잇단 개인정보 유출 사고에도…소비자 배상은 막막 - Supple

https://spt.co.kr/news/cmisgxu2t008ykbfj65fp8si2

쿠팡 해킹사건 다들 들으셨을 거에요

문자도 받으셨을 거라 생각합니다... 워낙 많은 부분이 털려서

대부분이 해당되실 것 같네요.

보면 알겠지만 로그인 관련 정보는 없다고 하지만

중요한 개인정보들이 다 노출된 것을 알 수 있어요.

근데 죄송하다 노력하겠다만 있고 어떻게 부분이 빠져있어요

매번 이렇게 기업들은 자신들을 믿고 개인정보이용에 동의한 소비자들과의

신의를 지키지 못하고 다음부터는 이런일이 없도록 더 강화하겠다는 의미없는 약속만 반복하는 실정입니다!

그럼 이번 해킹 사건에 대해 내용을 알아볼까요.

2025년 11월 쿠팡 회원들을 대상으로 중국인으로 추정되는 퇴사자[4]에 의해 발생한 개인 정보 유출 사태. 약 3,370만 개에 달하는 회원의 성명, 주소, 연락처 등이 대량으로 유출된 것으로 확인되었다.

3,370만입니다.

쿠팡을 이용하는 고객들은 다 털렸다고 생각해야겠네요

5천만 인구에서 절반을 훨씬 웃도는데요.

실제 쿠팡을 가입해서 사용가능한 인구를 생각하면 쿠팡을 가입했다고 털렸다고 생각하시면 됩니다.

최초 발견 당시 인지한 해킹 건은 2025년 11월 6일 18시 38분이다. 당시 회원이 로그인을 할 때 사용되는 1회용 암호인 액세스 토큰을 사용한 비인가 무단 접근이 발생했다고 보고됐으나 정작 당시에는 이를 바로 알아차리지 못했다. 침해 사실을 알게 된 날은 그로부터 12일이나 지난 11월 18일 오후 10시 52분이라는 것이 기록되어 있었고 이마저도 쿠팡이 선제적으로 감지한 것이 아니라 고객의 민원으로 겨우 알게 된 것이라 쿠팡에서 침해 사실을 뒤늦게 알아차렸다는 비판이 나왔다. #

11월 19일 오후 9시 35분에 이를 신고하며 쿠팡은 신고서에 "유효한 인증 없이 4,536개의 계정 프로필에 접근한 기록이 발견됐다"며 "초기 조사 결과 서명된 액세스 토큰을 악용해 접근한 것으로 추정된다"고 기재했다. 또 "각 계정 프로필에 대한 엑세스 기록에 최근 5건의 주문 이력 및 고객의 배송 주소록(이름, 전화번호, 배송주소)이 포함돼있다"고 했다.

11월 20일, 피해 고객에게 개인정보가 비인가로 조회된 것을 18일에 확인했다는 문자를 보냈는데, 고객에게는 정확히 언제 유출되었는지도 알려주지 않았다는 점이다. 피해를 입은 계정은 최근 5건의 주문 이력과 개인정보인 이름, 전화번호, 배송주소, 이메일 주소까지 유출되었다. #

같은 날 쿠팡은 입장문을 통해 결제 정보에 대한 접근 및 외부 침입 흔적은 없었으나 비인가 접근이 있었다고 설명했다. #

자 그럼 중요한 것은 털린 이후 

그래서 제대로 조치가 되었나 부분입니다.

이후 경과를 보면 절대 그렇지 않다는 것을 알 수 있어요!

쿠팡측은 29일 저녁부터 30일까지 순차적으로 문자로 개인정보 유출 사실을 공지했다.[8] 탈퇴한 지 4년이 넘은 고객도 유출 통지를 받았는데, 이는 전자상거래법 상 거래 기록이 있을 경우 5년간 정보를 보존하도록 하기 때문이다. # 또한 30일, 쿠팡 대표이사 박대준 명의의 사과문이 발표되었다.

