최근 발생한 쿠팡 개인정보 유출 사건은 2021년과 2023년에 이어 2025년에 다시 터지자 “대형 플랫폼에서 또?”라는 충격과 함께 “내 정보는 과연 안전한가?”라는 경고 메시지처럼 들린다. 쿠팡외에 G마켓, 롯데카드, SK텔레콤, KT 등에서도 모바일 상품권이 무단 결제되는 등 사고가 잇따르면서 불안감이 크다. 그런데 또 터졌다. 대형 통신사 KT 계열사인 ‘KT 알파’가 운영하는 ‘기프티쇼’에서 누군가 무단으로 로그인해, 상품권을 몰래 결제하는 사고가 났다. 개인정보를 통제하는 사람은 자기 자신이어야 하는데 현실은 그렇지 못하다.

쿠팡 사건은 외부 해킹이 아닌 내부 관리 미흡

2025년 11월 말, 쿠팡은 약 3,370만 명에 달하는 고객 이름·이메일 주소·전화번호·배송지 주소·일부 주문 내역 등 개인정보가 외부로 유출됐다. 숫자는 대한민국 인구의 대부분에 해당하는 수준이어서 국가적인 망신도 컸다. 쿠팡 측은 신용카드·결제 정보· 로그인 비밀번호 등은 포함되지 않았다고 발표했으나 믿을 수 없다. 사건 발견 과정을 살펴보니, 11월 18일 처음에는 약 4,500개 계정만 정보가 노출된 것으로 인지했다고 보고했다. 조사를 더 하자 실제 규모는 약 3,370만 계정으로 많이 증가했다. 유출 기간은 2025년 6월 24일경부터 약 5개월간 지속된 것으로 확인됐다. 개인정보를 털어간 사람은 쿠팡에서 과거 근무했던 중국 국적의 전 직원이었다. 그는 내부 접근 권한을 악용해 퇴사 이후에도 인증키를 계속 사용해 시스템에 접근했다. 쿠팡은 직원이 퇴사하면 인증 권한을 즉시 회수하거나 폐기해야 하는데, 보안 관리 부실과 대응 등에 허점을 보였다. 이는 국내외 법적·사회적 파장을 일으킨 정보보호 사고다.

KT 알파 기프티쇼에서 148만 원 결제 문자에 놀라다

KT는 지난 2002년 민영화 이후 여러 차례 개인정보 유출로 소비자가 피해를 입었다. 2004년 주민등록번호를 포함한 92만 명의 개인정보 유출, 2012년, 14년, 16년에도 대량의 개인정보 유출로 최소 1,854만 명 이상의 소비자 피해를 발생했다. 피해 내용은 KT 위탁 업체의 직원들이 가입자 유치·상담, 실적보고 등 업무를 위해 유·무선 가입자의 주민등록증·가입 신청서 등 개인정보를 SNS(네이버 밴드)에 노출해 온 것으로 밝혀져 충격을 줬다. 2021년에는 KT M&S 해당 직원들이 기간 약정의 대가로 상품권 대신 요금할인을 택한 고객의 정보를 빼내어 마치 상품권을 지급한 것처럼 속여 8억 원 이상의 상품권을 가로챘다. 직영점에선 휴대전화 번호만 입력해도 고객의 계약기간이나 가입 상품 등 개인정보를 조회할 수 있는 점을 악용한 것이다.

이번엔 KT 계열사인 ‘KT 알파’가 운영하는 기프티쇼에서 상품권 148만 원어치가 결제됐다는 문자를 받고 깜짝 놀란 소비자가 나타났다. 당사자는 자신이 상품권 구매를 위해 로그인하지도 않았는데 이런 문자를 받았다는 것이다. KT알파가 운영하는 기프티쇼는 지난해 매출 천백여억 원으로 기업 대상 모바일상품권 시장에서 국내 1위 기업이다. KT알파 측은 일부 고객들의 이름과 전화번호, 주소 등이 유출됐을 가능성이 있다며, 무단 결제된 피해 금액은 모두 배상했다고 안내했다. 이는 사후약방문 처사다. 먼저 개인정보보호 관리에서 구조적인 문제점을 해결해야 한다.

