[국내 뉴스 요약] 쿠팡 3,370만 개인정보 유출, 美 징벌적 집단소송 추진 – 2025.12.09

게시 시각(KST): 2025-12-09 05:46

원문 게시(KST): 2025-12-08 22:20

 

요약

• 쿠팡 3,370만 계정 개인정보 유출 사태
• 비인가 조회·인증 취약점 악용에 따른 대규모 데이터 침해
• 늦은 인지·축소 신고·‘노출’ 표현 사용 논란
• 한국 정부·국회·경찰·대통령의 강경 대응 기조
• 한국·미국 동시 소송 및 美 징벌적 손해배상 집단소송 추진
• 쿠팡 신뢰도 하락·이탈 고객 증가·주가 하락 리스크

 

핵심 포인트

• 사건 규모: 3,370만 계정 개인정보 유출, 최근 10여 년 최대 규모 데이터 침해 
• 유출 방식: 해외 서버를 통한 비인가 조회·인증 취약점 악용, 전 직원 연루 의혹
• 신고·공지 논란: 초기 4,536개 계정 신고·‘노출’ 표현, 이후 3,379만 계정·‘유출’로 정정 공지 
• 정부·국회 대응: 민관합동조사단, 국회 긴급 현안질의, 데이터 보호법·징벌적 손해배상 강화 논의 
• 국내 소송: 집단소송 준비, 1인당 10만 원 이상 배상 요구 가능성 제기 
• 해외 소송: 美 뉴욕에서 쿠팡 Inc 상대로 징벌적 손해배상 집단소송 추진, 한국·미국 동시 소송 계획 
• 경영·이미지 영향: 이용자 이탈·주가 조정·추가 배상·과징금에 따른 재무 리스크, 브랜드 신뢰도 훼

 

타임라인

(날짜는 모두 2025년 기준)

• 6월 24일 – 비인가 조회 시작
  • 해외 서버를 통한 비정상 접근 경로로, 쿠팡 고객 정보에 대한 비인가 조회 시작 추정 
• 11월 6일 – 고객 민원 제기
  • 일부 고객이 본인 정보 이상 징후를 인지해 민원을 제기, 쿠팡 내부 조사 본격화 
• 11월 18일 – 회사 측 인지
  • 쿠팡이 시스템 점검 과정에서 대규모 비인가 조회 정황을 공식적으로 인지한 시점으로 정부·외신에 보고 
• 11월 25일 – 경찰 고소
  • 쿠팡, 서울경찰청 사이버수사대에 관련자 고소장 제출
  • 언론 보도에서 중국 국적 전직 직원(인증 시스템 담당)이 주요 용의자로 거론 
• 11월 29일 – 1차 안내·‘노출’ 통지 논란
  • 쿠팡, 고객 대상 공지에서 ‘개인정보 노출’이라는 표현을 사용
  • 초기 신고 규모: 4,536개 계정 유출로 보고
  • 실제 조사 결과: 3,379만 계정 유출 확인, 규모 축소 신고 논란 확산 
• 11월 30일 – CEO 사과문·정부 긴급 대책회의
  • 박대준 대표이사 명의 공식 사과문 발표
  • 과기정통부·개인정보위·KISA·경찰 등이 참여한 민관합동조사단 구성, 정부 서울청사에서 긴급 대책회의 개최
• 12월 1일 – 경찰 수사·국회 긴급 현안질의 예고
  • 서울경찰청 사이버수사대, 본격 수사 착수
  • 국회 과방위·정무위, 12월 2~3일 긴급 현안질의 일정 확정(유출 경위·책임·재발방지 대책 집중 추궁)
• 12월 2일 – 대통령 발언·강경 기조 천명
  • 이재명 대통령, 국무회의에서 “5개월간 몰랐다는 점이 충격적”이라며 기업 개인정보 보호 의무 강화·과징금 상향·징벌적 손배 제도 정비 지시
• 12월 3일 – 개인정보위, ‘노출→유출’ 정정 요구
  • 개인정보보호위원회, 쿠팡에 공지 표현을 ‘유출’로 수정하고 유출 항목 전체를 반영해 재통지하라고 공식 요구
• 12월 7일 – 사과문·공지 재게시 (‘유출’ 표현 명시)
  • 쿠팡, 정부 지적을 반영해 공지 내용 수정
  • “개인정보가 유출되는 사고”라는 표현으로 변경, 2차 피해(피싱·스미싱) 예방 안내 강화
  • 경찰 조사 기준, 유출 정보 활용 2차 피해 의심 사례는 아직 발견 안 됐다고 설명 
• 12월 8일 – 美 집단소송 추진 보도 (연합뉴스TV)
  • 한국 법무법인 대륜의 미국 현지 법인 SJKP, 뉴욕에서 쿠팡 Inc를 상대로 징벌적 손해배상 집단소송 제기 계획 발표 예고
  • 한국과 미국에서 동시에 소송을 추진하겠다는 방침 언급 
• 12월 9일 이후 – 이용자 이탈·시장 영향
  • 일부 통계에서 쿠팡 회원 이탈·앱 이용 감소 조짐, 주가 조정 및 평판 리스크 심화 

