쿠팡 개인정보 유출, '노출'이라 부른 말장난까지

 

2025년 11월, 국내 최대 이커머스 플랫폼 쿠팡에서 약 3,370만 명의 개인정보가 유출되는 초대형 사고가 발생했습니다.

SK텔레콤 유심 정보 유출 사건보다 큰 규모로, 사실상 쿠팡 이용 고객 대부분의 정보가 털린 셈입니다.

이름, 이메일, 전화번호, 배송지 주소는 물론 아파트 공동현관 비밀번호까지 유출됐지만, 쿠팡은 이를 '유출'이 아닌 '노출'이라 표현해 논란이 됐습니다.

쿠팡이 선택한 교묘한 단어

쿠팡은 고객 안내 문자와 홈페이지 사과문에서 '개인정보 유출' 대신 '개인정보 일부 노출 사고'라는 표현을 사용했습니다.

'유출'이라는 단어는 단 한 번도 등장하지 않았고, '무단 접근', '비인가 접근' 같은 완화된 표현만 반복됐습니다.

이는 단순한 용어 선택이 아닙니다. 법적으로 완전히 다른 의미를 갖기 때문입니다.

개인정보보호법에서 정의하는 '개인정보 유출'은 개인정보가 처리자의 관리·통제권을 벗어나 제3자가 내용을 알 수 있게 된 상태를 말합니다. 형사처벌 대상이며 과징금도 부과될 수 있습니다. 반면 '노출'은 법적으로 정의되지 않은 용어로, 시스템 오류로 일시적으로 정보가 보여지는 상황이며 형사처벌 대상이 안될 수 있다네요.

국회와 개인정보보호위원회의 질타

2025년 12월 2일 국회 과학기술정보방송통신위원회 긴급 현안질의에서 여야 의원들은 쿠팡의 '노출' 표현 사용을 강하게 비판했습니다.

더불어민주당 이훈기 의원은 "과징금을 생각해서 이런 표현을 했는지 모르겠지만, 이건 완전 국민들을 기만하는 것"이라고 지적했습니다.

박대준 쿠팡 대표는 의원들의 추궁에 "다른 의도는 없었다"며 "생각이 부족했던 것 같다"고 답변했고, 유출과 노출 중 어느 쪽이 맞느냐는 질문에는 "유출이 맞다"고 인정했습니다.

개인정보보호위원회는 12월 3일 긴급 전체회의를 열고 쿠팡에 '노출' 통지를 '유출'로 수정해 재통지하라고 지시했습니다.

개인정보위는 쿠팡에 7일 이내 조치 결과를 제출하라고 명령했습니다.

과징금 축소 의도 의혹

법조계에서는 쿠팡이 내부통제 관련 책임을 최소화하기 위해 의도적으로 '유출' 표현을 피했다는 지적이 나옵니다.

개인정보보호법상 '유출'이 인정되면 매출액의 최대 3%까지 과징금이 부과될 수 있습니다.

쿠팡의 작년 매출액이 약 41조 원인 점을 감안하면, 최대 1조 2천억 원의 과징금이 부과될 가능성이 있습니다.

더욱 충격적인 건 쿠팡의 안일한 대응입니다. 11월 30일 홈페이지에 올린 사과문을 불과 이틀 만에 삭제하고, 그 자리에 '크리스마스 빅세일!' 광고를 내걸었습니다.

국회의원들은 "이 엄중한 사태에 왜 안 보이게 해 놓은 건지 이해가 안 된다", "국민을 얼마나 우습게 알면"이라며 강하게 질타했습니다.

5개월간 몰랐던 허술한 보안

쿠팡은 2025년 6월 24일부터 무단 접근이 시작됐지만, 이를 인지한 시점은 11월 18일이었습니다.

무려 5개월간 해킹을 탐지하지 못한 것입니다. 매출 40조 원이 넘는 공룡기업의 보안이 이처럼 허술했다는 사실은 충격적입니다.

이번 유출의 유력 용의자는 쿠팡의 중국 국적 전직 직원으로, 재직 당시 확보한 인증 토큰을 이용해 퇴사 후에도 데이터를 빼돌린 것으로 추정됩니다. 쿠팡이 퇴사자의 인증키를 장기간 방치하면서 대규모 유출이 가능했다는 지적입니다.

쿠팡은 처음 4,500개 계정만 유출됐다고 신고했다가 11일 만에 7,500배나 늘어난 3,370만 개로 정정했습니다.

또한 고객 안내문에서 공동현관 비밀번호 유출 사실을 누락했다가, 국회 질의에서야 "일부 포함된 것으로 알고 있다"고 시인했습니다.

말장난으로 책임 회피는 불가능하다

쿠팡이 '유출' 대신 '노출'이라는 표현을 사용한 것은 단순한 용어 선택의 문제가 아닙니다.

사건의 심각성을 축소하고 법적 책임을 회피하려는 의도로 보입니다.

국회 여야 의원들이 "국민 기만"이라고 비판한 것도, 개인정보보호위원회가 '유출'로 재통지를 명령한 것도 이 때문 아닐까요.

3,370만 명의 개인정보가 유출된 초대형 사고를 두고 '노출'이라는 완화된 표현으로 넘어가려 한 쿠팡의 태도는 국민을 우롱하는 것에 다름없습니다.

5개월간 해킹을 모르고 있었던 허술한 보안, 사과문을 이틀 만에 내리고 광고를 올린 안일한 태도, 유출 항목을 누락한 불투명한 정보 공개까지, 쿠팡은 기업으로서의 최소한의 책임조차 다하지 못했습니다.

정부는 최대 1조 원대 과징금과 영업정지까지 검토하고 있습니다.

쿠팡이 지금이라도 진정성 있는 사과와 함께 투명한 정보 공개, 실질적인 피해 보상 대책을 내놓지 않는다면, 소비자들의 신뢰를 되찾기는 요원할 것입니다.