청문회 · 경찰수사에
미국 로비 카드까지 —
쿠팡은 어떻게 위기를 돌파하나
2025년 11월 발생한 쿠팡 3,370만 계정 개인정보 유출 사태. 국회 청문회·경찰 수사·범정부 TF·영업정지 위협에 이르기까지, 쿠팡이 맞닥뜨린 위기는 유례없이 거셌습니다. 그리고 쿠팡은 한국 기업이 아닌 미국 상장사라는 카드를 꺼내 들었습니다.
(활성 고객 수 초과)
(2025.6~11)
(공개 보도)
징벌적 과징금
사태의 전말 — 퇴사자의 JWT 키 탈취에서 3,370만 계정 유출까지
2025년 11월 쿠팡에서 발생한 대규모 개인정보 유출 사태는 외부 해킹이 아닌 내부자 위협(Insider Threat)에 의한 사고였습니다. 2025년 6월 24일, 퇴사한 중국인 전직 직원이 재직 당시 탈취한 를 이용해 쿠팡 서버에 몰래 접근하기 시작했습니다. 이후 5개월간 고객 이름·주소·전화번호·이메일·주문 정보 등이 무제한으로 조회됐습니다. 그러나 쿠팡 내부 보안팀은 이를 즉시 감지하지 못했습니다.
이번 사태는 단순 외부 해킹이 아닌 퇴사자에 의한 내부자 위협이었습니다. 퇴사 당시 접근 권한 회수 절차의 허점, 5개월간 탐지 실패, 초기 4,500건 신고 후 3,370만건으로 75,000배 이상 확대된 것은 쿠팡의 보안 체계와 위기 소통 방식 모두에 심각한 문제가 있음을 드러냈습니다.
국회 청문회 — "한국어를 몰라서" 동문서답과 김범석의 불출석
2025년 12월, 국회 과학기술정보방송통신위원회는 쿠팡 침해사고 관련 청문회를 열었습니다. 그런데 쿠팡은 사태에 근본적 책임이 있는 김범석 창업자·이사회 의장 대신 해롤드 로저스 임시 대표를 출석시켰습니다. 청문회는 통역사가 의원들의 질문과 외국인 임원들의 답변을 교차 통역하는 방식으로 진행됐습니다.
"죄송합니다만 무슨 말씀이신지 모르겠습니다. 직원의 로그키라고 하는 게 어떤 개념인지 잘 모르겠습니다."
"현재 PPT 화면에 나온 규정과 관련해 물으시는 거라면 제가 한국어를 몰라서 어떤 내용인지 알지 못합니다."
"미국에서는 법 위반이 아닙니다."
— JTBC 뉴스룸 보도, 쿠팡 해롤드 로저스 임시 대표 청문회 발언
"시작부터 한국어 전혀 못 해… 청문회 내내 동문서답"이라는 비판이 쏟아졌습니다. 최민희 과방위원장은 "김 의장이 청문회에 불출석한 채 실권이 없는 외국인 대표를 내세워 청문회를 방해한 것은 결코 용납될 수 없다"고 강하게 비판했습니다. 특히 "미국에서는 법 위반이 아니다"라는 발언은 JTBC 뉴스룸 팩트체크에서 즉각 반박당했고, 국민 감정을 자극했습니다.
더불어민주당은 12월 22일, 국회 5개 상임위원회 공동 연석청문회를 30~31일 이틀에 걸쳐 실시하겠다고 발표하며 영업정지 처분 가능성까지 언급하며 압박 수위를 높였습니다.
범정부 전방위 압박 — 영업정지·과징금·국세청·경찰 총동원
2025년 12월 29일, 정부는 배경훈 과학기술 부총리 주재로 '쿠팡 사태 범정부TF'를 구성했습니다. 이 TF에는 과기정통부·개인정보위·경찰청·고용부·공정위·국세청·국토부· 국정원·금융위·방미통위·외교부·중기부 등 12개 부처가 참여했습니다. 한 민간 기업을 대상으로 이 규모의 범정부 조직이 구성된 것은 사실상 전례 없는 일입니다.
| 부처·기관 | 쿠팡에 대한 조사·제재 내용 |
|---|---|
| 과기정통부 | 사고 원인 및 보안 문제점 조사, 범정부TF 주관 |
| 개인정보보호위원회 | 유출 규모·범위, 개인정보보호법 위반 여부 조사 |
| 경찰청 사이버수사대 | 압수물 분석, 국제 공조 통한 피의자 검거 수사 |
| 공정거래위원회 | 영업정지 여부 판단, 복잡한 탈퇴 절차 전자상거래법 위반 조사 |
| 금융위원회 | 부정결제 가능성, 고금리 대출 관행 조사 |
| 국세청 | 조세 관련 조사 참여 |
| 금융감독원 | 보이스피싱·스미싱 피해사례 확인 → 소비자경보 '주의'→'경고' 상향 |
쿠팡 사태는 법 개정의 직접적 계기가 됐습니다. 2026년 2월, 국회는 개인정보보호법 개정안을 통과시켰습니다. 징벌적 과징금 매출액 최대 10% 부과, CEO·CPO 개인 책임 강화, 유출 가능성 단계에서도 통지 의무 발생 등이 핵심입니다. 2026년 9월 시행 예정입니다.