고객 여러분께 심려와 걱정을 끼쳐드려 진심으로 사과드립니다 쿠팡 대표이사 박대준입니다. 올해 6월 24일 시작된 쿠팡의 최근 사고에 유감을 표명합니다. 고객 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과드립니다. 공지드린 바와 같이, 올해 6월부터 최근까지 고객 정보에 대한 무단 접근이 발생했습니다. 무단 접근된 고객정보는 이름, 고객 이메일, 전화번호, 배송지 주소, 그리고 특정 주문 정보로 제한되었고 결제 정보, 신용카드 정보, 고객 로그인 정보는 포함되지 않았습니다. 다시 한번 고객 여러분게 불편을 끼쳐드려 진심으로 사과드립니다. 모든 고객 정보를 보호하는 것은 쿠팡의 가장 중요한 우선순위입니다. 쿠팡은 이 의무를 매우 중요하게 생각하며, 종합적인 데이터 보호 및 보안 조치와 프로세스를 유지하고 있습니다. 쿠팡은 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 경찰청 등 민관합동조사단과 긴밀히 협력하여 추가적인 피해 예방을 위해 최선을 다하겠습니다. 쿠팡은 향후 이러한 사건으로부터 고객 데이터를 더욱 안전하게 보호할 수 있도록, 현재 기존 데이터 보안 장치와 시스템에 어떤 변화를 줄 수 있는지 검토하고 있습니다. 다시 한번 고객 여러분께 심려와 걱정을 끼쳐드려 진심으로 사과드립니다. 앞으로도 쿠팡은 고객 정보의 안전과 보안을 최우선으로 생각하겠습니다. 이미지

11월 30일 오후 4시, 과학기술정보통신부의 보도자료가 나왔다. "조사 과정에서 공격자가 쿠팡 서버의 인증 취약점을 악용하여 정상적인 로그인 없이 3천만 개 이상 고객 계정의 고객명, 이메일, 배송지 전화번호 및 주소를 유출한 것으로 확인하였다."라고 밝혔다.

11월 30일, 쿠팡이 협박성 이메일을 받은 정황이 확인되었다. 이메일에는 "회원들의 개인정보를 확보하고 있다", "보안을 강화하지 않으면 유출 사실을 언론에 알리겠다" 등의 내용이 포함돼 있었지만, 금전을 요구하는 내용은 담기지 않았다. 자료

12월 1일, 개인정보 유출의 영향으로 쿠팡(NYSE : CPNG)의 주가가 시간 외 거래에서 8% 이상 폭락하였다가 정규장에서 이전 거래일보다 5.3% 떨어진 $26.65로 마감하였다.

12월 2일, 이재명 대통령은 국무회의에서 "사고 원인을 조속하게 규명하고 엄중하게 책임을 물어야 한다"고 말했다. 특히 "피해 규모가 약 3,400만건으로 방대하기도 하지만, 처음 사건이 발생하고 5개월 동안이나 회사가 유출 자체를 파악하지 못했다는 것이 참으로 놀랍다"며 "이 정도인가 싶다"고 질타했다. #

쿠팡 측은 사과문을 올린 지 사흘 만인 이날 사과문을 내렸다. 이를 두고 '이틀짜리' 사과문이란 비판이 나온다. 사과문이 빠진 자리는 '오늘 밤 12시까지 주문해도 로켓배송은 내일 도착!' 광고와 연말을 맞아 상품 세일 광고가 차지하고 있다. #

이날 과학기술정보방송통신위원회 긴급 현안 질의에서 류제명 과기정통부 2차관은 대응 경과보고를 통해 쿠팡 개인정보 유출 사고에서 식별된 공격 기간이 지난 6월 24일부터 11월 8일까지라고 밝혔다. 전자상거래법에 따라 재산 손실 발생 시 영업정지 가능 여부에 대해서는 "관계 기관과 적극적으로 협의하겠다"라고 답변했다. 정부의 민관합동조사단 구성이 늦었다는 지적에 대해서는 1차 평가 유출 규모인 4,536건으로 고려했었다고 해명했다. #

