<div><figure><img src="https://newsimg.sedaily.com/2025/12/04/2H1LLEEK65_2.jpg" /></figure>쿠팡에서 3370만명 고객의 개인정보가 유출되는 사태가 발생한 가운데, 쿠팡에 등록해 둔 신용카드에서 자신도 모르게 수백만원이 결제됐다는 사연이 전해졌다. 쿠팡 측은 로그인 정보와 신용카드 번호 및 결제 정보는 유출 정보에 포함되지 않았다고 밝혔지만 우려는 계속해서 커지고 있다.2일 YTN 보도에 따르면, 경북 포항에 거주하는 40대 남성 A씨는 지난달 30일 쿠팡으로부터 개인정보가 유출됐다고 통지받았다. 바로 전날 A씨는 사용한 적 없는 300만원이 카드로 결제됐다는 문자를 받은 상태였다. 해당 결제 내역엔 결제대행사 상호만 적혀 있어 어디서, 무엇을 결제한 것인지는 알 수 없었다.확인 결과, 누군가 먼저 499만원 결제를 시도했다가 한도 초과로 실패하자 금액을 300만원으로 낮춰 다시 결제한 것으로 드러났다. 150만원 추가 결제 시도도 있었던 것으로 파악됐다.A씨의 다른 카드에서도 비슷한 결제 시도가 이어졌다. 그러나 결제가 모두 실패하자 급기야 카드 비밀번호를 변경하려고 시도한 흔적까지 발견됐다.A씨는 쿠팡에 결제 수단으로 등록했던 카드에서만 피해가 발생했다는 점을 토대로 해당 사건과 이번 정보 유출 사건의 관련성을 의심하고 있다. 그는 YTN에 “쿠팡을 의심할 수밖에 없는 데는 이유가 있다”라며 “수년간 쿠팡을 이용했는데 지금껏 이런 일이 없다가 시기가 절묘하게 맞아 떨어진다”고 설명했다.쿠팡 고객 센터에서는 A씨의 결제 정보는 유출되지 않았다고 밝혔지만, 관련 증빙 자료 요청에는 응하지 않은 것으로 알려졌다.전문가는 쿠팡에 등록된 결제수단 정보 삭제를 권하고 있다. 2일 오전 국회 과학기술정보방송통신위원회 쿠팡 침해사고 관련 현안 질의에 참석한 김승주 고려대 정보보호대학원 교수는 쿠팡 이용자에게 △쿠팡에 등록된 결제수단(신용·체크카드 등) 정보 삭제 △카드 결제용 비밀번호 변경 △쿠팡 계정 비밀번호 변경 등을 진행할 것을 제시했다.</div>

<div><figure><img src="https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202512/04/bda4e462-bd85-4312-ad21-c05f90c3f871.jpg" /></figure>쿠팡에 등록한 신용카드에서 자신도 모르는 사이에 수백만 원이 결제됐다는 피해 신고가 접수됐다.2일 YTN 보도에 따르면 경북 포항에 거주하는 40대 남성 A씨는 지난달 30일 쿠팡으로부터 개인정보가 유출됐다는 통지를 받기 하루 전, 사용한 적 없는 300만원이 카드로 결제됐다는 문자를 받았다.결제 내용엔 결제대행사의 상호만 적혀 있었기에 어디서, 무엇을 결제한 상황인지는 알 수 없었다고 한다.A씨가 확인해보니 누군가 먼저 499만원을 결제하려 시도했다가 한도 초과로 실패하자 금액을 300만원으로 낮춰 재결제한 것으로 드러났다. 이어 150만원을 추가로 결제하려고 시도한 것도 파악됐다.A씨의 다른 카드에서도 비슷한 결제 시도가 이어졌는데, 모두 실패하자 급기야 카드 비밀번호를 변경하려 시도한 흔적도 발견됐다.A씨는 "쿠팡에 결제 수단으로 등록했던 카드에서만 피해가 발생했다"며, 카드 도용 사고가 쿠팡의 정보 유출 사건과 관련 있는 것으로 의심하고 있다.A씨는 YTN 인터뷰에서 "수년간 쿠팡을 썼는데, 이런 일이 없다가 시기가 절묘하게 맞아떨어지지 않느냐"며 "의심할 수밖에 없다"고 말했다.쿠팡 고객 센터는 A씨의 결제 정보는 유출되지 않았다는 입장이나, 관련 증빙 자료 요청에는 응하지 않은 것으로 전해졌다.A씨는 카드 결제가 발생한 사실을 알고 경찰에 신고했고, 결제가 실제 이뤄진 대행사와 연락을 통해 도용 사실을 확인할 수 있었다.결제 대행사 측은 A씨 외에도 카드 주인 몰래 무단 결제된 경우가 추가로 발생했다고 확인해줬다고 한다.전문가들은 쿠팡에서 벌어진 개인정보 유출이 다른 곳에서 유출된 개인 정보와 결합해 도용 피해가 발생했을 가능성도 제기하고 있다.</div>