쿠팡의 위기 대응 전략 — 무엇이 통하고 무엇이 역효과를 냈나
4,500건으로 신고 후 3,370만건으로 확대 공개. "유출"을 "노출"로 표현. 불신만 키운 역효과 전략.
공식 입장을 주로 휴일 또는 주말에 발표해 언론 노출 최소화 시도. 의도가 드러나 역효과.
김범석 의장 대신 해롤드 로저스 임시 대표 출석. "동문서답"으로 오히려 국민 감정 자극.
12월 28일, 한 달 만에 첫 공식 사과문. "보안 조치를 전면 쇄신하겠다"고 약속. 타이밍이 늦었다는 평가.
유출자 기기 회수, 고객정보 저장 3,000건으로 제한 확인 등 협조 제스처. 그러나 자체조사 논란 동시 발생.
약 165억원 규모 대미 로비. 백악관·미 부통령까지 포함. 한국 정부의 규제를 통상 문제로 국제화한 핵심 카드.
쿠팡의 위기 대응에서 가장 논란이 된 특징은 국내 여론 관리보다 국제화 전략에 비중을 뒀다는 점입니다. 국내 소비자와의 신뢰 회복보다 미국 정부를 통한 압력 차단에 더 많은 자원을 투입했다는 평가가 지배적입니다. 한국 내 법적·정치적 압박을 한미 통상 문제로 치환하는 전략입니다.
미국 로비 카드 — 단순 보안 사고가 한미 통상 갈등으로 번지다
2026년 4월, MBC 보도를 통해 충격적인 사실이 확인됐습니다. 쿠팡이 개인정보 유출 사태 이후 미국 연방 로비공개법 보고서에 따르면 백악관을 포함한 미국 정관계를 상대로 약 1,100만 달러(약 165억원) 규모의 집중적인 로비 활동을 벌인 것으로 확인됐습니다. 미국 부통령까지 포함된 로비 대상 리스트는 이 사태가 단순한 기업 위기 관리를 넘어 국가 간 외교·통상 문제로 격상됐음을 보여줍니다.
미국 측은 이 로비를 통해 다음과 같은 논리를 전개했습니다. "한국 정부가 '민감도가 낮은' 정보 유출 사건을 구실로 범정부적 공격을 가했다"는 것입니다. 미국 의회는 "미국 상장사에 대한 부당 차별"이라며 한국에 보복 관세 경고까지 언급했고, 한미 FTA 재협상론까지 불거질 수 있다는 우려가 나왔습니다. 쿠팡 창업자 김범석 의장의 법적 처벌과 온라인 플랫폼 규제 법안까지 미국 측이 문제 삼으면서, 한국 정부는 규제 주권과 한미 통상 관계 사이에서 딜레마에 놓이게 됐습니다.
| 쟁점 | 한국 정부 입장 | 미국 측 입장 (쿠팡 로비 논리) |
|---|---|---|
| 사태의 성격 | 3,370만 계정 유출, 국민 신뢰 훼손 중대 사회적 위기 | "민감도 낮은 정보 유출, 과도한 규제" |
| 범정부 TF | 12개 부처 합동 조사, 당연한 행정 대응 | "미국 상장사에 대한 범정부적 공격" |
| 영업정지 위협 | 법 위반 시 정상적인 행정 제재 | 보복 관세 경고, 통상 압박 카드 사용 |
| 온플법 논의 | 플랫폼 규제 강화는 국내 정책 사안 | 미국 기업 차별로 FTA 위반 소지 주장 |
| 김범석 의장 처벌 | 법 위반에 따른 개인 책임 적용 | 미국 시민권자 법적 처벌 문제 삼음 |
전문가들은 이번 사태가 쿠팡이 그동안 강조해온 '한국 기업'이라는 프레임의 한계를 드러냈다고 분석합니다. 평상시에는 "한국의 이커머스"를 강조하며 국내 소비자와 정부의 신뢰를 받았지만, 위기가 닥치자 한국 정부를 압박하는 방식을 택했기 때문입니다. 이는 국내 소비자와 정치권 모두에서 강한 반발을 불러왔습니다.
한편, 개인정보 피해를 입은 한국 소비자들이 뉴욕 연방법원에 집단소송을 제기하며 사상 초유의 '역외 사법전'이 시작됐습니다. 쿠팡이 미국 상장사 지위를 방패로 삼은 것이 오히려 미국 법원의 관할권을 인정하는 결과로 이어진 아이러니한 상황입니다.