12월 3일, 개인정보보호위원회는 쿠팡의 개인정보 '노출' 통지를 '유출' 통지로 수정하고, 유출 항목을 빠짐없이 반영해 재통지하라는 요구를 심의·의결했다. 아울러 개인정보위는 배송지 명단에 포함돼 정보가 유출된 사람에게도 식별할 수 있는 범위 내에서 개인정보 유출 사실을 통지하고, 추가 유출 확인 시 즉각 신고·통지할 것을 요구했다. 쿠팡에 7일 이내 조치 결과를 제출하도록 하고 이행 상황을 지속 점검할 방침이다. #

12월 4일, 방송미디어통신위원회가 쿠팡의 계정 탈퇴 경로가 과도하게 복잡해 이용자의 해지권을 제한하는지 여부에 대한 긴급 조사에 착수했다. 3,370만명의 개인정보 유출 사태 이후 탈퇴 수요가 커진 가운데, 쿠팡이 의도적으로 절차를 어렵게 만들어 둔게 아니냔 지적이 제기 된 데 따른 것이다.#

고객 입장에서는 유출범이 누구인가보다 중요한 것이

그래서 내 정보가 얼마나 빠져나가서 범죄에 악용되어서 

내게 피해가 있을 수 있나 하는 부분이죠

그래서 사후 어떤 조짐이 있나 볼까요.

고객들 사이에서는 집단소송 움직임이 확산되고 있다. 과거 인터파크·카드사 판례에 따르면 1인당 위자료는 10만원 선이 될 것으로 보인다. 다만 쿠팡이 5개월이나 유출을 몰랐고 피해 규모를 축소 신고한 점이 중대한 과실로 인정되면 15만~20만 원까지 올라갈 수 있다. 소송은 4년 이상 걸릴 수 있고, 금전적 피해 입증 실패 시에는 패소할 위험도 있다. #

반면, 단순 정보 유출을 넘어 공동현관 비밀번호 유출로 인한 주거침입 등 2차 피해가 현실화될 경우, 쿠팡 측에 훨씬 무거운 손해배상 책임이 적용될 수 있다는 법조계의 분석도 나왔다. 참고로 카드 정보를 통한 무단 결제는 실제로 현실로 나타나서 중대 과실을 피할 수는 없게 되었다. 개인정보보호법 제39조에 따라 입증 책임이 전환되어 기업이 무과실을 증명하지 못하면 배상해야 하며, 중대 과실이 인정될 경우 손해액의 최대 5배까지 배상하는 징벌적 손해배상이 적용될 가능성도 열려 있다. #

여기에 더해 쿠팡 측이 "비밀번호는 유출되지 않았으니 안심하라"고 공지한 점이 오히려 법적 책임을 가중시킬 수 있다는 분석도 나왔다. 정부(KISA)는 스미싱 등 2차 피해를 경고했음에도 사측이 위험성을 축소하여 안내한 탓에, 소비자가 적절한 방어 조치를 취하지 못했다면 이는 피해 최소화 의무 위반에 해당하여 징벌적 손해배상의 또 다른 근거가 될 수 있기 때문이다. 아울러 구체적인 금전 피해를 입증하기 어려운 경우라도, 법정손해배상제도(개인정보보호법 제39조의2)를 통해 실제 손해액 입증 없이 최대 300만 원까지 배상을 청구할 수 있는 길이 열려 있다. 따라서 피해 입증이 불가능해 소송이 무의미하다는 일각의 우려는 사실과 다를 수 있다. #

개인적 손해배상과 별개로, 또한 이번 사태는 SK텔레콤 유심 정보 유출 사고(2,700만 명, 과징금 1,348억)을 넘어선 역대 최대 규모인 데다, 6개월간이나 유출 사실을 인지하지 못한 점이 '안전조치 의무(접속기록 점검 등) 위반'으로 해석되어 천문학적인 과징금이 예고되고 있다.(쿠팡 역대최대 과징금 위기…비상걸린 이커머스 "긴급 보안점검"(종합)). 개정된 개인정보보호법 제64조의2[10]에 따라, 개인정보유출사고 시 매출액의 3%까지 과징금이 부과될 수 있기 때문에, 최소 1,500억 원에서 이론상 최대 1조 2,000억원까지 과징금이 부과될 수 있다. 또한 늑장 대응이 '중대한 과실'로 인정될 경우 경영진에 대한 형사 처벌 가능성까지 거론되고 있다. #

이렇게 부족한 모습을 보여주고 있습니다.

