사상 초유의 개인정보 유출 사태, 무엇이 문제이고 우리는 어떻게 대응해야 할까요?
지난 이틀간(11월 29일, 30일) 쿠팡과 정부의 발표로 드러난 이번 사태의 진상을 정리해보겠습니다. 당초 4,500명이라던 피해 규모는 3,370만 명으로 늘어났고, 사건 발생 후 5개월간 아무도 이 사실을 몰랐다는 점이 드러났습니다. 현재까지 확인된 핵심 사실과 법적 쟁점을 정리해 드립니다.
4,500명이라더니… 하루 만에 7,500배 늘어난 3,370만 명
사건 초기인 11월 20일 쿠팡은 약 4,500개 계정의 정보가 노출되었다고 신고했습니다. 그러나 정부와 함께 진행한 정밀 조사 결과, 실제 피해 규모는 3,370만 개 계정인 것으로 최종 확인되었습니다.
이는 당초 발표보다 7,500배나 늘어난 수치입니다. 쿠팡의 활성 고객 수(약 2,470만 명)를 훨씬 웃도는 수치로, 비활성 고객까지 포함한 사실상 대다수 고객 정보가 모두 유출된 것으로 보입니다.
내 정보, 무엇이 빠져나갔나? (결제 정보는 안전?)
쿠팡 측은 카드 번호나 비밀번호 같은 결제·로그인 정보는 유출되지 않았다고 밝혔습니다. 하지만 안심하기엔 이릅니다. 유출된 정보의 조합이 매우 구체적이기 때문입니다.
- 유출 항목: 고객 이름, 이메일 주소, 배송지 주소록(수령인 이름, 전화번호, 주소), 일부 주문 정보.
주의: 내 이름과 전화번호뿐만 아니라, 우리 집 주소와 내가 주문한 내역까지 범죄 집단 손에 들어갔을 가능성이 있습니다. 정부는 이미 이 정보를 악용한 스미싱 및 보이스피싱 주의보를 발령했습니다.
5개월의 공백… 늑장 대응과 내부 보안 실패
가장 큰 문제는 쿠팡이 이 사실을 너무 늦게 알았다는 점입니다.
- 유출 시작: 2025년 6월 24일
- 최초 인지: 2025년 11월 18일
해커(또는 내부자)가 내 정보를 들여다보기 시작한 지 약 5개월이 지나서야 회사는 이를 알아챘습니다. 정부 조사 결과, 공격자는 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 절차 없이 정보를 탈취한 것으로 드러났습니다.
심지어 이번 사건은 외부 해킹이 아닌, 중국 국적의 전 직원이 연루된 내부 소행 가능성이 제기되고 있습니다. 쿠팡은 해커로부터 “보안을 강화하지 않으면 유출 사실을 알리겠다”는 협박 메일까지 받은 것으로 확인되어 경찰이 수사 중입니다. 이는 단순한 실수가 아니라, 기업의 보안 관리 시스템이 총체적으로 실패했음을 시사합니다.
유출이 아니라 노출? 법적으로 따져보니
쿠팡은 이번 사태를 안내하면서 줄곧 개인정보 유출이 아닌 노출이라는 표현을 고수하고 있습니다. 시스템이 해킹당한 것이 아니라는 이유에서입니다.
하지만 개인정보보호법에 따르면, 쿠팡의 주장은 법적 책임을 회피하기 위한 변명에 불과합니다.
① 법이 정의하는 유출이란? 개인정보보호법상 유출은 해킹에만 국한되지 않습니다. 개인정보처리자가 개인정보에 대하여 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 것은 모두 유출에 해당합니다. 구체적으로 다음과 같은 경우를 포함합니다.
- 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
- 기타 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우
쿠팡의 경우 인증 취약점으로 인해 권한 없는 자(해커 또는 전 직원)가 3,370만 명의 정보에 접근했으므로, 이는 명백한 유출입니다.
② 징벌적 손해배상 가능성 (최대 5배) 법적으로 유출이 인정되면 기업의 과실 여부가 중요해집니다. 개인정보보호법 제39조 제3항은 개인정보처리자의 고의 또는 중대한 과실로 정보가 유출된 경우, 법원이 손해액의 5배를 넘지 않는 범위에서 징벌적 손해배상액을 정할 수 있다고 규정합니다.
- 중대한 과실의 정황: 5개월간 무단 접근을 탐지하지 못한 점, 내부 직원 관리에 실패한 정황 등은 안전조치 의무를 위반한 중대 과실로 볼 가능성이 있습니다.
공동소송 참여 의향 조사 (사전 모집)
정부는 11월 30일부터 민관합동조사단을 가동하여 쿠팡의 안전조치 의무(접근통제, 권한 관리 등) 위반 여부를 집중 조사하고 있습니다. 이번 사건은 단순한 정보 유출을 넘어 기업의 윤리 의식과 보안 불감증이 빚어낸 인재입니다.
현재 저희 로피드법률사무소는 본격적인 소송 진행에 앞서, 피해자분들의 참여 의사를 확인하고 있습니다. 구체적인 소송 계획은 참여 희망 인원이 일정 규모 이상 모일 경우 수립하여 정식으로 안내해 드릴 예정입니다.
- 참여 대상: 쿠팡 개인정보 유출 피해 통지를 받은 이용자
- 진행 단계: 소송 참여 의향서 접수
3,370만 명의 피해자 중 한 분이라면, 침묵하지 말고 의사를 표시해 주십시오. 여러분의 관심이 모여야 기업의 책임을 물을 수 있습니다.
[참여 안내] 쿠팡 개인정보 유출 공동소송 사전 의향서 접수
지금은 정식 소송인단 모집 전 단계로, 참여를 원하시는 분들의 수요를 파악하고 있습니다. 아래 링크를 통해 연락처를 남겨주시면, 정식 모집 시작 시 가장 먼저 알림을 드립니다.