[이슈&논란] '쿠팡, 역대 최악 全국민 정보 유출'에 민심 싸늘…"김범석, 숨지 말고 나와라" "중국 정부에 체포·송환 요구하라”

[뉴스스페이스=김희선 기자, 이종화 기자] 국내 최대 이커머스 기업 쿠팡에서 고객 계정 3370만개의 개인정보가 무단 유출되면서 한국 개인정보 보호 역사상 최악 규모의 사태가 벌어졌다는 평가가 나오고 있다. 이름·전화번호·이메일·주소·일부 주문내역까지 포함된 이 정보 유출은 “성인 4명 중 3명이 털린 수준”이라는 분석과 함께, 실질적 오너이자 대주주인 김범석 쿠팡 이사회 의장이 전면에 나서야 한다는 책임론을 증폭시키고 있다.

규모·내용·시점이 드러낸 ‘역대급 참사’

쿠팡은 당초 11월 18일경 당국 신고 당시 피해 계정을 약 4500개로 보고했지만, 불과 11일 만에 피해 규모를 3370만 계정으로 수정했다. 올해 3분기 기준 쿠팡 상품커머스 부문의 분기 활성 고객 수가 약 2470만명이라는 점을 감안하면, 실질적으로 거의 모든 고객의 정보가 노출된 것으로 업계는 보고 있다. 유출 정보는 이름, 휴대전화 번호, 이메일, 배송지 주소, 일부 주문 내역 등 피싱·스미싱·맞춤형 사기·스토킹 위험으로 직결되는 민감 정보인데, 결제 정보·카드번호·로그인 비밀번호는 포함되지 않은 것으로 쿠팡과 당국은 설명한다.

이번 비인가 접속은 2025년 6월 24일부터 해외 서버(IP)를 경유해 이뤄진 것으로 추정되며, 쿠팡은 5개월 가까이 이를 탐지하지 못한 뒤 11월 18일에서야 유출 징후를 인지한 것으로 밝혀졌다. 문제는 이 인지조차 자발적 모니터링이 아니라, 11월 16일 한 고객이 “알 수 없는 이메일 발신자가 내 이름·주소·최근 주문 5건을 알고 있다”며 문의한 뒤에야 내부 조사에 착수한 결과였다는 점이 언론 보도로 드러나면서 ‘보안 실패’를 넘어 ‘모니터링 부재’와 ‘늑장 대응’ 비판으로 번지고 있는 것이다.

중국인 전 직원·해외 IP·단독 vs 조직범 논란

경찰과 정부가 파악한 현재 시나리오는 “쿠팡 전직 개발·운영 인력으로 추정되는 중국 국적 직원이 퇴사 후 해외로 출국한 뒤, 쿠팡의 메인 데이터베이스에 해외 서버를 통해 비인가 접속했다”는 것이다. 수사 초기 단계지만, 방대한 전체 DB 수준의 접근·반출이 시도된 만큼 단독 범행 보다는 배후 조직·브로커 또는 전문 해커와 공모했을 가능성을 배제하기 어렵다는 게 수사·보안 전문가들의 공통된 관측이다.

정보보호 전문가들은 “전체 DB 접근 권한을 확보한 내부 인력이 실제 외부 반출 과정에서 해커와 결탁해 경쟁사나 데이터 브로커에 판매를 시도했을 가능성”을 거론하며, 단순 ‘고도의 해킹’보다는 ‘내부자+외부 해커 결합형 범죄’에 무게를 두고 있다.

쿠팡은 공지와 설명에서 이번 사건을 ‘비인가(unauthorized) 접근’이라고 표현하며, 전통적인 의미의 고난도 네트워크 침투·백도어 공격은 확인되지 않았다고 주장해 왔다. 이 때문에 업계에서는 ▲내부 권한이 유출된 뒤 해외 IP로 접속한 ‘어처구니없는 보안 실패’인지, ▲회사 내부망과 접근 통제가 구조적으로 허술했던 ‘시스템 리스크’인지, ▲권한 관리·로그 모니터링·해외 IP 차단 등 기본 통제가 사실상 작동하지 않은 것인지가 이번 사태의 핵심 쟁점으로 부상하고 있다.

