• 쿠팡 전 보안 담당 직원, 개인정보 ‘마스터키’ 들고 나간 셈

• 유출범 PC의 3000건 개인정보, 그건 빙산의 일각

• 3000만 명 개인정보 열람권 허가 권한이 유출돼

• 얼마나 많은 사람에게 열람권 열어줬을지 확인 어려워

• 데이터 접속 권한 유출 시 물리적 차단도 가능했지만…

• AWS 가이드라인조차 제대로 지키지 않은 쿠팡

• 내부 모의 해킹 훈련 보고서도 ‘화장실 위생 점검 수준’

• 국정원 입회 없이 진행한 포렌식 증거능력 없어

• 쿠팡 3000만 개인정보 유출 현재 진행…SK보다 더 큰 처벌 받아야

“상황이 정리되기 전까지 (쿠팡) 주문을 자제하고, 꼭 필요하다면 최소한으로만 이용하는 것이 바람직하다.”

2025년 12월 16, 17일 국회 과학기술정보방송통신위원회에서 열린 ‘쿠팡 개인정보 유출 및 재발 방지 대책 마련 연석 청문회’(이하 쿠팡 청문회)에 참석한 김승주 고려대 정보보안대학원 교수의 말이다. 김 교수는 이후 이어진 12월 30, 31일의 연석 쿠팡 청문회에서도 핵심 참고인으로 활약했다. 

2025년 11월 29일 쿠팡은 “11월 18일 약 4500개의 고객 개인정보가 무단으로 노출된 사실을 인지했고, 후속 조사 결과 고객 계정 3370만 개가 무단으로 노출된 것으로 확인됐다”며 “노출된 정보는 이름, e메일 주소, 배송지 주소록(전화번호, 주소)과 일부 주문 정보”라고 밝혔다. 전례 없는 대규모 유출 사태에 국회가 대응에 나섰다. 12월에만 네 번의 청문회가 열렸을 정도다. 김 교수는 이 청문회에 모두 참고인으로 참석해 쿠팡의 해명을 직접 들었다.  

2026년 1월 9일 김 교수를 서울 성북구 고려대 교수연구실에서 만났다. 그는 여전히 쿠팡 주문이 위험하다는 주장을 꺾지 않았다. 오히려 청문회를 거치며 쿠팡에 대한 불신이 더 커진 상태였다. ‘신동아’와의 인터뷰에서 김 교수는 “개인정보 유출이 두려운 사람이라면 지금이라도 쿠팡을 탈퇴해야 한다”고 주장했다. 그는 “쿠팡이 개인정보 추가 유출을 틀어막았는지 확인이 어렵다”며 “만약 쿠팡이 추가 유출 방지에도 실패했다면 지금도 쿠팡 가입자의 개인정보가 새고 있을 것”이라 말했다. 

쿠팡 개인정보, ‘마스터키’가 유출된 셈

해킹 사고 등 허술한 정보보호 관리로 2011년 이후 유출된 한국인 개인정보가 2억 건이 넘는다. 쿠팡 개인정보 유출 사태로 추가 유출될 정보가 있을까.



“개인정보를 이름, 연락처, 주소 정도만 생각한다면 더 털릴 정보가 없다고 오해할 수 있다. 하지만 개인정보는 이보다 훨씬 광범위한 개념이다.”

이름, 연락처, 주소 외에 어떤 내용까지 유출됐다고 보나. 

“아직 쿠팡 개인정보 유출 사건에 관한 조사가 이뤄지지 않아 정확한 유출 내용을 알긴 어렵다. 지금 보도된 바로는 이름, 연락처, 주소 등이 노출됐다고 하는데 이외에도 주문 내역, 주문 장소, 주문 시간 등 광범위한 정보가 유출됐을 수 있다.”

주문 내역이 중요한 개인정보일까.

“수사기관이 내 휴대전화를 압수수색한다고 하면 쉽사리 내줄 수 있는 사람이 몇이나 될까. 쿠팡의 개인정보 유출이 그와 비슷한 수준일 가능성이 있다. 개인정보 대부분이 유출됐다면 쿠팡을 사용한 모든 내역이 공개된다. 만약 집이 아니라 회사로 주문한 물건을 받았다면 회사 주소도 털린 셈이다. 어떤 회사를 다니는지, 평소 어떤 것을 주로 주문하는지, 주문 내역을 보고 자녀가 있는지, 그 자녀 나이대가 어느 정도인지, 성별이 무엇인지도 추정해 낼 수 있다. 최악의 상황을 가정하면 쿠팡과 연관된 개인의 생활 전반에 관한 정보가 유출된 셈이다.”