쿠팡에 등록한 신용카드에서 자신도 모르는 사이에 수백만 원이 결제됐다는 피해 신고가 접수됐다. 2일 YTN 보도에 따르면 경북 포항에 거주하는 40대 남성 A씨는 지난달 30일 쿠팡으로부터 개인정보가 유출됐다는 통지를 받기 하루 전, 사용한 적 없는 300만원이 카드로 결제됐다는 문자를 받았다.

"나 몰래 쿠팡 등록 신용카드서 300만원 결제돼"

<div><figure><img src="https://nimage.newsway.co.kr/photo/2025/09/30/20250930000089_0480.jpg" /></figure>쿠팡의 대규모 개인정보 유출 사고에 이어 이커머스 업체 G마켓에서도 무단 결제 사고가 발생했다. 2일 금융당국과 유통업계에 따르면 G마켓에서 지난달 29일 무단 결제 사고를 당했다며 이용자 60여명이 금융감독원에 이날 신고했다. 무단 결제는 G마켓의 간편 결제 서비스 '스마일페이'에 등록돼 있던 카드로 상품권이 결제되면서 발생했다. 개인별 피해 금액은 20만원 이하인 것으로 알려졌다. </div>

쿠팡의 대규모 개인정보 유출 사고에 이어 이커머스 업체 G마켓에서도 무단 결제 사고가 발생했다. 2일 금융당국과 유통업계에 따르면 G마켓에서 지난달 29일 무단 결제 사고를 당했다며 이용자 60여명이 금융감독원에 이날 신고했다.

쿠팡 이어 G마켓 '무단 결제' 사고 발발···금감원 신고

<div><img src="https://img.etnews.com/news/article/2025/12/02/news-p.v1.20251202.a6192e08ec3f43ba87bb63c50cde8f49_P2.jpg" />3370만명에 달하는 대규모 개인정보 유출사고가 발생한 쿠팡이 개인정보 배상책임보험을 법에서 정한 최소 수준으로만 가입해 둔 것으로 나타났다.3일 업계에 따르면 현재 쿠팡은 메리츠화재 개인정보유출 배상책임보험에 10억원 한도로 가입한 상태다. 이는 개인정보보호법 시행령상 쿠팡이 의무적으로로 가입해야 하는 최저 가입금액이다.개인정보 손해배상책임보험은 개인정보 유출 피해 발생시 기업이 소비자 피해를 보상할 수 있도록 보험 가입 또는 준비금 적립을 의무화한 제도다. 배상능력이 부족한 기업은 보험을 통해 피해 구제가 가능하다.쿠팡이 최저 한도로만 보험에 가입하면서 향후 손해배상책임이 발생하도 보험을 통해 구제받을 수 있는 금액은 10억원에 그칠 전망이다.특히 이번 개인정보 유출사고가 내부자 소행으로 알려지면서 쿠팡이 보험금을 일체 받지 못할 가능성도 제기된다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 고소장을 받아 수사에 착수했다. 고소장에는 피고소인이 특정되지 않았으나 경찰은 쿠팡에 근무했던 중국 국적 직원을 혐의자로 특정하고 수사를 진행중인 것으로 파악된다.계약마다 다르지만 개인정보 배상책임보험 약관에는 내부 임원 또는 직원, 퇴사자의 고의·범죄행위로 발생한 유출사고는 보상하지 않는다는 내용이 포함된다. 내부에서 발생한 사고는 회사측 과실로도 볼 수 있기 때문이다.쿠팡은 결제 정보, 신용카드 번호, 로그인 정보가 유출되지 않았기에 계정 관련 조치를 취할 필요가 없다는 입장을 밝힌 상태다. 다만 개인정보와 주문 정보를 통해 생활 패턴이 고스란히 유출된 만큼 각종 사기에 악용될 우려는 여전하다. 온라인 커뮤니티를 중심으로 피해사례 공유는 물론, 벌써부터 피해 관련 집단소송이 추진되고 있다.향후 손해배상 청구 소송은 확산할 조짐이다. 청구금액인 인당 20만원으로 추산할 경우 쿠팡이 유출 피해자에게 보상해야 하는 금액은 6조7000억원에 달한다.아직까지 쿠팡은 메리츠화재에 보험사고 발생 사실을 신고하지 않은 것으로 확인된다. 메리츠화재 관계자는 “아직 사고 접수가 되지 않아 자세히 말할 수 있는 상황은 아니”라며 “쿠팡 측으로부터 사고가 접수된다면 내용을 살펴보겠다”고 설명했다.한편 개인정보보호 배상책임보험은 최저가입금액(최소적립금액)이 낮아 실질적인 보상에 한계가 있다는 지적이 끊이지 않고 있다. 예컨대 정보 주체 수가 100만명 이상이고 매출이 800억원을 초과하는 기업도 보험 최소 가입한도가 10억원에 불과하다.박진혁 기자 spark@etnews.com </div>

