[뉴스스페이스=김희선 기자] 쿠팡의 초대형 개인정보 유출 사태가 미숙한 사과·소통 대응과 겹치면서 결국 ‘이용자 180만명 이탈’이라는 숫자로 현실화되고 있다. 국내 이커머스 1위이자 온라인 리테일 점유율 약 40%를 차지하는 플랫폼에서 벌어진 이번 사태는, 한국뿐 아니라 해외 주요 매체까지 동시다발적으로 주목하는 글로벌 리스크 이슈로 번졌다.​

3370만명 털린 뒤, ‘사과문에 광고 노출’ 논란까지

쿠팡은 11월 29일 고객 계정 3370만개의 개인정보가 무단 접근·유출됐다고 공식 인정했다. 유출 범위에는 이름, 이메일 주소, 전화번호, 배송지 주소, 일부 주문내역 등이 포함되며, 결제정보와 로그인 비밀번호는 포함되지 않은 것으로 알려졌다. 경찰과 정부 조사에 따르면 해당 사고는 6월 24일부터 해외 서버를 경유해 장기간 지속된 것으로 추정되며, 쿠팡은 11월 18일에서야 이를 인지해 당국에 통보했다.​

그러나 후속 커뮤니케이션은 ‘사고 수습’ 대신 ‘리스크 증폭’으로 작용했다. 첫 공지에서 쿠팡은 ‘유출’ 대신 ‘노출’ ‘무단 접근’ 등 완곡한 표현을 사용해 사안의 심각성을 축소했다는 비판을 받았고, 개인정보보호위원회는 12월 3일 긴급 전체회의를 열어 표현을 ‘유출’로 바로잡아 재통지하고, 홈페이지 첫 화면에 일정 기간 이상 공지할 것을 명령했다. 11월 30일 메인에 띄웠던 사과문을 이틀 만에 내리고 자사 뉴스룸으로만 이동시킨 조치 역시 “눈에 띄지 않는 곳에 숨겼다”는 지적을 자초했다.​

“쿠팡이 추천하는 혜택과 특가” 떠버린 재공지 링크

정부 요구에 따라 12월 7일 재공지한 사과문은 또 다른 논란을 낳았다. 이용자들이 해당 링크를 카카오톡 등 메신저로 공유하면 미리보기 제목에 “쿠팡이 추천하는 관련 혜택과 특가”라는 광고성 문구가 노출된 것이다. 개인정보 유출 안내 링크에 자사 프로모션 문구가 자동 덧입혀지면서, 피해자 안내가 아니라 ‘트래픽 마케팅’처럼 보였다는 비판이 쏟아졌다.​

쿠팡은 “기술적 처리 과정에서 발생한 문제”라며 해명했고, 8일 오후가 돼서야 미리보기 문구를 “개인정보 유출 사고에 관해 재안내 드립니다”로 수정했다. 링크 구조상 메인 화면을 경유하도록 설계되어 있어, 기존 기본 제목(광고용 카피)이 외부 공유 시 그대로 노출됐다는 설명이지만, 개인정보 유출 사태의 민감도를 고려하면 링크 설계와 검수 단계부터 ‘위험 관리’가 부실했다는 지적이 나온다.​

일주일 새 DAU 180만명 증발…경쟁사 트래픽 ‘역주행’

데이터 분석업체 아이지에이웍스의 모바일인덱스 집계에 따르면, 12월 5일 기준 쿠팡의 일간 활성 이용자(DAU)는 1617만7757명으로 나타났다. 이는 역대 최대치를 찍었던 12월 1일 1798만8845명 대비 181만명 이상 감소한 수치로, 불과 나흘 새 대규모 이탈이 현실화된 셈이다. 개인정보 유출 사실이 알려진 11월 29일 DAU 1625만1968명보다도 낮아진 것으로, 논란이 ‘사고 인지 시점’이 아니라 ‘사과·대응 과정’에서 한 번 더 악화되고 있음을 시사한다.​

이탈 수치는 경쟁 플랫폼의 ‘반사이익’으로도 드러난다. 같은 기간 지마켓(G마켓) DAU는 136만6073명에서 143만명으로 늘었고, 네이버플러스 스토어는 107만명에서 131만명으로 23% 넘게 급증했다.