“5개월 몰랐다”는 쿠팡…보안투자 861억원 '무색'

쿠팡은 2024년 한 해 정보보호 부문에 약 861억원을 투자했다고 공시한 바 있으며, 스스로를 “테크 컴퍼니”라고 홍보해왔다. 그러나 6월 24일부터 시작된 해외 IP 비인가 접속, 대규모 데이터 조회·반출 시도가 147일 동안 탐지되지 않았고, 결국 고객 제보로 뒤늦게 파악됐다는 사실이 알려지면서 “기초적인 보안·로그 분석·이상 징후 탐지조차 안 됐다”는 비판이 쏟아지고 있다.

특히 민감 데이터 서버에 대한 해외 IP 원천 차단, 대량 조회·덤프 감지, 관리자 계정 모니터링 등은 글로벌 빅테크에서 ‘기본 중의 기본’으로 여겨지는 통제라는 점에서, 쿠팡의 ‘보안 거버넌스 부실’이 이번 사태의 구조적 원인으로 지목된다.

개인정보보호위원회·과학기술정보통신부·경찰 등은 합동점검과 수사에 착수했으며, 피해 규모·고의·중과실 여부에 따라 과징금·형사처벌·집단소송 등 다중 제재가 예고된 상황이다. 이미 온라인 커뮤니티와 소비자단체를 중심으로 “통보하면 끝이냐”는 여론과 함께 수천억원대까지 거론되는 집단 손해배상 소송 준비 움직임도 가시화되고 있다.

김범석 책임론, 왜 치솟나

현재 공식 사과문은 쿠팡 대표이사 박대준 명의로 발표됐지만, 쿠팡의 경영 구조상 실질적 오너이자 최대 의사결정권자인 김범석 쿠팡 Inc. 이사회 의장이 전면에 나와야 한다는 여론이 국내외에서 동시에 커지고 있다. 쿠팡은 미국 뉴욕증권거래소(NYSE)에 상장된 구조 하에서 한국 법인 대표가 대외 사과를 맡는 관행을 유지해왔지만, 이번 유출 규모가 한국 인구의 절대다수를 포괄하는 ‘국가적 사고’ 수준이라는 점, 미국·글로벌 투자자에게도 중대한 ESG·거버넌스 리스크로 번질 수 있다는 점이 주주·정치권·시민단체의 비판을 자극하고 있다.

특히 최근 수년간 쿠팡이 국회·정부 출신 인사를 다수 영입하며 로비·규제 대응에 공을 들여온 정황이 언론 보도로 드러나면서, “규제 방어에는 공을 들이면서 정작 내부 통제·보안에는 소홀했다”는 비판과 함께 ‘오너 책임’ 공방이 더욱 거세지는 양상이다.

정치권 일각과 시민단체는 “실질 지배구조의 정점에 있는 김범석 의장이 공개 기자회견 수준의 공식 사과, 재발방지 로드맵 제시, 피해 배상 원칙 천명을 해야 신뢰 회복의 출발점이 될 것”이라고 주장하며, 단순 대표이사 사과문을 넘어선 최고 책임자의 직접 대응을 요구하고 있다.

나경원 의원 “중국 정부에 체포·송환 공식 요구하라”

정치권의 공세도 거세지고 있다. 국민의힘 나경원 의원은 SNS에서 “중국으로 달아난 중국인 쿠팡 전 직원을 체포하고 국내로 송환할 것을 중국 정부에 즉시 공식 요구하라”며 이재명 대통령과 정부를 정면 겨냥했다는 보도가 이어졌다.

나 의원은 3370만명 규모의 유출을 싸이월드·SK텔레콤 사태를 뛰어넘는 ‘역대급 개인정보 참사’로 규정하며, 중국 당국의 수사력·통제력을 고려하면 의지만 있다면 용의자 소재 파악·신병 확보는 단기간에 가능하다고 주장했다는 점에서 한중 외교·사법 공조 문제까지 쟁점화되는 분위기다.

정부는 이미 경찰 수사와 별개로 민관합동조사단 구성, 향후 3개월간 개인정보 불법 유통 모니터링 강화 방침을 밝히며 “2차 피해 차단”을 강조하고 있지만, 정치권 일부는 “중국 정부를 대상으로 한 정식 체포·송환 요구 여부, 외교부의 역할”까지 따져 묻겠다는 입장이다. 이번 사안이 단순 기업 보안 사고를 넘어 외교·치안·사이버 안보·국가 이미지 리스크로 확장될 조짐을 보이는 대목이다.