3370만명에 달하는 대규모 개인정보 유출사고가 발생한 쿠팡이 개인정보 배상책임보험을 법에서 정한 최소 수준으로만 가입해 둔 것으로 나타났다.

쿠팡, 개인정보 배상책임보험 10억 '쥐꼬리' 가입

<div>IP 여러 개 사용해 보안관제 임계치 이하로 기록… 탐지 늦어져초기 일부 노출로 보였으나 추가 로그에서 더 큰 범위 확인[서울=뉴스핌] 조민교 기자 =브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 5개월 동안 이어진 개인정보 유출을 제때 발견하지 못한 이유에 대해 "공격자가 여러 개의 IP 주소를 번갈아 사용해 보안 시스템의 감지 기준을 피해갔다"고 설명했다.매티스 CISO는 2일 국회 과학기술정보방송통신위원회 현안 질의에서 "공격자가 한 곳이 아닌 여러 경로에서 다른 IP 주소를 사용했다"며 "그 결과 보안 관제 시스템에 찍힌 접속 기록이 일정 기준보다 적게 나타났고, 그래서 이상 징후로 식별되지 않았다"고 말했다. <figure><img src="https://img.newspim.com/news/2025/12/02/251202113907071_w.jpg" /></figure>유출 규모가 초기 발표보다 크게 늘어난 이유도 밝혔다. 매티스 CISO는 "처음에는 일부 데이터만 노출된 것으로 보였지만, 조사를 확대하며 과거 로그까지 다시 살펴보니 더 많은 정보가 유출에 포함돼 있었다"고 설명했다. 용의자가 전직 쿠팡 직원이라는 점에 대해서는 "퇴사하면 모든 접근 권한이 자동으로 사라진다"며 "만약 직원이 연루됐다면, 퇴사 전에 회사 내부의 '프라이빗 키(보안용 서명키)'를 몰래 가져갔을 가능성이 있다"고 했다. 내부 시스템을 잘 아는 사람이 사전에 열쇠를 챙겨 나간 것 아니냐는 가능성을 언급한 셈이다.한편 국회는 쿠팡의 보안 감시 체계가 기본적인 이상 징후도 잡지 못했다며 "탐지 시스템이 제대로 작동했는지, 내부 통제가 왜 실패했는지 철저히 규명해야 한다"고 지적했다. 또 쿠팡에 재발 방지 대책 마련을 강하게 요구했다.mkyo@newspim.com</div>

IP 여러 개 사용해 보안관제 임계치 이하로 기록… 탐지 늦어져. 초기 일부 노출로 보였으나 추가 로그에서 더 큰 범위 확인. [서울=뉴스핌] 조민교 기자 =브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 5개월 동안 이어진 개인정보 유출을 제때 발견하지 못한 이유에 대해 "공격자가 여러 개의 IP 주소를 번갈아 사용해 보안 시스템의 감지 기준을 피해갔다"고 설명했다.