쿠팡은 개인정보 유출이 3000건에 불과하고 외부 유출도 없다고 주장한다. 

“쿠팡의 개인정보 유출은 단순히 개인정보가 밖으로 유출된 사고라 볼 수 없다. 쿠팡의 전 직원이 가입자 3370만 명의 개인정보 열람 권한을 복사해서 가지고 나갔다. 열람 권한을 들고 퇴사했기 때문에 얼마나 많은 사람에게 열람 권한을 열어줬는지 알 수 없다. 쿠팡이 주장하는 3000건은 열람 권한을 들고 퇴사한 전 직원의 노트북에 저장된 개인정보의 수일 뿐이다. 그야말로 빙산의 일각이다. 실제 유출 규모는 아직 알 수 없다.”

퇴사한 전 직원이 아닌 다른 사람도 쿠팡 가입자의 개인정보를 들여다볼 수 있나.

“그렇다. 호텔에 빗대어 설명하면 이해가 쉬울 것이다. 쿠팡이 호텔이고 개인정보가 각 방에 들어간 손님이라고 가정해 보자. 문제의 전 직원이 들고 나간 것은 호텔의 마스터키다. 마스터키는 호텔 모든 객실의 열쇠를 만들 수 있다. 열쇠의 유효기한도 정할 수 있다. 본인이 직접 객실에 들어가지 않아도 다른 사람을 객실에 드나들게 할 수 있다는 의미다. 개인정보로 바꿔 얘기하면, 문제의 전 직원이 권한을 준다면 누구나 쿠팡 3370만 가입자의 개인정보를 열람할 수 있다.”

개인정보 보호 취약점, 쿠팡은 알고 있었을지도…

개인정보 열람을 허락할 수 있는 권한 유출을 사전에 막을 방법은 없었을까.

“개인정보 열람 허가권 유출을 물리적으로 막는 장치는 있다. ‘하드웨어 보안 모듈(Hardware Security Module·HSM)’이나 ‘키 관리 시스템(Key Management Service·KMS)’이라 하는데, 특정 데이터를 복사하거나 유출하면 해당 데이터를 자동 파기하는 기능을 갖췄다. 쿠팡은 이를 쓰지 않았다는 점을 청문회에서 인정했다. 12월 31일 쿠팡 청문회에서 오기형 더불어민주당 의원이 브랫 매티스 쿠팡 최고정보보안책임자(CISO)에게 “HSM과 KMS를 사용하지 않은 것이 글로벌 스탠더드에 부합하는 것인가”라고 질문했고, 매티스 CISO는 “정보보안 방식은 글로벌 스탠더드에 부합했으나 개선의 여지가 있다는 것을 알게 됐다”며 쿠팡이 HSM과 KMS를 사용하지 않았다고 사실상 인정했다.”

쿠팡은 이 장치가 필요하다는 사실을 몰랐을까.

“그럴 가능성은 낮다. 쿠팡은 개인정보를 AWS 클라우드가 제공하는  ‘HashiCorp Vault’라는 보안 시스템으로 관리했다고 밝혔다. 나도 AWS 클라우드를 쓴다. AWS 클라우드 사용 가이드라인엔 HSM이나 KMS를 연동해서 사용하라는 권고 사항이 있다. 굳이 글로벌 스탠더드를 언급할 필요도 없다. AWS 가이드라인을 숙지했다면 해당 장치가 필요하다는 사실을 알고 있었을 것이다.” 

쿠팡이 개인정보 보안이 취약하다는 것을 알고도 방치했다는 이야기인가.

“이는 조사해 봐야 알 수 있는 사안이다. 다만 쿠팡이 개인정보 보안 취약점을 알고 있었다는 증거는 조금씩 나오고 있다. 대표적인 예가 경영 컨설팅 기업 ‘액센추어’의 쿠팡 해킹 대응 방어 훈련 보고서다.”

쿠팡은 2025년 3월 사이버 보안 사고 발생 시 대응 능력을 점검하기 위해 액센추어에 의뢰해 모의훈련을 실시했고, 2025년 12월 모의훈련 결과 보고서를 국회에 제출했다. 

김 교수는 “모의훈련 결과 보고서를 보면 (보안) 위기관리 절차가 문서화돼 있지 않고 구성원 개인의 역량에 의존한다는 내용이 있다”며 “이를 지금 쿠팡 개인정보 유출 사건에 대입해 이해해 보자면 구성원이 정보를 들고 나갔다면 이를 막을 위기관리 절차가 없다는 의미”라고 설명했다. 

