▶ 쿠팡 고객센터 공식 홈페이지 (바로가기)
▶ 개인정보 포털 공식 홈페이지 https://www.privacy.go.kr (바로가기)
▶ KISA 개인정보침해 신고센터 https://privacy.kisa.or.kr(바로가기)
▶ 쿠팡 집단 소송 - 노바법률사무소 (바로가기)
쿠팡 고객정보 유출 집단소송 | 노바법률사무소
3,370만 명 정보 유출, 당신의 권리를 찾으세요.
novalaw.kr
▶ 쿠팡 집단 소송 - 법무법인 지향 (바로가기)
쿠팡 개인정보 유출 손해배상 소송 참여 방법 안내
* 소송 참가자는 소송 진행 과정에서 소송비용 10,000원 외 아무 부담이 없습니다. 만약 패소로 인해 소송비용 부담 문제가 발생하더라도, 참가자에게 별도의 부담이 발생하지 않도록 절차와
www.jihyanglaw.com
3,370만 명의 개인정보가 유출된 2025년 쿠팡 사태. 국민 대다수가 “정부는 뭐 했나?”라는 의문을 던졌습니다.
이번 글에서는 과기정통부와 개인정보보호위원회(이하 개인정보위)의 조사 경과, 대응 과정, 그리고 쿠팡에 대한 법적 제재 및 행정조치의 핵심 내용을 정리합니다.
2025년 12월 기준 최신 보도자료와 국회 질의 내용을 바탕으로 정부의 대응 실태를 객관적으로 분석했습니다.
[목차]
- 쿠팡 유출 사건 개요 – 3,370만 명 피해, 5개월간 침해 지속
- 정부 초기 대응 – ‘민관합동조사단’ 늦었다는 비판
- 개인정보위 조사 경과 – JWT 서명키 유출의 실체 규명
- 과기정통부 보고 내용 – 6월~11월까지 지속적 침해
- 법적 제재 방향 – 과징금·영업정지 가능성 검토
- 국회의 질의와 정부 입장 – 책임 소재 공방
- 향후 재발 방지 대책 및 제도 개선 논의
- ‘기술보다 관리의 실패’, 정부의 교훈
1. 쿠팡 유출 사건 개요 – 3,370만 명 피해, 5개월간 침해 지속
2025년 쿠팡 개인정보 유출 사건은 국내 최대 규모의 전자상거래 보안사고로 기록되고 있습니다.
공식 발표에 따르면 3,370만 건의 고객 계정 정보가 유출되었으며, 이는 대한민국 성인 4명 중 3명의 정보에 해당합니다.
사건의 원인은 JWT 키(JSON Web Token Key) 유출로, 퇴사한 개발자가 루트 서명키를 악용하여 쿠팡 서버에 인증 없이 접근, 개인 데이터를 장기간 수집한 것으로 밝혀졌습니다.
공격은 2025년 6월 24일부터 11월 8일까지 약 5개월간 지속되었습니다.
2. 정부 초기 대응 – ‘민관합동조사단’ 늦었다는 비판
유출 사실이 처음 언론에 알려진 것은 11월 말이었지만, 실제 정부의 공식 대응은 그보다 한참 늦었습니다.
과학기술정보통신부(이하 과기정통부)는 “유출 규모가 초기에는 4,536건으로 보고되어 민관합동조사단을 즉시 구성하지 않았다”고 해명했습니다.
그러나 전문가들은 이 대응을 두고 “대형 사고를 소규모 침해로 오판한 관리 실패”라고 비판했습니다.
개인정보위 또한 10월까지 쿠팡의 자체 보고만 받았고, 11월이 되어서야 본격적인 현장 조사를 시작했습니다.
3. 개인정보위 조사 경과 – JWT 서명키 유출의 실체 규명
개인정보위는 2025년 11월 중순 이후 쿠팡 본사 및 서버 관리 부서를 상대로 현장 조사를 진행했습니다.
조사 결과, 쿠팡의 JWT 서명키가 2024년 이후 단 한 번도 교체되지 않았음이 확인되었습니다.
이는 내부 보안 규정 위반으로, 쿠팡은 ‘90일 단위 키 교체 의무’를 명시했으나 실제로는 1년 이상 미이행했습니다.
퇴사자가 키를 외부로 반출한 사실을 회사가 인지하지 못한 점도 ‘중대한 관리 부실’로 지적됐습니다.
개인정보위는 쿠팡에 대해 매출액의 최대 3%에 해당하는 과징금 부과를 검토 중이며, 향후 수사결과에 따라 형사 고발도 가능하다고 밝혔습니다.
