쿠팡, 3370만개 고객 정보 무단 노출 발표

쿠팡은 30일 사실상 모든 고객 계정의 개인정보가 무단으로 노출된 것으로 확인했다. 유출된 정보는 약 3370만개 계정의 주문 정보와 배송지 주소를 포함하며, 결제 정보와 비밀번호 등 민감 인증 정보는 유출되지 않았다. 유출 시점은 2025년 6월 24일부터로 파악되었고, 회사가 이를 처음 인지한 시점은 2025년 11월 18일, 이후 11일 만에 노출 계정이 약 7500배 확대됐다.

쿠팡은 초기에 약 4500건의 고객 정보가 제3자 비인가 접근 방식으로 무단 조회됐다고 발표했으나, 후속 조사에서 규모가 크게 확대됐다. 업계 관계자는 “사실상 모든 계정의 개인정보가 유출된 것은 전례가 드물다”며 “외부 공격이 아닌 내부자에 의한 유출이라면 이는 회사의 보안 기술이 취약하다기 보단 회사 전반적인 보안인식이 약했단 의미”라고 말했다.

한 개발자 출신 업계 관계자는 쿠팡 내부의 접근 권한 관리 체계와 로그·감사 인프라가 구조적으로 취약하다고 지적했다. 쿠팡의 정보보안 투자액은 지난해 약 860억원으로 삼성전자2974억원, KT1218억원에 이어 세 번째로 컸다. 정보보호 부문 전담 인력은 215명이며, 이 가운데 50여명이 외주 직원으로 파악된다.

중국 국적 전 직원이 유출한 것으로 추정되며, 민관조사가 진행되고 있다. 쿠팡 본사는 2025년 11월 30일 오전 송파구에 위치해 있다.

이에 따라 관련 업계에서는 쿠팡 내부의 접근 권한 관리 체계와 로그·감사 인프라가 구조적으로 취약하다고 내다보고 있다. 증권가에서는 정보보안 투자와 인프라의 구조적 취약성으로 인한 리스크 확대가 전망된다.

@Meerae AI 빅데이터 연구소 meerae.info@gmail.com