처벌 가능성이 거론된다고 하지만 지켜질지가 굉장히 의심스러운 사실입니다.

서플 기사에서 확인할 수 있듯이

문제는 실효성입니다. 

각 기관별로 산하에 분쟁조정위가 있는데, 강제력이 없어 기업이 조정안을 거부하면 조정은 무산됩니다. 

[유영하 / 국민의힘 의원(3일 쿠팡 현안질의) : 개인정보 분쟁조정의 실효성이 있다고 보십니까 위원장님.] 

[송경희 / 개인정보위원장 : 분쟁조정위원회가 일정한 역할을 하고 있는 건 사실이지만 첨예하게 국민들의 이해가 높고 큰 사고에 관해서는 한계가 있는 것도 사실입니다.] 

최근 사이버침해 사고와 관련해 SK텔레콤이 고객에게 1인당 30만 원 배상하고 연말까지 해지 위약금을 면제해야 한다는 조정안을 거부한 게 대표적입니다. 

쿠팡 역시 조정안을 거부할 가능성이 높습니다. 

결국 소비자는 시간과 비용을 들여 소송을 택할 수밖에 없는데 선례를 보면 이경우에도 1인당 배상액은 10만 원선에 그쳤습니다. 

기업이 내는 막대한 과징금 일부를 피해자 구제기금으로 조성하거나, 기업의 분쟁조정안 수용 여부를 과징금 산정에 반영해 소비자 피해 배상의 내실을 키워야 한다는 지적이 나옵니다. 

SBS Biz 안지혜입니다.

이렇게 이번에도 그냥 넘어갈 수 있다고 생각합니다.

기사 제목처럼 

잇단 개인정보 유출 사고에도…소비자 배상은 막막

언제까지 반복될까요!

다들 큰소리내고 개인정보 유출에 따른 보상을 제대로 받아야된다고 생각합니다.

이렇게 많은 전산 관련 사건 사고가 있어요.

근데 제대로 해결되거나 보상된 사례가 얼마나 있을까요.

피해액만 보상한다고 보상이 아니죠

정보가 털린 모두에게 합당한 개인정보값을 받아야한다고 생각합니다!

소상공인연합회는 쿠팡 측의 진정성 있는 사과와 함께 책임지는 자세가 선행되어야 한다는 점을 강조하는 바이며, 쿠팡 측이 체계적인 보상 및 소상공인 지원 대책 마련을 최우선으로, 보안 시스템 등 관리 체계를 원점 재검토하는 재발방지 대책을 신속히 내놓을 것을 강력히 촉구한다.

소상공인연합회는 이번 쿠팡 대규모 개인정보 유출사태로 인해 우려하던 소상공인들의 영업내역과 관련한 해킹피해가 발생된다면, 쿠팡 입점 소상공인 및 쿠팡에서 제품을 매입하는 전체 소상공인들을 망라하여 쿠팡 개인정보 유출 피해 소상공인들의 집단 소송을 조직하는 등 소상공인들의 피해 보상과 권익 보호를 위해 적극적으로 앞장설 방침을 천명하는 바이다.

2025.12.04.

소상공인연합회

출처 : 시장경제 - Market Economy News(https://www.meconomynews.com)

소상공인연합회에서도 목소리를 내고있는데요

소비자들도 힘이 되어야된다고 생각합니다! 쿠팡의 유출사태 그냥 늘 해킹당한다

공공재다 이미 이런 마음으로 넘어가지말고 현명하게 대처합시다

잇단 개인정보 유출 사고에도…소비자 배상은 막막 - Supple

https://spt.co.kr/news/cmisgxu2t008ykbfj65fp8si2