이 기사는 2025년 12월 01일 10:48 thebell 에 표출된 기사입니다.

유통업계 1위 사업자 쿠팡에서 고객 계정 3370만 개가 유출되면서 큰 파장이 일고 있다. 당초 지난 18일 처음 파악된 피해 계정은 4500여 개에 불과했지만 정밀 조사를 거치며 규모가 3000만 개 이상으로 확인됐다는 게 회사 측 설명이다. 사실상 대부분의 고객 정보가 외부로 빠져나간 상황으로 보인다.

쿠팡은 그간 IT 인프라 및 보안 투자를 매년 늘리며 업계를 선도했다. 통신판매업 사업자임에도 삼성전자와 KT와 쓰리톱으로 재계 최고 수준의 정보보호 예산을 집행해 왔다. 그럼에도 내부 보안관리 체계에 생긴 허점을 보완하지 않아 대규모 정보유출 사태를 피하지 못했다는 분석이다.

◇CISO·CPO 분리 운영, 삼전·KT 이어 보안투자 재계 3위

1일 유통업계에 따르면 쿠팡의 정보보안 영역은 브렛 매티스 CISO(Chief Information Security Officer)와 김종준 쿠팡 CPO(Chief Privacy Officer) 투톱으로 분리해 운영되고 있다. CISO는 사이버 보안 전략 수립 및 랜섬웨어 등 외부 공격을 방어하는 정보보안에 초점을 맞추고 CPO는 법에 맞게 고객과 임직원의 개인정보 수집·이용·보관 등 절차를 관리하는 게 중점이다. 정보보호 전문성을 강화하고 사고 예방·대응 효율을 높이기 위한 차원이다.


브렛 매티스 CISO의 경우 기존에 호주 국방 관련 보안 업무를 하다 2020년 쿠팡의 레드팀 헤드로 둥지를 틀었다. 이후 CISO를 거쳐 현재는 Vice President of Digital Trust로 이름을 올리고 있다. 쿠팡의 정보보안, 프라이버시, Corporate IT, AI 거버넌스 조직 등을 이끄는 사실상 정보보안 영역의 최고 헤드다.

쿠팡 보안조직의 업무를 세부적으로 들여다보면 크게 블루팀과 레드팀으로 나눠서 진행된다. 블루팀(Detection And Response)은 방어자 역할로 쿠팡 내에서 일어나는 사이버 공격 및 위험을 탐지한다. 레드팀의 경우 공격자 역할을 맡아 실제 해커가 활용하는 기술을 중심으로 쿠팡의 보안 시스템을 테스트한다. 보안 방어 체계를 점검하고 실제 공격에 대한 대비하는 차원이다.

쿠팡은 연매출 40조원대 압도적인 사이즈만큼 정보보호 예산 규모도 상당했다. 한국인터넷진흥원(KISA) 자료에 의하면 2023년 쿠팡의 정보보호부문 투자액은 659억원에서 860억원으로 증가했다. 전년대비 30.5% 증가한 규모다. 삼성전자와 KT 다음으로 투자 규모가 컸다.

보안 인력도 꾸준히 늘려왔다. 쿠팡의 총임직원 수는 2023년 1만2651명으로 이중 정보보호부문 전담인력은 190명이었다. 2024년 총임직원 수는 1만1302명으로 전년대비 10.6% 줄었지만 정보보호부문 전담인력은 214명으로 전년대비 12.6% 늘었다. 인증 평가도 활발하게 진행했다. 쿠팡의 정보보호 관련 인증·평가·점검 등에 관한 사항은 2023건 3건에서 2024년 6건으로 늘었다. 같은 기간 자사 서비스 이용객 정보보호를 위한 활동도 30건에서 59건으로 2배 가까이 증가하며 활발하게 움직였다.

◇“외부 침입 흔적 없어” 이름·주소·전화번호 유출

쿠팡이 매년 보안 투자를 늘렸음에도 이 같은 대규모 정보유출 사태가 벌어진 건 내부자에 의한 소행이라는 특수성 때문이라는 평가가 나온다. 보안 투자의 경우 대부분 외부 침입 차단에 상당 부분 초점이 맞춰있기 때문이다. 그렇기 때문에 정작 내부 시스템의 허점을 알고 있는 관련 인물의 공격을 탐지·차단하는 작업에서 구멍이 드러났다는 평가다.

앞서 쿠팡은 지난 20일 입장문에서 “쿠팡 시스템과 내부 네트워크망을 확인한 결과 외부 침입 흔적은 없었다”고 못 박았다. 업계에서는 퇴사한 중국 국적 전 쿠팡 직원이 범행을 저질렀을 가능성이 가장 힘을 받고 있다. 지금까지 나온 내용을 종합하면 해당 직원은 올해 6월 24일부터 해외서버를 통해 쿠팡 고객 정보에 대해 ‘비인가 접근’을 한 것으로 추정된다.

비인가 접근이란 업무상 그 정보에 접근할 권한이 없는 인물이 권한 범위를 넘어서는 방식으로 기업 내부 시스템·데이터에 접근한 것을 뜻한다. 무단 접근(유출)된 고객정보는 이름, 고객 이메일, 전화번호, 배송지 주소, 그리고 일부 주문 정보다. 다만 결제 정보, 신용카드 정보 등은 포함되지 않았다는 게 회사 측 설명이다.

이번에 유출된 계정은 총 3370만 개다. 쿠팡의 전체 가입 회원 수는 정확하게 공개되지 않았다. 다만 3분기 IR 당시 발표한 프로덕트 커머스 부분 활성고객(구매 이력이 있는 고객)이 2470만명이었다는 점을 고려하면 유료멤버십 회원뿐만 아니라 계정만 만들어 두고 서비스를 이용하지 않았던 순수 가입자의 정보까지 상당 부분 털린 상황으로 해석된다.

박대준 쿠팡 대표이사는 사과문을 통해 “과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 경찰청 등 민관합동조사단과 긴밀히 협력하여 추가적인 피해 예방을 위해 최선을 다하겠다”고 말했다.