴스)
- 내용: 강훈식 대통령 비서실장은 쿠팡이 약관에 해킹 면책 조항을 넣은 점과 권력기관 출신 전관을 대거 채용한 실태에 대해 전방위적인 조사를 지시했습니다.
- 기사 원문 보기 >
🚨 [12.07] 신종 피싱 주의보 및 정부·업계 대응
“고객님 명의로 카드가 발급됐습니다”… 쿠팡 사태 악용 ‘신종 피싱’ 기승 (SBS, YTN)
- 내용: 경찰청이 쿠팡 사태 악용 피싱 주의보를 발령했습니다. 우체국 집배원 등을 사칭해 “신용카드가 발급됐다”고 속인 뒤, 신청한 적 없다고 하면 “쿠팡 유출로 명의가 도용된 것 같으니 사고예방센터(가짜)로 연결해주겠다”며 접근하는 신종 수법입니다. 이후 원격 제어 앱 설치를 유도해 정보를 탈취하므로, 출처 불명의 링크 클릭이나 앱 설치를 절대 금지해야 합니다.
- 기사 원문 보기(SBS) >
- 기사 원문 보기(YTN) >
쿠팡, ‘노출’ → ‘유출’로 공식 정정 재공지… “비번·결제정보는 안전” (연합뉴스)
- 내용: 개인정보보호위원회의 시정 명령에 따라 쿠팡이 홈페이지 배너를 통해 노출을 유출로 정정하고, 유출 항목(공동현관 비밀번호 등)을 상세히 재공지했습니다. 쿠팡 측은 “결제 정보와 비밀번호, 개인통관고유부호는 유출되지 않았으며, 경찰 조사 결과 현재까지 확인된 금전적 2차 피해는 없다”고 주장했습니다.
- 기사 원문 보기 >
“인증받은 기업도 털렸다”… 정부 ISMS-P 대수술 & 플랫폼 업계 비상 (JTBC, 연합뉴스)
- 내용: 정부는 쿠팡이 정보보호 인증(ISMS-P)을 유지했음에도 사고가 발생한 점을 감안해, 중대 결함 시 인증 즉시 취소(원스트라이크 아웃) 제도를 검토 중입니다. 이에 네이버, 카카오, 토스 등 주요 플랫폼은 보안 점검을 대폭 강화했으며, 특히 카카오는 도용 여부를 알 수 있도록 해외 직구 통관 내역 알림 서비스를 강화했습니다.
- 기사 원문 보기(JTBC) >
- 기사 원문 보기(연합뉴스) >
⚖️ [12.06] 美 집단소송 리스크와 탈쿠팡 장벽
정부, ISMS-P 인증제도 대수술… “중대 결함 시 인증 취소” (과학기술정보통신부)
- 내용: 잇따른 개인정보 유출 사고에 대응해 정부가 ISMS-P 인증 제도를 전면 개편합니다. 주요 플랫폼의 인증 의무화 및 심사 기준을 강화하고, 사고 발생 시 특별 사후심사를 통해 중대 결함이 확인되면 즉시 인증을 취소하는 원스트라이크 아웃 제도를 도입합니다. 당장 이달부터 쿠팡 등 사고 기업에 대한 현장 점검이 실시됩니다.
- 보도자료 원문 보기 >
美로펌, 쿠팡 본사 상대 ‘증권법 위반’ 조사 착수 (연합뉴스TV)
- 내용: 쿠팡의 미국 모기업 쿠팡Inc를 상대로 미국 현지 로펌이 증권법 위반 여부 조사에 착수했습니다. 중요 정보인 대규모 보안 사고를 투자자에게 제때 공시하지 않았는지 살피고 있으며, 이는 천문학적 배상금이 걸린 현지 집단 소송으로 이어질 가능성이 높습니다.
- 기사 원문 보기 >
쿠팡 탈퇴 7단계에 “탈팡하려다 탈진” (채널A)
- 내용: 회원 탈퇴를 하려면 모바일 앱에서는 불가능하고 PC 화면으로 이동해야 하며, 비밀번호 재입력·유료 멤버십 해지·설문조사 등 7단계를 거쳐야 하는 복잡한 절차가 도마 위에 올랐습니다. 이에 방송미디어통신위원회는 이용자의 해지권을 제한하는 다크 패턴인지 긴급 조사에 나섰습니다.
- 기사 원문 보기 >
[단독] 구글에도 “쿠팡 아이디 팔아요”…中 거래상 “하루이틀도 아닌데” (TV조선)
- 내용: 중국 쇼핑몰뿐만 아니라 구글에서도 한국인의 쿠팡 계정이 버젓이 거래되는 현장이 포착되었습니다. 기자가 직접 구매해 본 결과 계정 주인의 실명과 전화번호가 그대로 노출되었으며, 판매자는 “10년째 해온 장사”라며 대수롭지 않다는 반응을 보였습니다.
