쿠팡 3370만건 유출…소니·야후는 피해자에 얼마 줬나
윤태희 기자
입력 2025 12 01 14:30
수정 2025 12 01 14:30
“보상은 시작일 뿐”…해외선 수천억대 합의금, 국내는 제도적 공백
대규모 개인정보 유출 사태가 발생한 쿠팡 본사 건물 위로 빨간 신호등이 켜져 있다. 쿠팡은 약 3,370만 건의 고객 계정 정보가 외부로 유출된 사실을 확인했으며, 경찰이 수사에 착수했다. 2025.11.30 서울 송파구. 연합뉴스
쿠팡의 대규모 개인정보 유출 사태가 확인되면서 소니나 야후 해킹에 버금가는 수준의 글로벌급 사고로 번질 수 있다는 우려가 커지고 있다. 단순한 이메일·비밀번호 유출을 넘어 집주소·배송기록·공동현관 비밀번호 등 생활형 정보까지 포함된 것으로 알려져 2차 피해 경고도 잇따르고 있다.
경찰, 피의자 IP 확보…협박 메일 2개 계정 추적 중
국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3천만건이 넘는 대규모 정보 유출 사고가 발생했다. 쿠팡은 현재까지 고객 계정 약 3천370만개가 유출된 것을 확인했다.
사진은 1일 쿠팡이 피해 고객에게 발송한 개인정보 노출 통지 문자 메시지. 2025.12.1 연합뉴스
서울경찰청 사이버수사대는 1일 “쿠팡 측으로부터 서버 로그기록을 제출받아 분석 중이며 피의자가 사용한 IP를 확보해 추적 중”이라고 밝혔다. 경찰은 ‘회원들의 개인정보를 가지고 있다’며 협박성 이메일을 보낸 계정 2개에 대해서도 송신 경로를 추적하고 있다. 이메일은 지난달 16일과 25일 두 차례 발송됐고 동일인 소행인지 실제 유출자와 동일인인지 여부가 수사 중이다.
앞서 쿠팡에서 근무했던 중국 국적의 전직 직원이 고객 정보를 빼돌린 뒤 협박성 이메일을 보낸 정황이 포착됐다. 피의자가 이미 퇴사 후 출국한 상태로 확인되자 경찰은 국제 공조 수사에 나섰다.
30억 계정 털린 야후…역대 최대 유출 사건
미국 캘리포니아주 샌타클래라에 위치한 야후 본사 외벽에 기업 로고가 걸려 있다. 야후는 2013~2014년 발생한 해킹 사건으로 약 30억 개의 사용자 계정 정보가 유출돼 역대 최대 규모의 개인정보 유출 사례로 기록됐다. 2011.4.18. 샌타클래라. AP 연합뉴스
2013~2014년 발생한 야후 해킹 사건은 역사상 최대 규모의 개인정보 유출로 기록됐다. 당시 약 30억 개 계정의 이름, 이메일 주소, 전화번호, 생년월일, 암호화된 비밀번호, 보안 질문·답변이 노출됐다. 이 사건은 2017년 야후의 매각 과정에도 직접적인 영향을 미쳐 인수 주체였던 버라이즌이 인수가를 3억 5000만 달러(약 4000억 원·모든 원화 환산은 사건 발생 당시 환율 기준) 낮췄다.
야후는 결국 피해자들과의 집단소송에서 총 1억 1750만 달러(약 1338억 원)의 합의금을 지급했다. 다만 전체 30억 계정이 아닌 실제 보상 대상은 약 1억 9400만 명 규모로 추정됐고 신청서를 제출한 이용자만 최대 358달러(약 40만 원) 한도 내에서 보상받았다.
소니 PSN 해킹…“기업 신뢰 무너진 상징적 사건”
일본 도쿄 소니 본사 건물 외벽에 설치된 소니 로고가 보이고 있다. 소니는 2011년 플레이스테이션 네트워크(PSN) 해킹으로 7700만 명의 회원정보가 유출되며 ‘소니 쇼크’로 불리는 신뢰 위기를 겪었다. 2022.5.10. 도쿄. AP 연합뉴스
2011년에는 일본 소니의 플레이스테이션 네트워크(PSN)가 해킹당해 7700만 명의 회원정보와 신용카드 정보가 유출됐다. 소니는 24일간 서비스를 중단하고 PSN 이용자 전원에게 무료 게임 2편과 30일 무료 이용권을 제공하는 등 사과·보상 조치를 취했다. 영국 당국은 정보보호법 위반으로 과징금을 부과했고 일본에서는 “기업 신뢰 붕괴”라는 여론이 확산되며 ‘소니 쇼크’라는 표현이 등장했다.