4. 과기정통부 보고 내용 – 6월~11월까지 지속적 침해
연합뉴스 보도(2025.12.2)에 따르면, 류제명 과기정통부 2차관은 국회 과방위 현안 질의에서 “로그 분석 결과, 6월 24일부터 11월 8일까지 지속적으로 비정상 접속이 발생했다”고 밝혔습니다.
공격자는 로그인 없이 고객 정보를 불법 열람했으며, 쿠팡 서버 인증 과정에서 사용된 JWT 암호키를 이용해 정상 사용자로 위장했습니다.
즉, 단 한 번의 키 유출로 모든 고객 데이터에 접근이 가능했던 셈입니다.
류 차관은 “스미싱 등 2차 피해를 방지하기 위해 모니터링 체계를 강화했다”고 덧붙였습니다.
5. 법적 제재 방향 – 과징금·영업정지 가능성 검토
개인정보보호법 제64조에 따르면, 기업이 고의 또는 중대한 과실로 개인정보를 유출한 경우 매출액의 3% 이하 과징금이 부과될 수 있습니다.
쿠팡의 지난해 매출이 33조 원임을 고려하면 최대 1조 원 규모의 과징금이 논의될 수 있습니다.
또한 전자상거래법상, 고객 피해가 심각할 경우 일시적 영업정지 명령도 가능합니다.
류제명 차관은 국회 답변에서 “관계기관과 영업정지 여부를 협의 중”이라고 밝혔습니다.
6. 국회의 질의와 정부 입장 – 책임 소재 공방
국회 과방위는 12월 초 긴급 현안 질의를 열고 과기정통부, 개인정보위, 쿠팡 관계자를 출석시켰습니다.
박정훈 의원(국민의힘)은 “쿠팡의 관리 부실이 명백함에도 정부가 조사단 구성을 미루었다”며 대응 부실을 질타했습니다.
이에 대해 정부는 “피해 규모가 급격히 확대된 시점부터 즉시 조사에 착수했다”며 “수사권은 경찰에, 행정조치는 개인정보위가 병행 중”이라고 답변했습니다.
7. 향후 재발 방지 대책 및 제도 개선 논의
개인정보위는 쿠팡 사태 이후 다음과 같은 제도 개선안을 마련 중입니다.
- JWT·API 키 등 인증정보 주기적 교체 의무 강화
- 퇴사자 계정 자동 회수 시스템 의무화
- 민간 클라우드 보안평가 인증제도(K-ISMS) 강화
- 대규모 플랫폼 기업 대상 ‘보안관리자 지정제’ 도입
또한 2026년부터 시행 예정인 ‘정보보호 의무이행 점검제’를 통해 쿠팡과 같은 대형 기업의 인증·접근관리 체계를 정기적으로 검증할 계획입니다.
8. ‘기술보다 관리의 실패’, 정부의 교훈
이번 쿠팡 유출 사태는 단순한 해킹 사건이 아닙니다.
퇴사자 관리 실패, 키 교체 누락, 정부의 초기 대응 지연 등 ‘사람과 제도의 허점’이 겹친 총체적 관리 부실의 결과였습니다.
정부는 이번 사건을 계기로 민간 기업 보안의 사각지대를 최소화하고, 보안 키·인증 체계 관리에 대한 법적 의무와 책임 기준을 명확히 해야 합니다.
기술적 침해보다 무서운 것은 “관리 부주의가 만든 신뢰의 붕괴”라는 점을 이번 사태가 여실히 보여주고 있습니다.
'2025 쿠팡 개인정보 유출 사태' 카테고리의 다른 글
| 쿠팡 개인정보 유출, 내 정보 확인하는 3단계 방법 총정리!! 내 정보 털렸는지 바로 확인하세요! (0) | 2025.12.05 |
|---|---|
| 쿠팡 유출 대응 전략|집단소송 참여 전 꼭 알아야 할 핵심 요약 (0) | 2025.12.05 |
| 쿠팡 사태의 중심, ‘JWT 키 유출’이란? 기술·법적 쟁점 완벽 해설 (0) | 2025.12.05 |
| 쿠팡 유출 피해자 FAQ 총정리|이것만 보면 모든 의문 해결 (2025년 최신) (0) | 2025.12.05 |
| 쿠팡 브랜드 신뢰도 붕괴|유출 사건 이후 소비자 반응과 여파 총정리 (0) | 2025.12.05 |
| 사이버 보험 미가입, 쿠팡 피해자 보상 어디까지 가능할까? (2025년 현실 분석) (0) | 2025.12.04 |