- 기사 원문 보기 >
📉 [12.05] 이용자 이탈 가시화 및 국회 청문회 확정
쿠팡 이용자, 나흘 만에 감소 전환…이탈 본격화 조짐 (연합뉴스)
- 내용: 개인정보 유출 확인을 위해 접속이 몰렸던 기간이 지나고, 쿠팡의 일간 활성 이용자(DAU)가 전일 대비 약 18만 명 감소하며 하락세로 전환했습니다. 소비자들의 탈쿠팡 움직임이 실제 수치로 나타나기 시작했다는 분석입니다.
- 기사 원문 보기 >
[단독] 여야, ‘쿠팡 사태’ 청문회 17일 개최하기로 (조선비즈)
- 내용: 국회 과방위는 쿠팡 측의 자료 제출 미흡과 답변 회피에 대응하여, 오는 12월 17일 청문회를 개최하기로 여야 간 합의했습니다. 김범석 의장 등 최고 경영진에 대한 강도 높은 추궁이 예상됩니다.
- 기사 원문 보기 >
경찰 “쿠팡 유출 정보, 스미싱·주거침입 등 2차 피해 정황 없어” (뉴시스)
- 내용: 경찰청 국가수사본부는 현재까지 접수된 범죄 사례를 분석한 결과, 스미싱이나 주거침입 등 쿠팡 유출 정보가 악용된 구체적인 2차 피해 정황은 아직 확인되지 않았다고 발표했습니다. (소비자들의 체감 불안과는 온도 차가 있는 발표입니다.)
- 기사 원문 보기 >
뉴스 더 보기
📉 [12.04] 책임 회피 논란과 전방위적 조사 착수
[단독] 쿠팡 “유출 책임 없다”…1년 전 ‘면책조항’ 추가 (서울경제)
- 내용: 쿠팡이 이번 사태 전, 해킹 등 제3자 접속에 대한 회사 면책 조항을 약관에 신설한 사실이 드러났습니다. 업계에서는 이례적인 조항이라며, 사전에 위험을 감지하고 방어막을 친 것이 아니냐는 의혹을 제기했습니다.
- 기사 원문 보기 >
[단독] 쿠팡 통관부호 정말 안 샜나…”나 몰래 해외 직구” (YTN)
- 내용: 쿠팡은 결제 정보와 개인통관고유부호 유출은 없다고 주장하지만, 피해자들은 주문하지 않은 물건이 본인의 통관부호로 수입되는 등 2차 피해를 겪고 있습니다. 전문가들은 통관부호 유출 가능성을 배제하기 어렵다고 지적합니다.
- 기사 원문 보기 >
‘복잡한 쿠팡 계정 탈퇴’…방미통위, 긴급 사실조사 (뉴스1)
- 내용: 회원 탈퇴 메뉴를 찾기 어렵게 숨겨두거나 복잡한 단계를 거치게 하는 등 해지권 제한 행위 여부에 대해 정부가 긴급 조사에 나섰습니다.
- 기사 원문 보기 >
🗣️ [12.03] 조직적 은폐 시도와 정부의 제동
개인정보위, “쿠팡 ‘노출’ 아닌 ‘유출’로 재통지하라”… 긴급 전체회의 의결 (개인정보보호위원회)
- 내용: 개인정보위는 긴급 회의를 열고 쿠팡이 피해 사실을 노출로 축소 통지하고 일부 유출 항목(공동현관 비밀번호 등)을 누락한 점을 지적했습니다. 이에 유출로 용어를 정정하여 누락된 항목까지 포함해 재통지하고, 7일 이내에 피해 예방 안내 강화 및 전담 대응팀 확대 등 조치 결과를 제출할 것을 명령했습니다.
- 보도자료 원문 보기 >
[단독] 쿠팡 ‘상담사 답변 지침’…결국 “모른다”만 해라? (KBS)
- 내용: 쿠팡 본사가 하청 상담사들에게 “유출 단어 사용 금지”, “보상 언급 시 페널티” 등 구체적인 입막음 지침을 내린 내부 문건이 폭로되었습니다.
- 기사 원문 보기 >
개인정보위 “쿠팡, 개인정보 ‘노출’ 아닌 ‘유출’로 재통지해야” (연합뉴스)
- 내용: 정부는 쿠팡의 노출 표현이 사태를 축소하려는 의도라고 판단, 유출로 명확히 수정하고 누락된 항목(공동현관 비번 등)을 포함해 다시 알릴 것을 명령했습니다.
- 기사 원문 보기 >
시민단체 “쿠팡 사태 유출 원인·실질적 배상안 마련해야” (뉴시스)
- 내용: 민변, 참여연대 등 시민단체가 쿠팡 본사 앞에서 규탄 회견을 열고, 집단분쟁조정 신청인을 모집하기 시작했습니다.
- 기사 원문 보기 >
⚖️ [12.02] 피해 현실화와 강경 대응 예고
李, 쿠팡 개인정보 유출에 “‘징벌적 손배’ 현실화 해야” (아이뉴스24)
- 내용: 이재명 대통령은 국무회의에서 이번 사태를 엄중히 질타하며, 징벌적 손해배상제 현실화와 과징금 강화 등 실효적인 대책 마련을 지시했습니다.