에퀴팩스·메리어트 등 글로벌 기업들도 잇단 유출
미국 조지아주 애틀랜타에 위치한 신용평가사 에퀴팩스 본사 건물 외벽에 기업 로고가 걸려 있다. 에퀴팩스는 2017년 해킹으로 약 1억4700만 명의 개인정보가 유출돼 7억 달러 규모의 보상 및 과징금을 지급한 바 있다. 2012.7.21. 애틀랜타. AP 연합뉴스
2017년 미국 신용평가사 에퀴팩스는 시스템 취약점을 방치한 채 수개월간 보안 경고를 무시하다가 1억 4700만 명의 신용정보가 유출됐다. 이 사건으로 경영진이 사퇴하고 미 의회 청문회가 열리는 등 파문이 컸다. 회사는 집단소송 합의로 총 7억 달러(약 8300억 원) 규모의 보상·과징금 패키지를 마련했으나 피해자 대부분은 애초 약속된 125달러 대신 10~20달러(약 1만~2만 원대)의 실보상만 받았다.
미국 캘리포니아주 샌프란시스코 유니언 스퀘어에 위치한 메리어트 호텔 앞을 한 시민이 지나가고 있다. 메리어트 인터내셔널은 2018년 해킹으로 최대 5억 명의 투숙객 정보가 유출돼 전 세계적으로 집단소송이 제기됐다. 2019.7.11. 샌프란시스코. AP 연합뉴스
이듬해에는 세계 최대 호텔 체인 메리어트 인터내셔널의 예약망이 해킹돼 최대 5억 명의 투숙객 정보가 새나갔다. 영국 정보보호당국은 1840만 파운드(약 276억 원)의 과징금을 부과했고 미국·캐나다 등에서도 집단소송이 제기됐으며 피해 신고 고객을 대상으로 최대 100달러(약 12만 원) 수준의 보상이 제공됐다.
쿠팡, 외부 해킹 아닌 내부자 소행 정황쿠팡의 피해 규모(3370만 건)는 야후(30억)나 메리어트(5억)에 비하면 작지만 노출된 정보의 현실적 민감도는 훨씬 높다는 평가가 나온다. 특히 이름·주소·휴대전화번호뿐 아니라 공동현관 비밀번호, 배송 위치, 가족 구성 등 생활 공간과 연결된 정보가 포함돼 피해가 장기화될 가능성이 제기된다.
쿠팡은 “시스템 외부 침입 흔적은 없다”며 내부 비인가 조회로 인한 유출임을 시사했다. 보안 업계는 “이건 단순한 기술적 해킹이 아니라 내부 통제 실패”라며 기업의 데이터 접근 권한 관리가 허술했다는 점을 문제로 지적하고 있다.
집단소송, 실제 보상은 얼마나 받나
미국 국기를 배경으로 정의의 여신상(레디 저스티스)이 저울을 들고 있는 모습. 미국에서는 개인정보 유출 사건이 발생할 때마다 집단소송을 통해 기업 책임이 공식화되며 실제 보상액은 소송비용과 절차에 따라 크게 달라진다. 123rf 제공
이번 사태를 계기로 해외 기업의 집단소송 보상 구조에도 관심이 쏠리고 있다. 미국 등에서는 대표 원고와 변호사단이 전체 피해자를 대신해 소송을 제기하며 개별 피해자는 변호사비를 직접 내지 않지만 전체 합의금의 20~40%가 수임료와 행정비용으로 공제된다. 결과적으로 1인당 보상액은 매우 낮아지는 구조다.
예를 들어 에퀴팩스 사건의 경우 총 7억 달러 중 약 25%가 변호사비로 빠졌고 피해자 대부분은 약속된 125달러 대신 10~20달러 수준만 받았다. 이처럼 집단소송은 금전적 보상보다 기업의 책임을 공식화하는 징벌적 절차라는 평가가 많다.
정부 조사 및 과징금 전망정부는 개인정보보호위원회와 과기정통부, 민간 보안 전문가들이 참여하는 민관합동조사단을 구성해 사고 원인을 조사 중이다. 개인정보보호법 개정으로 위반 시 전년도 매출의 최대 3%까지 과징금을 부과할 수 있어 쿠팡이 수천억 원대 제재를 받을 가능성도 제기된다. 앞서 2024년 SK텔레콤은 개인정보 유출로 역대 최대인 1347억 원의 과징금을 부과받았다.
“사과보다 복구 중심 대응이 신뢰 회복의 출발점”쿠팡 사태는 한 기업의 보안 실패를 넘어 국민 대다수의 생활 정보가 얼마나 취약한지 드러낸 사건으로 평가된다. 데이터가 곧 신뢰가 되는 시대, 이번 사태가 ‘한국판 개인정보 위기’로 기록되지 않으려면 신속하고 투명한 대응이 필요하다.
윤태희 기자