현재 상황과 앞으로의 전망 — 위기는 끝났는가
놀라운 사실은, 3,370만 계정 유출이라는 초유의 사태에도 불구하고 쿠팡의 MAU는 크게 흔들리지 않았다는 점입니다. 2025년 11월 3,442만명, 12월 3,485만명, 2026년 1월 3,401만명으로 사실상 이탈 없이 유지됐습니다. 로켓배송에 익숙해진 소비자들이 불안감을 느끼면서도 플랫폼을 떠나지 못하는 이 확인된 것입니다.
반면 이 기간 동안 네이버플러스 스토어 신규 설치 수가 급증하며 쿠팡에 대한 불안감이 경쟁 플랫폼의 반사이익으로 이어졌습니다. 단기적으로는 쿠팡이 MAU를 지켰지만, 장기적인 신뢰 하락은 점진적으로 나타날 수 있다는 우려가 남아 있습니다.
| 변수 | 내용 | 쿠팡 영향 |
|---|---|---|
| 개보법 개정 시행 (2026.09) | 징벌적 과징금 매출 최대 10%, CEO 개인 책임 | 과징금 수천억~수조원 가능성 |
| 한미 통상 협의 | 미국의 통상 압박과 한국 정부의 규제 주권 충돌 | 단기 규제 완화 가능성 vs 주권 훼손 논란 |
| 뉴욕 집단소송 결과 | 한국 피해자들의 미국 법원 소송 진행 | 대규모 배상금 리스크 |
| 온라인플랫폼법 재추진 | 쿠팡 사태를 계기로 온플법 처리 동력 확보 | 플랫폼 전반 규제 강화 |
| 김범석 의장 법적 책임 | 경찰 수사 및 개보법 개정에 따른 개인 처벌 | 경영 불확실성 지속 |
쿠팡이 이번 위기를 "돌파"했는가에 대한 답은 아직 'No'입니다. MAU는 지켰지만 신뢰는 잃었고, 한미 로비 전략은 단기적으로 규제 압박을 분산시키는 효과가 있었지만 "위기 때는 미국을 등에 업는 회사"라는 인식을 남겼습니다. 쿠팡이 이번 사태를 진정으로 극복하려면 로비 카드가 아닌 보안 투자와 소비자 신뢰 회복이라는 본질적 과제를 해결해야 합니다. 김범석 의장이 사과문에서 밝힌 "세계 최고 수준의 사이버 보안 체계 구축"이 말이 아닌 실제 행동으로 이어지는가가 쿠팡의 진짜 위기 극복의 척도가 될 것입니다.
쿠팡 관련 심층 분석 더 보기
쿠팡의 성장 전략, 이커머스 시장 변화, 개인정보 보호 등
한국 유통 생태계 전체를 조망하는 글들을 확인해 보세요.
유출 계정이 3,370만개로 쿠팡 활성 고객 수(2,470만명)를 초과했기 때문에, 쿠팡을 이용한 이력이 있다면 유출 가능성이 높습니다. 쿠팡 앱 또는 공식 홈페이지의 개인정보 침해 신고 접수 페이지에서 확인 가능하며, 즉시 비밀번호를 변경하고 타 사이트와 동일 비밀번호 사용을 중단하세요. 피해 신고는 개인정보보호위원회(privacy.go.kr)에도 가능합니다.
법적으로는 가능하지만 현실적으로 쉽지 않다는 분석이 지배적입니다. 공정위가 영업정지 여부를 판단할 수 있으나, 쿠팡의 경제적 규모와 소비자 의존도를 고려할 때 전면 영업정지는 소비자 피해를 야기하는 모순이 생깁니다. 영업정지보다는 과징금·시정명령 형태의 제재가 더 현실적 선택지로 논의되고 있습니다.
단기적으로는 한국 정부의 규제 속도를 늦추는 효과가 있을 수 있습니다. 미국이 통상 압박 카드를 사용하면 한국 정부가 외교적 부담을 느낄 수 있기 때문입니다. 그러나 장기적으로는 국내 여론 악화와 정치권의 반발이 오히려 강화되는 역효과를 낳을 위험도 있습니다. 통상 전문가들은 이번 사태가 쉽게 가라앉지 않을 것으로 전망합니다.
쿠팡 측에 따르면 유출된 정보는 이름·이메일·전화번호·주소 등이며, 결제정보·신용카드 번호·로그인 비밀번호는 노출되지 않았다고 밝혔습니다. 다만 개인정보를 이용한 보이스피싱·스미싱이 실제로 발생했으므로, 쿠팡 사칭 전화나 문자에 각별히 주의하세요. 비밀번호 변경, 2단계 인증 설정, 개인 계정 모니터링이 권장됩니다.
2026년 2월 통과된 개인정보보호법 개정안(2026년 9월 시행 예정)에 따르면 매출액의 최대 10%까지 징벌적 과징금 부과가 가능합니다. 쿠팡의 연매출이 40조원 이상임을 감안하면 이론적으로는 수조원 규모도 가능합니다. 다만 실제 과징금 규모는 위반 행위의 정도, 협조 여부, 보안 개선 노력 등을 종합적으로 고려해 결정될 전망입니다.
댓글 쓰기