2011년 ‘개인정보 보호법’ 제정

개인정보 침해를 예방하기 위해 2011년 3월 29일에 ‘개인정보 보호법’이 제정되었다. 그러나 개인정보 유출 사건은 끊임없이 일어나고 있었다. 2011년 SK커뮤니케이션즈(네이트·싸이월드)가 중국 해커의 사이버 공격을 받아 약 3,500만 명의 개인정보가 유출되었다. 주민등록번호, 이름, 비밀번호와 같은 매우 민감한 정보가 유출돼 사회적으로 큰 충격을 줬다. 2012년과 2014년에는 국내 유명 통신사 KT와 대형 카드사 KB, NH농협, 롯데카드를 이용하는 대다수의 정보가 새어 나가 공공기관의 보안 취약성이 지적됐다. 2016년에는 온라인 쇼핑몰 인터파크에서 개인정보가 외부로 노출됐다. 2021년에는 쿠팡이 앱 업데이트 중 오류가 발생해 일부 고객(14명)의 이름과 배송지 주소가 1시간가량 노출되는 사고가 발생했다. 그 외 2023년 LG U+에서 약 30만 명 규모의 고객 개인정보를 털렸다. 같은 해 골프존이 랜섬웨어 공격을 받아 홈페이지와 모바일 앱 서비스가 중단되는 사고가 있었다. 골프존은 사건 발생 3주 만에 이런 사실을 공지해 고객 지원이 아쉽다는 비판이 거세게 제기되었다. 2025년 4월에는 SK텔레콤에서 약 2,300만 명의 유심(USIM) 정보가 해킹되었다. 11월 쿠팡은 또다시 약 3,370만 명의 이름·전화번호·주소·이메일 등 개인정보가 외부로 유출되는 대규모 사건을 터트렸다. 법 제정 이후에도 작은 기업부터 대형 플랫폼까지 다양하게 계속 유출이 발생했다. 이는 단순 법적 규제만으로는 보호가 어렵다는 현실을 보여준다. 이에 따라 범죄에 대한 제재강화, 징벌적 손해배상제도 및 법정 손해배상제도 등이 도입되었다.

쿠팡 사건에 징벌적 손해배상제도 적용될 수 있을까?

쿠팡 사건은 단순 실수가 아니라 ‘중과실’ 가능성이 높다는 점에서 징벌적 손해배상 제도에 시선이 쏠리고 있다. 징벌적 손해배상 제도는 2015년 도입됐다. 기업이 개인정보를 유출하면 손해액의 최대 5배까지 배상하도록 규정한 것이다. 그러나 지난 10년간 어떤 기업도 책임지지 않았다. 기업이 “고의 또는 중과실이 없었다”라는 내용을 입증하면 책임을 피해 갈 수 있었기 때문이다. 기존 개인정보 유출 사건 관련 소송 판례를 살펴보면 피해자가 손해를 직접 증명해야 하는 입증 부담은 크고, 1인당 배상액은 5만~20만 원 수준으로 너무 적었다. 예를 들면, 엔씨소프트 온라인 게임업체 사건은 1심에서 5명에게 각 50만 원 배상, 2심에서 3명에게 각 10만 원 배상, 집에서 컴퓨터를 이용한 2명은 기각됐다. 미국의 경우 피해자 대표가 승소하면 전체 피해자가 동일한 배상을 받는다. 그런데 우리나라는 소송에 참여한 사람에게만 배상한다. 수천억 매출을 올리는 기업의 부담은 실질적으로 큰 타격이 없다. 그런 이유로 정보가 유출돼도 벌금 내면 끝이라는 인식이 반복되는 것은 아닐까.