쿠팡 보안 책임자 "퇴사 직원, 떠나기 전 프라이빗 키 탈취 의심"

<div><figure><img src="https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202512/02/9a7ae9cf-aebb-423d-b08f-0e4b5121a55f.jpg" /></figure>쿠팡의 개인정보 유출 사태를 두고 JP모건은 "잠재적 고객의 이탈은 제한적일 것"이라고 평가했다.2일(현지시간) 로이터 통신에 따르면, JP모건은 전날 발간한 보고서에서 "쿠팡이 이커머스 시장에서 독보적인 지위를 누리고 있고, 한국 고객이 데이터 유출에 대해 덜 민감해 보인다"면서 이같이 밝혔다.다만 JP모건은 쿠팡이 자발적 보상 패키지를 제공할 가능성과 한국 정부가 잠재적인 벌금을 부과할 가능성이 높기 때문에 "상당한 규모의 일회성 손실"이 있을 수 있으며, 이는 단기적으로 투자 심리를 짓누를 것이라고 내다봤다.쿠팡은 지난달 18일 약 4500개 계정의 개인정보가 무단으로 노출된 사실을 인지했다고 밝혔으나, 11일 뒤 개인정보가 노출된 고객 계정 수가 3370만개로 확인됐다고 했다. 후속 조사에서 정보가 노출된 계정이 7500배 수준으로 늘어난 것이다.쿠팡은 노출된 정보가 이름, 이메일 주소, 배송지 주소록에 입력된 이름·전화번호·주소, 일부 주문정보라고 밝혔다. 별도로 관리되는 결제정보나 신용카드 번호, 로그인 정보는 포함되지 않았으며, 이에 따라 고객이 계정과 관련해 따로 취할 조치는 없다고 덧붙였다.다만 개인정보 노출이 쿠팡 전체 고객 수로 추정될 만큼 광범위하게 이뤄졌고, 피해 계정 수가 뒤늦게 파악돼 소비자의 우려는 큰 상황이다.대규모 개인정보 유출 사실 공개 이후 뉴욕증시에서 쿠팡Inc는 전일 대비 5.36% 내린 26.65달러에 장을 마쳤다. 장 중 한때 7% 이상으로 낙폭을 키우기도 했다.</div>

쿠팡의 개인정보 유출 사태를 두고 JP모건은 "잠재적 고객의 이탈은 제한적일 것"이라고 평가했다. 2일(현지시간) 로이터 통신에 따르면, JP모건은 전날 발간한 보고서에서 "쿠팡이 이커머스 시장에서 독보적인 지위를 누리고 있고, 한국 고객이 데이터 유출에 대해 덜 민감해 보인다"면서 이같이 밝혔다.

JP모건 "韓 데이터 유출 덜 민감…쿠팡 고객 이탈 제한적일 것"