- 기사 원문 보기 >
[단독] 쿠팡 등록 카드서 300만 원 무단 결제…”다른 유출 정보와 결합 가능성” (YTN)
- 내용: 유출 통지 직후, 쿠팡에 등록된 카드로 수백만 원대 무단 결제 시도가 발생했다는 제보가 이어지며 2차 피해 우려가 현실화되고 있습니다.
- 기사 원문 보기 >
🗝️ [12.01] 핵심 원인 분석: 내부 통제 실패와 기술적 허점
前직원, 재직때 작정하고 ‘백도어 키’ 확보?… ‘로 앤드 슬로’ 공격했나 (문화일보)
- 내용: 쿠팡이 147일간 유출을 감지하지 못한 이유는 범인이 프록시 서버를 이용해 IP 대역을 계속 바꿔가며 감시망을 무력화했기 때문으로 분석됩니다. 또한, 쿠팡 내부 직원이 “신규 개발자의 80%가 중국인”이라고 증언하는 등 인력 편중과 내부 통제 부실 의혹이 제기되었습니다.
- 기사 원문 보기 >
퇴사자 ‘정보접근 열쇠’ 미회수…보안의 기본 안 지킨 쿠팡 (한겨레)
- 내용: 이번 사태의 직접적 원인은 쿠팡이 퇴사자의 액세스 토큰 서명키를 갱신하거나 폐기하지 않은 데 있습니다. 전문가들은 이를 두고 “가장 기본적인 보안 절차조차 작동하지 않은 것”이라며, 단순 해킹이 아닌 인증 체계 관리의 총체적 실패라고 지적했습니다.
- 기사 원문 보기 >
쿠팡 중국인 직원은 ‘인증 업무 담당자’…’액세스 토큰 서명키’ 장기 방치가 화근 (JTBC)
- 내용: 경찰 수사 결과 유출 주범인 전 직원 A씨는 내부 인증 업무 담당자였습니다. 최민희 과방위원장은 이를 “단순 일탈이 아닌 인증체계를 방치한 조직적·구조적 문제”라고 질타했으나, 쿠팡 측은 “업계 통상 기준”이라 해명하여 논란이 되고 있습니다.
- 기사 원문 보기 >
쿠팡 대규모 개인정보유출로 ISMS-P 실효성 또 도마 (ZDNet Korea, 2025.12.01)
- 내용: 쿠팡이 정부의 정보보호 인증(ISMS-P)을 획득·갱신했음에도 퇴사자 권한 관리조차 되지 않았다는 사실이 드러나며, 현행 인증 제도가 허울뿐인 보안 극장(Security Theater)에 불과하다는 비판이 나옵니다.
- 기사 원문 보기 >
🚨 [11.30] 사건의 발단과 경찰 수사
쿠팡, “‘개인정보 유출’ 사안 알리겠다” 협박 메일 받아‥경찰 수사 중 (MBC)
- 내용: 쿠팡이 해커(또는 내부자)로부터 협박성 이메일을 받은 정황이 포착되었습니다. 경찰은 이메일 발송자와 정보 유출자가 동일인인지, 특히 중국 국적의 전 직원이 연루되었는지 수사하고 있습니다.
- 기사 원문 보기 >
“유출 아니고 노출입니다”…쿠팡은 피해 축소 급급했다 (한겨레)
- 내용: 쿠팡이 이번 사고를 유출이 아닌 노출이라고 표현하는 것에 대한 비판 보도입니다. 내/외부자의 악의적 행위로 정보가 넘어갔음에도 책임을 축소하려 한다는 지적입니다.
- 기사 원문 보기 >
[보도자료] 정부, 쿠팡 침해사고 및 개인정보 유출 관련 관계부처 긴급 대책회의 개최 (과학기술정보통신부)
- 내용: 정부는 쿠팡 사칭 피싱·스미싱 등 2차 피해 방지를 당부하며, 다크웹 등에서의 개인정보 불법유통 모니터링을 강화하기로 했습니다.
- 보도자료 보기 >
📈 [11.29] 피해 규모 폭증 및 정부 대응
4500개 계정 해킹 당했다더니… 쿠팡, 뒤늦게 “3370만개 유출” (조선일보)
- 내용: 최초 인지 당시(4,500개)보다 7,500배 늘어난 3,370만 개 계정이 유출된 것으로 최종 확인되었습니다.
- 기사 원문 보기 >
쿠팡 해킹으로 3370만 고객 정보 유출…”결제정보는 안전” (아시아경제)
- 내용: 쿠팡 측은 결제·로그인 정보는 안전하다고 밝혔으나, 5개월간 무단 접근을 허용한 점에 대한 비판이 거셉니다.
- 기사 원문 보기 >
[보도자료] 정부, 쿠팡 침해사고 및 개인정보 유출 관련 철저한 조사 추진 (과학기술정보통신부)
내용: 민관합동조사단을 구성하여 정보 유출 경위와 보호법상 안전조치의무 위반 여부를 조사 중입니다.
심층 분석 및 대응
단순한 뉴스 보도를 넘어, 이번 사태의 법적 쟁점과 피해자 대응 방안에 대한 상세한 분석이 필요하신가요? 아래 링크를 통해 확인하세요.