개인정보보호법에 따라 일정 규모 이상 기업은 개인정보 유출 피해자를 구제하는 ‘개인정보유출 배상보험’에 의무적으로 가입해야 한다. 대상은 전년도 매출액 10억 원 이상, 정보 주체 수가 1만 명 이상인 곳이 해당된다. 쿠팡은 이 보험에 법정 최소 금액 10억 원으로 가입해 온 것으로 나타나 비난받고 있다. 3,370만 명에게 거액의 배상금을 물어야 해도 보장 보상받을 수 있는 최대 금액은 10억 원에 불과하다는 뜻이다. 쿠팡 사건을 계기로 국회와 정부에서는 배상 한도를 현행 5배에서 10배 이상 상향 조정할 것을 검토하고 있다. 쿠팡 개인정보 유출 사건은 ‘징벌적 손해배상이 왜 필요한지’를 가장 분명하게 보여준 사례다. 이미 법적 근거는 존재하지만, 쿠팡의 중과실 인정 여부가 어떻게 달라질지 법원의 판단에 따라 플랫폼 기업의 보안 기준이 달라질 수 있다.

쿠팡 사건 이슈를 악용한 “피해보상” 사칭 피싱 주의

한국인터넷진흥원과 과학기술정보통신부는 쿠팡 사건으로 국민들의 불안감과 보상심리 등을 악용하여 “피해보상”, “피해환급” 키워드로 신청, 접수하라는 전자금융사기(피싱) 시도가 발견됨에 따라 개인정보 탈취 및 금전적 피해로 연계되지 않도록 특별한 사용자 주의를 당부했다. 집중 모니터링을 통해 탐지된 악성 피싱 시도 사례의 특징은 수신자의 의심을 회피하기 위해 ▲ 쿠팡 개인정보 유출 피해사례를 언급하고, ▲ 검찰, 금융감독원, 소비자보호원 등 관련 정부 기관의 행정조치에 근거함을 제시한다.

악성 문자 유포 사례의 경우 ① 최근 쿠팡 등 개인정보 유출 사고를 언급 후, 당사도 고객의 개인정보가 유출되었다고 고지, ② ‘금융감독원’, ‘소비자보호원’ 지침을 언급하며 정부가 관여된 것처럼 위장, ③ 구체적으로 유출된 정보(이름, 연락처, 계좌 정보, 주소 등)를 나열하여 실제 개인정보가 있음을 과시, ④ ‘피해보상액’을 산출하였음을 구체적으로 제시(수백 ~ 수천만 원 등), ⑤ 피싱 사이트 접속을 유도하여 ‘쿠팡 개인정보 유출사고’ 기사를 고의적으로 표출, 지정 기한 내 피해보상 신청 유도, ⑥ 개인정보보호법에 따라 텔레그램을 통해 피해보상 신청을 받는다고 비밀 대화 유도, ⑦ 이후 악성앱 설치 유도를 통한 금전피해 유발 예상

보이스 피싱 시도 사례의 경우 ① 앞서 쿠팡이 발송한 개인정보 유출 피해자 대상 안내 문자 수신 여부를 재확인한 뒤 ② 검찰, 경찰을 사칭하여 ③ 유출된 개인정보가 도용되어 범죄에 연루되었다고 속여 계좌 동결 및 체포·구금될 것이라고 협박, 안전한 장소로 이동 및 도피 활동 간 생활비를 안전 계좌에 입금하라는 지시로 금전 피해를 유발할 것으로 예상된다.

쿠팡 개인정보유출 사고를 비롯해 현행 개인정보 유출 피해에 따른 보상 안내는 개인을 대상으로 시행되지 않으며, 정부 기관 등에서 텔레그램 등 메신저를 통해 개인정보 유출 관련 민원 접수를 하고 있지 않으므로 ‘개인정보 유출 피해 보상’, ‘텔레그램으로 신청/접수’ 문구가 포함된 경우 개인정보 탈취 및 금전 피해로 이어지는 문자 결제 사기(스미싱) 문자이므로 신고·삭제하여야 한다. 또한 쿠팡 개인정보 유출을 이유로 수사기관에서 연락 시 연락자의 부서, 계급, 이름을 확인하고 수사기관 대표번호 연락을 통해 재직 사실을 반드시 재확인하여야 한다. 또한 내 정보 유출 의심되면 보호나라(www.boho.or.kr) 통해 신고할 수 있다.