<div>쿠팡 ID가 곧 쿠팡페이 ID...'금융 계정 뚫린 보안 사고' 지적전자금융거래법상 의무 위반 소지도 [서울=뉴스핌] 전미옥 기자 = 쿠팡 개인정보 유출 사건과 맞물려 금융 계열사인 쿠팡페이의 정보가 함께 유출됐다는 지적이 나왔다. 쿠팡 계정이 쿠팡페이 계정과 동일해 해커들이 금융 정보에 접근할 수 있다는 지적이다. 단순 쇼핑몰 해킹이 아닌 '전자금융 침해사고'라고3일 더불어민주당 김현정 의원은 국회 정무위원회 긴급 현안 질의에서 이번 쿠팡 개인정보 유출 사태를 '전자금융 침해사고' 로 규정하고, 금융당국의 철저한 조사와 강력한 제재를 촉구했다. 또한 사건 발생 직후 미국 본사 임원들이 주식을 매도한 정황에 대해 내부자 거래 의혹을 제기했다.<figure><img src="https://img.newspim.com/news/2025/12/02/251202144013170.jpg" /></figure>이날 김 의원은 쿠팡의 쇼핑몰과 금융 서비스가 연동된 특수한 가입 구조인 '원 아이디 (One-ID)' 시스템의 위험성을 집중적으로 지적했다.김 의원에 따르면 쿠팡은 쇼핑몰 가입 시 별도 절차 없이 전자금융업자인 '쿠팡페이' 계정이 자동 생성되는 '원 아이디 시스템 '이다. 때문에 이번 쿠팡 개인정보 유출은 사실상 금융 계정이 뚫린 금융 보안 사고라는 주장이다.현행 전자금융거래법상 '이용자 번호 (ID)' 는 자금 이체 등 금융 거래를 지시할 수 있는 '핵심 접근 매체' 에 해당한다. 즉 해커들이 가져간 '이메일 ID' 는 단순한 로그인 수단이 아니라 쿠팡페이 금고를 열 수 있는 '1차 열쇠' 인 셈이다 .김 의원은 "쿠팡 측은 '결제 비밀번호는 안전하다'고 강변하지만 이는 국민을 기만하는 것" 이라며 "해커들이 확보한 ID 와 개인정보를 조합해 비밀번호를 유추하거나 보이스피싱을 시도하면 2차 잠금장치는 언제든 뚫릴 수 있는 구조" 라고 비판했다이어 "실제로 이미 쿠팡 등록 카드로 300만원이 무단 결제되거나 국제전화 피싱이 발생하는 등 피해 사례가 보도되고 있다" 고 강조했다.김 의원은 쿠팡 측이 이번 사고를 금융당국에 즉시 보고하지 않은 점에 대해서도 전자금융거래법상 의무 위반 소지가 크다고 짚었다.김 의원은 "지난 2014년 카드 3사 정보 유출 당시 금융위는 3개월 영업정지라는 중징계를 내린 바 있다"며 " 이번 사태 역시 관리 소홀과 보고 의무 위반이 확인될 경우 영업정지를 포함한 최고 수위의 기관 제재를 내려 빅테크 기업들의 안일한 보안 인식에 경종을 울려야 한다"고 강조했다.한편 김 의원은 쿠팡 Inc(미국 본사) 경영진의 수상한 주식 매도 흐름 또한 문제 삼았다.관련해 쿠팡이 한국 정부에 개인정보 유출 사고를 신고하기 전인 지난달 10일 거랍 아난드 (Gaurav Anand) 쿠팡 CFO가 주식 7만5350주를 매도했고, 이어 17일에는 프라남 콜라리 (Pranav Kolari) 전 부사장이 2만7388 주를 매도한 것으로 확인됐다.김 의원은 "한국 소비자의 개인정보 유출 사실을 미리 알고 미국 증시에서 주식을 처분했다면 이는 명백한 내부자 부정거래 의혹이 짙다" 며 "미국 증권거래위원회 (SEC) 가 내부자 거래를 엄격히 처벌하는 만큼 금융당국이 미국 관계 당국과 공조해 진상을 규명해야 한다" 고 촉구했다.그러면서 "쿠팡은 실질적인 '빅테크 금융그룹' 이나 다름없음에도 규제의 사각지대 뒤에 숨어 있다" 며 "국민의 불안을 해소하고 금융 질서를 확립하기 위해 국회 차원에서도 끝까지 책임을 묻겠다"고 꼬집었다. romeok@newspim.com</div>

쿠팡 ID가 곧 쿠팡페이 ID...'금융 계정 뚫린 보안 사고' 지적. [서울=뉴스핌] 전미옥 기자 = 쿠팡 개인정보 유출 사건과 맞물려 금융 계열사인 쿠팡페이의 정보가 함께 유출됐다는 지적이 나왔다. 쿠팡 계정이 쿠팡페이 계정과 동일해 해커들이 금융 정보에 접근할 수 있다는 지적이다. 단순 쇼핑몰 해킹이 아닌 '전자금융 침해사고'라고

김현정 의원 "쿠팡페이도 사실상 털렸다...금융사고로 규정해야"