한국 온라인 리테일 시장에서 쿠팡이 약 39.7% 점유율로 1위, 네이버와 지마켓 등 상위 3사가 합계 60%대 후반을 점유하고 있다는 점을 감안하면, 이번 유출 이후 단기 트래픽 재배치는 중장기 시장점유율 재편의 전조로 해석될 수 있다.​

‘내부자 위협’ 구조적 리스크…국제 공조 수사와 글로벌 시선

이번 사고는 전형적인 ‘외부 해킹’이 아니라 내부자 위협(Insider Threat)으로 규정되고 있다. 경찰과 당국 보고서에 따르면, 중국 국적 전직 직원이 해외 체류 중 해외 서버를 통해 쿠팡 국내 메인 서버에 무단 접근했고, 접근 권한 관리에 핵심인 액세스 토큰과 인증키 관리 부실이 주요 원인으로 거론된다. 해당 인물은 개인정보를 빼낸 뒤 협박성 이메일을 보낸 정황도 포착된 것으로 전해졌다.​

경찰청 국가수사본부는 IP 추적 등 디지털 포렌식을 진행하면서 인터폴 등과 국제 공조를 요청했고, 다크웹 내 유통 여부 모니터링에도 착수했다. 정부·민간 합동 조사단 구성과 별도로 개인정보보호위원회, 과학기술정보통신부, 금융당국이 참여하는 범정부 대응도 가동되고 있으며, 해외 고객 데이터 포함 여부에 따라 각국 개인정보보호 규제가 동시에 작동하는 ‘다층 규제 리스크’가 현실화될 수 있다는 분석도 나온다.​

해외 언론도 주목…“아마존 닮은 한국 1위 플랫폼의 시험대”

해외 주요 매체들도 이번 사태를 잇따라 보도했다. 영국 BBC는 쿠팡을 “한국판 아마존”으로 소개하며, 처음에는 약 4500개 계정 노출로 신고됐다가 조사 과정에서 3370만 계정으로 확장된 점에 주목했다. 미국·유럽계 IT·비즈니스 매체 역시 “5개월 이상 지속된 대규모 유출” “SK텔레콤 2320만명 유출을 넘어선 사상 최대급 사고” 등으로 평가하며, 한국 전자상거래 생태계 전반에 대한 신뢰도 부담을 지적했다.​

시장 데이터 업체와 리서치 기관들은 이번 사건을 “고객 경험·로지스틱스 혁신으로 급성장한 쿠팡이 ‘보안·거버넌스’라는 새로운 시험대에 오른 계기”로 해석하고 있다. 2024년 기준 한국 온라인 리테일 시장은 약 1000억달러 이상, 2028년 1800억달러 안팎까지 성장할 것으로 전망되는 가운데, 이번 대규모 유출은 국내 규제 체계와 기업 내부 통제 수준을 재점검하는 계기가 될 것으로 보인다.​

신뢰 회복의 관건은 ‘사고 수습’이 아니라 ‘거버넌스 리셋’

전문가들은 이번 사태의 본질을 단순 보안 사고가 아니라 ‘거버넌스 실패’로 본다. 유출 탐지까지 수개월이 소요되고, 최초 신고 규모와 실제 피해 범위가 큰 차이를 보였으며, 그 이후 커뮤니케이션 과정에서 표현 축소·공지 축소·광고성 문구 노출 등 일련의 의사결정이 ‘고객 보호’보다 ‘평판 관리’에 기울어져 있다는 인상을 줬다는 지적이다.​

향후 쿠팡이 직면할 리스크는 세 갈래다. 

▲개인정보보호법 및 관련 규정 위반에 따른 과징금과 행정제재 ▲집단소송, 손해배상 청구 등 민사상 법적 비용. 이미 일부 법률 플랫폼에서는 피해자 모집 카페·단체 소송 창구가 개설되고 있다.​ ▲핵심 고객층 이탈과 프리미엄 멤버십 해지 등으로 인한 중장기 매출·평판 손실등이다.

한국 이커머스 시장의 성장세를 감안하면, 이번 ‘신뢰의 구멍’이 향후 3~5년 간 시장 점유율 곡선을 바꿀 수 있다는 우려도 나온다.​

재계 관계자는 "결국 관건은 ‘얼마나 빨리’가 아니라 ‘얼마나 깊이’ 바꾸느냐에 있다"면서 "내부 접근 권한 구조와 인증키 관리, 보안 감시 시스템, 사고 대응 프로토콜, 최고 경영진의 책임 구조까지 포함한 전면적인 거버넌스 리셋 없이는, 수치상 트래픽이 회복되더라도 신뢰의 균열은 언제든 다시 표면 위로 떠오를 수 있다"고 지적했다.