보고서 한 장으로 쿠팡이 개인정보 보안을 게을리했다고 볼 수 있을까.

“그래서 민관합동조사단은 쿠팡에 최근 3년간의 모의 해킹 훈련 보고서를 달라고 요청했다. 최근 쿠팡이 이 보고서를 조금씩 민관합동조사단에 보내고 있다. 나도 이 보고서를 받아봤는데 모의 해킹 훈련 보고서라 보기 힘든 수준이었다.”

어떤 내용이었나. 

“거칠게 비유하면 공중화장실 위생 점검표 같았다. 점검했는지 여부만 확인할 수 있는 점검표 말이다. 보통 모의 해킹 훈련을 하면 A4용지 20~30매가량의 보고서가 나온다. 하지만 쿠팡의 모의 해킹 훈련 보고서는 A4용지 한두 장 정도다. 정보보안에 관한 점검을 제대로 하지 않았을 것이라는 정황상 의심이 가는 지점이다.”

사후 약방문이지만 쿠팡은 유출된 개인정보 열람 허가 권한을 폐기했다고 밝혔다. 

“개인정보 열람 권한이 얼마나 발급됐는지 아직 알 수 없다. 더 큰 문제는 쿠팡이 개인정보 열람 허가권이 정확히 언제 유출됐는지 특정하지 못하고 있다는 점이다.” 

쿠팡이 국회에 제출한 자료에 따르면 2025년 6월부터 개인정보가 유출됐다고 하는데.

“이는 개인정보 유출 시점이다. 문제의 전 직원이 언제부터 개인정보 열람 허가 권한을 사용했는지는 알 수 없다. 쿠팡이 알아채기 훨씬 전부터 해당 직원이 다른 사람에게 개인정보 열람을 허락했다면 지금도 쿠팡 가입자의 개인정보가 새고 있을지 모른다. 민관합동조사단의 조사가 끝나기 전까지는 쿠팡 사용을 자제하는 편이 좋다.”

포렌식 분석 자체가 쿠팡 주장의 모순 증명

쿠팡은 “전 직원의 노트북에서 권한 유출 흔적을 찾지 못했다”고 주장한다.

“쿠팡 측 주장일 뿐이다. 얼마나 많은 사람이 개인정보 열람권을 갖게 됐는지는 추후 조사로 밝혀질 내용이다.”

쿠팡은 전 직원의 노트북을 포렌식 분석했다고 밝혔다. 더 이상 자세한 조사가 가능한가.

“포렌식 분석이 가능했다는 것 자체가 이상하다. 조사가 이뤄졌다면 지금까지의 쿠팡 주장과는 모순 된다.”

어떤 부분이 모순이라고 생각하나.

“쿠팡은 지금까지 내부 데이터 통제를 잘했지만 개인정보 열람 허가권을 들고 나간 전 직원이 각종 탐지 시스템을 피해 몰래 허가권을 복사해 나갔다고 주장한다. 이는 이 직원이 쿠팡의 내부 탐지 시스템을 대부분 파악할 정도로 고급 지식을 가진 개발자라는 의미다. 그만큼 쿠팡은 유출을 막기 어려웠다고 주장하는 것인데, 상식적으로 생각해 보자. 그렇게 능력이 좋은 개발자라면 과연 노트북을 그냥 버릴까. 정보보안 전문가가 아닌 일반인도 휴대전화를 버릴 때 완전히 포맷한다. 그런데 정보보안 전문가가 포맷도 하지 않고 노트북을 버렸다는 것은 이해하기 어렵다.”

전 직원이 노트북을 포맷했을 가능성은 없나.

“포맷을 했다면 포렌식 분석이 불가능하다. 만약 쿠팡이 정말 포렌식 분석을 했다면 이 직원은 쿠팡이 주장한 정도의 정보보안 전문가가 아닐 가능성이 높다. 반대로 이 직원이 쿠팡이 말한 대로의 전문가라면 쿠팡은 포렌식 분석을 제대로 할 수 없었을 것이다.”