<div><figure><img src="https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202512/03/ebce7a89-119b-4928-954c-724b018d62f0.jpg" /></figure>쿠팡의 주요 임원이 정보침해 사건이 발생한 시점 이후 수십억원대 쿠팡 보유 주식을 매도한 것으로 확인됐다.2일(현지시간) 미 증권거래위원회(SEC) 공시에 따르면 거랍 아난드 쿠팡 최고재무책임자(CFO)는 지난달 10일 자신이 쿠팡Inc 주식 7만5350주를 주당 29.0195달러에 매도했다고 신고했다.매도 가액은 약 218만6000달러(약 32억원)다.프라남 콜라리 전 부사장도 지난달 17일 쿠팡 주식 2만7388주를 매도했다고 신고했다. 매각 가치는 77만2000달러(약 11억3000만원)로 신고했다.콜라리 전 부사장은 검색 및 추천 부문을 총괄하던 핵심 기술담당 임원으로, 지난달 14일 사임했다.아난드 CFO와 콜라리 전 부사장의 쿠팡 주식 매도 시점은 쿠팡이 개인정보 유출 침해사고 발생 사실을 인지했다고 밝힌 시점 이전이다.비록 회사가 침해 사고를 인지했다고 밝힌 시점 이전 거래이긴 하지만, 민감한 시점에 발생한 전현직 핵심 임원의 주식 처분은 향후 ‘내부자 거래’ 논란을 부를 수 있는 대목이다.쿠팡은 지난달 29일 고객 계정 약 3370만개 정보가 유출됐다고 발표하면서 이름과 이메일, 전화번호, 주소, 일부 주문정보 등의 개인 정보가 유출됐다고 밝혔다.쿠팡은 그에 앞서 지난달 18일 고객 4500여명의 개인정보가 유출된 침해사고 발생 사실을 인지했다고 관계당국에 피해 사실을 최초 신고한 바 있다.과학기술정보방송통신위원장 최민희 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 침해사고 신고서에 따르면 쿠팡은 한국시간 지난달 6일 오후 6시 38분 자사 계정 정보에 대한 무단 접근이 발생했다고 보고했다.그러나 침해 사실을 인지한 시점은 12일이 지난 11월18일 오후 10시 52분으로 기록됐다.</div>

쿠팡의 주요 임원이 정보침해 사건이 발생한 시점 이후 수십억원대 쿠팡 보유 주식을 매도한 것으로 확인됐다. 2일(현지시간) 미 증권거래위원회(SEC) 공시에 따르면 거랍 아난드 쿠팡 최고재무책임자(CFO)는 지난달 10일 자신이 쿠팡Inc 주식 7만5350주를 주당 29.0195달러에 매도했다고 신고했다.

쿠팡 임원, 정보유출 시점 후 수십억 주식매도…내부자 거래 였나

<div><figure><img src="https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202512/03/238c3047-8bd3-4a69-bc23-0acb982df63f.jpg" /></figure>중국의 온라인 쇼핑 플랫폼에서 쿠팡 계정이 판매되고 있다는 의혹에 대해 쿠팡 측은 "이번 사건과는 무관해 보인다"고 말했다.2일 국회 과학기술정보방송통신위원회(과방위) 긴급 현안 질의에서 김장겸 국민의힘 의원은 쿠팡 계정이 중국 쇼핑 플랫폼에서 계정당 23~183위안(약 5000원~3만8000원)에 판매되고 있다는 의혹을 제기했다.김 의원은 "보면 쿠팡 계정을 구매하고 싶다고 하니 '바로 보내드릴 수 있다'고 한다. 이어 '한국 사람 계정 해킹한 것 아니냐'고 의심하니까 '그러면 다른 사람에게 구매하라'고 한 뒤 대화를 종료했다"고 설명했다.이어 "판매자의 말을 다 믿을 수는 없지만, 대화 내용에서 보면 인증된 계정이라고 한다"며 "로그인이 가능한 계정이 거래된다면 로그인 정보가 유출된 것 아니냐"고 물었다.이에 박대준 쿠팡 대표는 "이 건에 대해서는 잘 모르겠지만, 이번에 정보망을 침해한 방식은 회사의 계정이나 시스템을 이용한 것이 아니다"라며 "퇴직자가 쿠팡 서비스 이용자인 것처럼 접속했다"고 설명했다.브랫 매티스 쿠팡 최고보안책임자(CISO)는 "지금 제시해준 사례는 잘 알지 못하지만, 다크웹 같은 데서 보면 일반적으로 이커머스 계정들을 다양한 방식으로 탈취해 위조 계정을 파는 경우가 있다"며 "이런 계정들을 탈취할 때는 클라이언트 컴퓨터에 있는 쿠키 정보를 이용하는 경우가 있는데, 이 문제 역시 당연히 살펴보겠지만 이번에 일어난 사건과는 무관해 보인다"고 했다.김 의원은 현장에 참석한 김승주 고려대 정보보호대학원 교수에게 매티스 CISO의 답변이 맞는지 확인했다. 김 교수는 "쿠팡 측에서는 사용자 아이디와 인증 토큰이 유출됐기 때문에 저런 식으로는 거래할 수 없다는 이야기지만, 쿠팡의 내부자 관리가 제대로 안 돼서 아이디와 비밀번호까지 유출됐다면 가능하긴 하다"고 말했다.김 의원은 "박 대표는 2차 피해가 없다고 했는데, 김 교수 말에 따르면 2차 피해일 가능성도 있다는 것 아니냐"고 다시 물었다.박 대표는 "(2차 피해) 가능성을 부정하는 건 아니다"라며 "만약 진짜라면 쿠팡 계정을 왜 돈 주고 파는지 의심이 든다"고 했다.한편 박 대표는 3일 열린 국회 정무위원회 현안 질의에서 대규모 회원 정보 유출 사태에 대해 피해자 보상을 적극적으로 검토하겠다는 입장을 밝혔다.보상 범위와 시점에 대해서는 "지금 법률적으로 본 것은 아니고, '고객들이 피해를 입었다'는 의미이고 그분들에게…"라고 답했다. 추후 정보 유출에 따른 피해자를 중심으로 보상안을 마련하겠다는 것으로 풀이된다.</div>

