쿠팡 3370만명 개인정보 대유출 충격! 중국인 직원 내부 배신으로 본사 압수수색 직격탄

2025년 12월 9일, 서울경찰청 사이버수사과는 서울 송파구에 위치한 쿠팡 본사를 대상으로 10시간에 걸친 압수수색을 단행하였다. 이는 지난 11월 중순부터 제기된 대규모 개인정보 유출 사건에 대한 첫 강제 수사로, 피해 규모는 약 3,370만 명의 고객 계정에 달하는 것으로 확인되었다.

경찰은 이날 사이버수사 전문 인력 17명을 투입하여 쿠팡의 서버 로그 기록, 내부 문서, 디지털 자료 등을 확보하였다. 확보된 자료에는 유출 시점과 경로를 특정할 수 있는 핵심 증거가 포함되어 있으며, 이를 바탕으로 수사망을 좁혀가고 있다. 쿠팡은 지난달 18일 유출 사실을 인지했으나 고객 민원(협박 메일)까지 1주일 늦게 경찰에 고소하며 보안 허점 논란이 폭발했다.

내부직원 중국인 A씨 소행? IP 추적·로그 분석으로 유출 경로 추적 개시

특히, 압수수색 영장에는 중국 국적의 전직 개발자가 피의자로 명시되어 있으며, 해당 인물은 쿠팡 재직 당시 보안 인증 프로그램 개발 업무를 담당했던 것으로 알려졌다. 경찰은 이 인물에게 정보통신망법상 침입 및 비밀누설 혐의를 적용하여 수사를 진행 중이다. 유출 용의자는 지난해 12월 퇴사한 중국 국적 인증체계 개발자 A씨로, 외부 해킹 흔적 없이 내부 무단 탈취 정황이 포착됐다. 경찰은 쿠팡 임의제출 서버 로그만으로는 범행 전모 규명이 한계라 판단, 압수수색으로 피의자 특정 자료와 정확한 탈취 과정을 확보 중이다. 정부는 이미 민관합동조사단을 구성해 2차 피해(스미싱·피싱) 확인에 나섰으나, 쿠팡 보안 체계 취약성과 은폐·축소 의혹이 수사 확대 요인으로 부상했다.

5개월간 몰랐다던 쿠팡…전 고객 정보 유출로 집단소송·징벌배상 위기

쿠팡은 11월 25일 고소 당시 4536개 계정 유출로 추정했으나 조사 결과 3370만개로 확대 확인, 사실상 전체 회원 정보 노출로 판명됐다. 유출 시작 시점은 지난 6월경으로, 고객 협박 메일 민원(11월 16일) 전까지 인지 지연이 드러나 경영진 책임론이 제기된다. 유출된 정보는 고객의 이름, 이메일, 배송지 주소, 일부 주문 정보, 공동현관 비밀번호 등으로, 쿠팡 측은 결제 정보 및 계정 비밀번호는 노출되지 않았다고 해명하였다. 그러나 피해자들은 2차 범죄 가능성에 대한 우려를 제기하고 있으며, 민주노총과 공공운수노조는 본사 앞에서 “총체적 불법기업 쿠팡 규탄” 기자회견을 열었다. 미국 법무법인 현지 법인이 12월 8일 징벌적 손해배상 소송 제기 계획을 밝히며, 국내외 피해 보상 압박이 가중되고 있다.

블랙리스트 의혹 겹쳐…물류센터 노동자 관리도 경찰 타깃

압수수색과 병행해 송파경찰서는 쿠팡 물류센터 '취업제한 블랙리스트' 관리 의혹을 별도 조사 중이며, 관련자 소환과 자료 분석을 진행한다. 개인정보 유출이 인증체계 개발 과정에서 발생한 만큼, 내부 접근 통제 미비와 보안 관리 소홀이 핵심 쟁점이다. 경찰은 "필요시 모든 영역 추가 수사"를 예고하며, 정보통신망법상 침입·비밀누설 혐의로 피의자 검거를 서두르고 있다.

국민 70% 쿠팡 이용자 직격…보안 대란 속 정부 TF 총력 대응 촉구

국내 최대 이커머스 쿠팡의 대규모 유출로 이용자 70%가 잠재 피해자로 전락, SNS 스미싱 범죄 급증 우려가 현실화됐다. 정부는 민관합동조사단으로 대응하나, 경찰 강제수사는 유출 원인·피해 규모·재발 방지 대책을 가늠할 분수령이다. 쿠팡 측은 "외부 침입 없음" 입장을 고수하나, 내부 배신과 지연 대처가 신뢰 추락을 불렀다. 

이번 사건은 단순한 해킹을 넘어선 내부자 유출 가능성과 국제적 사이버 범죄 연루 의혹까지 제기되며, 쿠팡의 보안 체계와 개인정보 보호 정책에 대한 근본적인 재검토가 요구되고 있다. 경찰은 향후 국제 공조 수사를 통해 피의자의 소재 및 유출 경로를 명확히 규명할 방침이다.