포렌식 분석에 관해 이야기하다 보니 인터뷰는 자연스레 12월 30일 쿠팡 청문회 내용으로 흘렀다. 이날 청문회에서 헤롤드 로저스 쿠팡 임시 대표는 “국가정보원이 피의자 접촉 및 포렌식 조사를 지시했다”고 주장했다. 국정원은 같은 날 보도자료를 통해 “쿠팡에 어떠한 지시·명령·허가를 한 사실이 없으며, 그럴 위치에 있지도 않다”며 “국회에 로저스 쿠팡 임시 대표를 위증죄로 고발해 줄 것을 요청했다”고 밝혔다. 

쿠팡 처분, 국내 IT 기업에 보내는 신호 될 것

쿠팡은 한국 정부 요청으로 포렌식 조사를 했다고 주장한다. 

“그 부분도 이상하다. 정부가 요청했다면 포렌식 조사 과정에 정부 측 인사가 입회했어야 한다.”

정부 측 인사 입회가 꼭 필요한가.

“당연히 필요하다. 포렌식 조사가 시작되면 조사할 기기를 압수하는 과정부터 전부 관련 기관 입회하에 진행하고 이 과정을 전부 촬영한다. 기기를 압수해 포렌식 조사실로 이동하는 과정에서 데이터 변질을 막기 위한 조치다. 이후 압수한 기기에서 데이터를 복사한다. 조사 과정에서 데이터 소실이 생길 위험을 방지하기 위해서다. 이를 ‘이미징’이라 말한다. 당연히 이 과정에도 관련 기관이 입회한다. 하지만 국정원 보도자료와 청문회 당시 쿠팡 측 발언을 종합하면 국정원이 쿠팡과 접촉한 시점에 쿠팡은 이미 이미징을 끝낸 상태였다.”

쿠팡 개입 없이 국정원이 나서서 포렌식 조사를 하는 게 나았을까.

“아니다. 개인정보 유출 사건이 발생하면 민관합동조사단과 유출 사건이 발생한 기업이 공조해 사건의 전말을 조사한다. 그래야 조사가 빨리 진행된다. 쿠팡의 실책은 조사 과정에서 민관합동조사단이나 정부의 통제를 벗어난 채로 포렌식 조사를 시행했다는 점이다. 서류에 적힌 물리적 데이터와 다르게 디지털 데이터는 위·변조가 쉽다. 그래서 조사할 때 반드시 정부나 민관합동조사단의 통제를 받아야 한다. 지금 쿠팡이 사실상 자체 조사를 해서 내놓는 자료는 증거능력이 거의 없다고 볼 수 있다.”

증거능력도 없는데 쿠팡은 왜 조사를 했을까.

“쿠팡 측 생각을 정확히 알 순 없지만 짐작해 보자면 미국 주주의 집단소송을 막기 위한 임시방편이 아닐까 싶다.” 

미국 주주가 임시방편에 넘어갈까.

“여론전은 가능하다. 청문회 이후로 로저스 대표의 발언만 발췌해 쿠팡이 억울하다는 내용의 쇼츠가 여기저기에 올라온 것만 봐도 (쿠팡이) 여론전을 벌이려는 모습을 볼 수 있다. 그래서 12월 17일 청문회 말미에 내용에다 전부 영어 자막을 달아 유튜브에 올려야 한다고 주장했다. 전체 내용이 올라가면 한국 국민이나 정부 기관이 나서 잘못된 정보를 바로잡는 영상이나 자료를 만들지 않을까. 쿠팡이라는 기업 하나를 한국 정부와 5000만 국민이 못 이기겠나. 결국 미국 주주도 쿠팡의 개인정보 유출 사건의 실태를 알게 될 것이다.”

2025년 4월 유심 정보 유출 사고를 막지 못한 SK텔레콤은 1348억 원의 과징금 처분을 받았다. 쿠팡은 어떤 처분을 받게 될까.

“SK텔레콤에 비해 유출 규모도 크고 별다른 후속 조치도 없었다. 더 엄중한 처벌을 받는 것이 맞다고 본다. 쿠팡의 처분은 한국 개인정보 유출 사건 처분에서 하나의 기준이 될 것이다. 만약 기존 국내 업체보다 낮은 수준의 처분을 받는다면 국내 IT 기업 대다수는 쿠팡의 모델을 따르려 할 것이다.”

쿠팡처럼 미국 상장을 시도할 것이라는 얘기인가.

“미국 상장은 물론이고 이번 청문회에서 쿠팡이 보여준 것처럼 실책을 인정하지 않는 태도를 보일 가능성이 높다. 만약 국내 IT 기업이 모두 쿠팡처럼 변한다면 한국의 개인정보는 더욱 위험해질 가능성이 높다.”