중국의 온라인 쇼핑 플랫폼에서 쿠팡 계정이 판매되고 있다는 의혹에 대해 쿠팡 측은 "이번 사건과는 무관해 보인다"고 말했다. 2일 국회 과학기술정보방송통신위원회(과방위) 긴급 현안 질의에서 김장겸 국민의힘 의원은 쿠팡 계정이 중국 쇼핑 플랫폼에서 계정당 23~183위안(약 5000원~3만8000원)에 판매되고 있다는 의혹을 제기했다.

中쇼핑몰 "한국인 쿠팡 계정 5000원"…쿠팡 측 "이번 일과 무관"

<div><figure><img src="https://img.khan.co.kr/news/r/600xX/2025/12/04/news-p.v1.20251203.a43ded69439048e4a2eb198c8c7fe03c_P1.webp" /></figure>3370만명의 이름·주소·전화번호가 유출된 쿠팡 사태의 핵심은 ‘서버 출입 마스터키’에 해당하는 서명키 접근 구조다. 쿠팡은 탈취당한 서명키가 악용된 사실은 인정했지만, 정작 이 서명키를 그간 어떻게 관리해왔는지는 밝히지 않고 있다. 아무나 손대서는 안 되는 ‘마스터키’가 어떻게 일반 직원 손에 넘어갔는지를 밝혀야 쿠팡의 보안 소홀 책임이 명확해질 것으로 보인다.3일 정보기술(IT) 업계에 따르면 쿠팡 내부의 ‘서명키’ 보안에 어떻게 구멍이 뚫렸는지가 ‘쿠팡 미스터리’를 풀 실마리 중 하나로 거론되고 있다.전날부터 이틀간 국회 과학기술방송통신위원회·정무위원회가 연 긴급 현안질의에 출석한 쿠팡 박대준 대표, 브랫 매티스 최고정보보호책임자(CISO)의 말을 종합하면 지금까지 드러난 사실은 이렇다. 유출 사태를 일으킨 것으로 추정되는 직원 A씨는 인증 시스템 개발자였으며, 지난해 12월 퇴직한 뒤 올해 6월부터 ‘고객’으로 가장해 시스템에 접속, 개인정보를 대량 수집했다. 이 과정에서 A씨는 서명키로 가짜 토큰을 생성했는데, 토큰이 있으면 아이디·비밀번호 입력 없이도 로그인이 가능하다. A씨는 퇴사 전 이 서명키를 확보했던 것으로 보인다.문제는 서명키가 민감한 보안 자산이라는 점이다. 전 고객의 개인정보가 담긴 ‘방’에 자유롭게 드나들게 해주는 ‘마스터키’와 같은 역할을 하기 때문이다. 김승주 고려대 정보보호대학원 교수는 “서명키는 HSM(Hardware Security Module)과 같은 하드웨어 보안장치에 보관해야 하고, 개발자를 포함한 누구도 이 장치 밖으로 키를 추출할 수 없어야 한다”며 “그럼에도 불구하고 어떻게 키 탈취가 가능했는지가 규명돼야 한다”고 말했다.사태 초기에는 퇴사자 발생 후 서명키를 교체하지 않은 점에 초점이 맞춰졌으나 진짜 문제는 일반 직원이 이 서명키에 접근할 수 있었다는 사실 그 자체에 있다는 얘기다. 쿠팡의 박 대표는 국회 현안질의에서 서명키 입수 경로와 관련해 “어떻게 입수했는지 알 수 없다”고 말했다.