국내외 규제·소송 리스크…쿠팡 앞에 놓인 시나리오

국내에서는 개인정보보호법 위반 여부에 따라 과징금·과태료, 형사책임, 손해배상 책임이 동시에 부과될 수 있으며, 최근 개인정보 집단소송 판례 흐름을 감안할 때 쿠팡이 부담해야 할 배상 총액은 수천억원에서 그 이상으로 불어날 수 있다는 관측이 조심스럽게 제기된다. 특히 5개월간 탐지 실패, 초기 피해 규모 축소 인지 의혹, 내부자 소행 가능성, 고객 제보 후 뒤늦은 인지 정황 등은 규제당국이 “고의 또는 중대한 과실” 여부를 판단하는 핵심 포인트가 될 전망이다.

미국 NYSE 상장사라는 점에서, 이번 사건은 해외 투자자와 미국 규제기관에도 보고·공시 이슈로 확산될 수 있다. 글로벌 ESG 평가사들은 이미 데이터 보호·사이버 보안을 핵심 지표로 반영하고 있어, 쿠팡의 평판 리스크는 향후 자본조달 비용과 기업가치에도 직격탄이 될 수 있다.

외신과 영문 보도들은 “33.7 million customer accounts exposed”, “breach went undetected for five months”라는 문구를 반복하며, 쿠팡의 기술·보안 역량과 지배구조에 대한 근본적 의문을 제기하고 있다.

소비자 2차 피해·실무 대책 요구

이미 각종 온라인 커뮤니티와 SNS에는 “내 최근 주문 내역까지 알고 접근하는 스미싱 문자·전화가 늘었다”는 증언이 올라오고, 피해자들이 모여 집단 대응 카페·채팅방을 만드는 움직임이 빠르게 확산되고 있다. 전문가들은 “전화번호·주소·구체적 구매 이력까지 결합된 데이터는 피싱·보이스피싱, 스토킹, 맞춤형 금융사기, 기업 타깃 스피어피싱 등에 악용될 수 있어, 단순 비밀번호 변경 수준을 넘어 중장기적인 모니터링과 지원 체계가 필요하다”고 경고한다.

이에 따라 시민단체와 일부 국회의원들은 ▲피해자 대상 무료 신용·명의도용 모니터링 서비스 제공 ▲피싱·사기 피해 발생 시 실질적 보상 원칙 확립 ▲유출 정보 삭제·차단을 위한 정부-글로벌 플랫폼 공조 ▲개인정보 유출 통지 의무·시점 강화 등 후속 입법과 정책 대책을 촉구하고 있다.

단순 안내 이메일과 ‘주의 당부’만으로는 “국민 불안을 해소하기 어렵다”는 비판 속에, 쿠팡이 자체 재원으로 실질 피해 예방·구제 프로그램을 마련해야 한다는 압박도 거세지고 있다.

“이번엔 기술·마케팅이 아니라, 오너십과 거버넌스의 시험대”

업계와 투자자 사이에선 이번 사태를 “쿠팡 창사 이래 최대 위기이자, 김범석 체제의 진짜 시험대”로 규정하는 시각이다. 빠른 배송과 공격적 투자로 성장해온 쿠팡이 보안·내부통제·지배구조·사회적 책임이라는 ‘보이지 않는 인프라’를 얼마나 진지하게 구축해왔는지가 적나라하게 드러난 사건이기 때문이다.

핵심 쟁점은 결국 두 가지로 압축된다. 첫째, 쿠팡이 어떠한 수준의 기술·조직·프로세스 개선과 배상·보상 패키지를 내놓느냐, 둘째, 실질 오너인 김범석 의장이 직접 나서 대국민 사과와 중장기 재발방지 로드맵을 설득력 있게 제시하느냐다.

앞으로의 대응에 따라 이번 ‘3370만명 해킹 참사’는 쿠팡의 영구적인 신뢰 붕괴로 귀결될 수도, 혹은 한국 빅테크 전반의 데이터보호 기준을 한 단계 끌어올리는 계기가 될 수도 있다는 점에서, 시장과 국민의 시선이 동시에 쿠팡과 김범석을 향하고 있다.