쿠팡 데이터 유출 3천 건? 실제론 3360만 건

쿠팡이 초기 3천 건이라고 발표했던 데이터 유출 규모가 실제로는 3360만 건으로 밝혀졌다. 정부 합동조사 결과와 기업의 투명성 문제를 분석한다.

3천 건이라고 했던 쿠팡의 데이터 유출 규모가 실제로는 3360만 건이었다. 한국 인구의 3분의 2에 해당하는 규모다.

과학기술정보통신부가 10일 발표한 합동조사 결과는 국내 최대 이커머스 플랫폼의 초기 발표가 얼마나 축소됐었는지를 적나라하게 보여준다. 단순한 숫자 차이가 아니라, 기업의 투명성과 책임감에 대한 근본적 질문을 던지는 사건이다.

11월 사건, 2월에야 드러난 진실

사건의 발단은 지난해 11월로 거슬러 올라간다. 쿠팡은 해커가 자사 시스템에 침입해 개인정보가 유출됐다고 발표했다. 하지만 당시 회사 측은 "약 3천 개 계정"의 정보만 노출됐다고 주장했다.

정부와 민간 전문가들로 구성된 합동조사단이 25.6테라바이트의 웹 접속 로그를 분석한 결과는 충격적이었다. 실제로는 3367만 명의 이름과 이메일 주소가 유출됐고, 배송 관련 페이지가 1억 4800만 번 조회됐다는 것이다.

최우혁 과기정통부 사이버보안국장은 "관리상의 문제였지, 정교한 공격은 아니었다"고 설명했다. 해커들이 쿠팡의 인증 시스템 취약점을 이용해 디지털 패스를 위조, 정상적인 인증 절차를 우회했다는 것이다.

3천 건 대 3360만 건. 이 엄청난 차이는 단순한 계산 실수가 아니다. 여기에는 몇 가지 가능성이 있다.

첫째, 초기 조사의 한계다. 쿠팡이 사건 발생 직후 충분한 조사 없이 성급하게 발표했을 가능성이다. 둘째, 의도적 축소 발표다. 주가 하락과 고객 이탈을 우려해 피해 규모를 의도적으로 줄여 발표했을 수도 있다.

쿠팡 측은 "해커가 웹사이트를 조회한 것이지, 실제로 데이터를 빼간 것은 아니다"라고 해명하고 있다. 또한 "금융정보나 비밀번호, 주민번호 같은 민감한 정보는 포함되지 않았다"고 강조했다.

하지만 유출된 정보에는 이름, 전화번호, 이메일, 배송 주소, 심지어 공동현관 비밀번호까지 포함됐다. 일상생활에 직접적 영향을 미칠 수 있는 정보들이다.

쿠팡의 또 다른 문제는 신고 지연이다. 회사는 11월 17일 오후 4시에 사건을 인지했지만, 당국에 신고한 것은 11월 19일 오후 9시 35분이었다. 24시간 신고 의무를 훨씬 넘긴 것이다.

이로 인해 쿠팡은 최대 3천만원의 과태료를 물게 됐다. 또한 2024년 5개월간의 웹 접속 기록과 2025년 5월 말~6월 초 애플리케이션 접속 기록을 보존하지 못해 별도 수사를 받게 됐다.

정부는 이번 달 내에 쿠팡으로부터 재발 방지 대책을 제출받고, 6~7월 이행 상황을 점검할 예정이다.

이번 사건은 단순한 기업의 실수를 넘어, 디지털 시대의 구조적 문제를 드러낸다. 우리는 편리함을 위해 수많은 개인정보를 온라인 플랫폼에 맡기고 있다. 하지만 그 정보가 얼마나 안전한지, 문제가 생겼을 때 기업이 얼마나 투명하게 대응하는지에 대해서는 의문이 남는다.

네이버, 카카오, 11번가 등 다른 국내 플랫폼들도 비슷한 위험에 노출돼 있다. 이번 쿠팡 사건이 업계 전반의 보안 점검과 투명성 강화로 이어질지 주목된다.