박 대표는 “(서명키 등으로) 고객정보 전체를 볼 수 있는 사람이 몇 사람이냐 되느냐”(강민국 국민의힘 의원)는 질문에는 “예외적으로 승인돼 있고 저도 그런 접근권은 갖고 있지 않다”고 말했다. 법인 대표에게도 없는 ‘마스터키’ 접근 권한이 일반 직원에게 있었다는 얘기가 된다.5개월간 이어진 대규모 유출을 전혀 탐지하지 못한 것도 문제다. 정보 유출은 올해 6월24일부터 지난달 8일까지 이어졌으나, 쿠팡은 같은 달 18일 “정보가 유출된 것 같다”는 고객 민원을 받고서야 이 사실을 알게 됐다.쿠팡은 그간 이상징후를 탐지하지 못한 이유에 대해 “공격자가 여러 개의 IP 주소를 사용했다”(매티스 CISO)고 말하지만 이 설명만으로는 납득하기 어렵다는 평가가 나온다. 휴면·탈퇴 계정 정보도 유출됐기 때문에 해당 계정에 대한 대량의 로그인 징후가 이어졌을 가능성이 크기 때문이다.쿠팡은 정보가 유출된 휴면·탈퇴 계정 규모를 밝히지 않고 있으나 3분기 활성 고객 규모(2470만명)와 유출 규모의 차이(약 900만명)를 고려하면 수백만개에 달할 것으로 추정된다. 김 교수는 “탈퇴 계정에서 계속 접속이 들어오면 이상하게 여겨야 하는데 왜 탐지를 못했는지 의문”이라고 말했다.이날 정무위 현안질의에서는 쿠팡이 2021년과 지난해 받은 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)를 취소해야 한다는 지적이 잇따랐다. ISMS-P에는 암호키(서명키) 접근 통제, 퇴직자의 정보 접근 제한 등의 내용이 담겨 있다. 한창민 더불어민주당 의원은 “ISMS-P 기준을 지키지 않은 쿠팡은 첫 ‘인증 취소’ 기업이 돼야 한다”며 “아울러 과거 과징금 사례를 보면 ISMS-P 인증을 받았다는 이유로 50%씩 감면을 해주었는데 이러한 제도도 바꿔야 한다”고 말했다.</div>

3370만명의 이름·주소·전화번호가 유출된 쿠팡 사태의 핵심은 ‘서버 출입 마스터키’에 해당하는 서명키 접근 구조다. 쿠팡은 탈취당한 서명키가 악용된 사실은 인정했지만, 정작 이 서명키를 그간 어떻게 관리해왔는지는 밝히지 않고 있다. 아무나 손대서는 안 되는 ‘마스터키’가 어떻게 일반 직원 손에 넘어갔는지를 밝혀야 쿠팡의 보안 소홀 책임이 명확해질 것으로 보인다.

일반 직원에게 ‘마스터키’가 있었다?…쿠팡은 뭘 감추고 있나

쿠팡에서 3370만명 고객의 개인정보가 유출되는 사태가 발생한 가운데, 쿠팡에 등록해 둔 신용카드에서 자신도 모르게 수백만원이 결제됐다는 사연이 전해졌다. 쿠팡 측은 로그인 정보와 신용카드 번호 및 결제 정보는 유출 정보에 포함되지 않았다고 밝혔지만 우려는 계속해서 커지고 있다.

"결제정보 안 털린 거 맞아?" 쿠팡 등록 카드서 300만원 빠져나갔다

관련 뉴스