 

'쿠팡' 주요 대응

1. 쿠팡의 대응

• 비인가 조회 차단 및 시스템 모니터링 강화 조치
• 서울경찰청 사이버수사대에 고소장 제출, 수사 협조 입장 표명
• 11월 29일 ‘개인정보 노출’ 공지, 이후 정부 요구에 따른 ‘개인정보 유출’ 표현·내용 정정 및 재공지 
• 이름·이메일·주소·전화번호·일부 주문 정보만 유출, 결제·로그인 정보는 제외라는 점 반복 강조
• CEO 박대준 대표 공식 사과문 발표, 데이터 보안 체계 보완·투자 확대 약속 

2. 정부·규제 당국의 대응

• 과기정통부·개인정보위·KISA·경찰·금융당국 등 참여 민관합동조사단 구성
• 사고 원인 분석·재발 방지 대책 수립·제재 수위 검토 작업 착수
• 개인정보위, 공지 표현·유출 항목 재통지 요구, 주민 보호 조치 권고
• 과징금 상향·징벌적 손해배상 범위 확대 등 법·제도 개선 논의 가속화 

3. 국회·정치권의 대응

• 과방위·정무위 긴급 현안질의(12월 2~3일) 개최
  • 쿠팡 대표·CISO(정보보안 책임자) 출석 요구
  • 유출 규모 축소 신고·감시 체계 부실·퇴사자 계정 관리 문제 집중 질의
• 대통령, 개인정보 보호를 ‘디지털·AI 시대 핵심 인프라’로 규정하고 기업 책임 강화 주문

4. 피해자·법무법인·해외 소송 측 대응

• 국내 피해자 모집을 통한 집단소송 준비, 1인당 10만 원 이상 배상 요구 시나리오 거론 
• 한국 법무법인 대륜·미국 현지 법인 SJKP, 뉴욕 연방법원에 쿠팡 Inc 상대로 징벌적 손해배상 소송 계획 발표 예정
  • 한국·미국 양국에서 동시 소송 진행 방침
  • 미국 집단소송 제도를 활용해 더 높은 배상액·기업 책임 묻기 전략 

 

출처

• 연합뉴스TV – 「쿠팡 美본사 상대 집단소송 추진…‘징벌적 손배소송’」 (2025-12-08) 연합뉴스TV
• Reuters – 「South Korea's Lee calls for tougher penalties after Coupang data breach」 (2025-12-02) Reuters
• Reuters – 「South Korean police probe massive data leak at Coupang」 (2025-12-01) Reuters
• 네플라 법률위키 – 「쿠팡 개인정보 3,370만개 유출 사건 정리 (2025년)」 네플라(NEPLA)
• 강원도민일보/다음 – 「국회, 쿠팡 3379만개 개인정보 유출사태 피해 경위 추궁」 다음
• 조선비즈 – 「쿠팡, 8일 만에 노출→유출로 수정 공지…‘2차 피해 없다’ 밝혀」 조선비즈

 

코멘트

영화를 보려고 기다리고 있던 와중에 받았던 개인정보 유출 안내 관련 문자.. 타임라인이 정리된 걸 보고나니 생각보다 수면으로 드러나기까지 시간이 아주 짧았던 건 아니구나 싶긴하다.. 그래도 대부분의 개인정보 유출 이후의 대응들을 보면 아주 옛날에 비교해 대응이 빠른 편이지.. 싶기도 하다.. 

 

참고 링크

https://newsread.tistory.com/70

[정보보안] 이커머스·통신사·은행 개인정보 유출, 뭐가 같고 뭐가 다를까?