쿠팡에서 발생한 개인정보 유출 사고는 단일 전자상거래 플랫폼에서 벌어진 사건으로는 유례를 찾기 어려운 규모다. 회사가 국회와 당국에 보고한 내용에 따르면 2025년 6월 24일부터 11월 8일까지 약 5개월 동안 3천370만 건의 고객 정보가 무단으로 조회됐다. 한국 성인 인구를 감안하면 사실상 쿠팡을 이용하는 거의 모든 고객의 정보가 노출됐다고 해도 과언이 없다. 여기에 가족·친지·지인 등 대신 물건을 배송받는 관행까지 감안하면, 범위를 ‘전 국민 정보 유출’에 가깝다고 봐도 무리가 없다는 지적이 나온다.
유출된 정보는 결제 정보나 비밀번호가 아니라 배송 관련 정보가 중심이다. 고객 이름, 이메일 주소, 휴대전화번호, 배송지 주소와 일부 공동현관 비밀번호, 과거 주문 및 배송 이력 등이 포함됐다. 표면적으로는 금융정보가 빠져 있다는 점을 강조할 수 있지만, 실제 위험은 다르다. 이 정도 수준의 정보만으로도 개인의 생활 패턴과 경제 수준, 가족 구성, 자주 이용하는 상품과 서비스가 충분히 추정 가능하기 때문이다.
국회에서는 계정당 평균 5개 이상 항목이 조회된 점을 근거로 단순 합산 시 1억5천만 건이 넘는 개인정보가 노출된 것이라는 분석도 제기됐다. 이번 사건이 쿠팡의 네 번째 정보 유출이라는 점, 과거 유사 사고에 대해 부과된 과징금이 10억 원대에 그쳤다는 점까지 감안하면, 기업의 내부 경각심이 구조적으로 낮았던 것이 아니냐는 비판이 뒤따른다.
사고 공지 SMS가 스미싱 템플릿이 된 이유
이 사건이 더 큰 파장을 낳고 있는 이유는, 사고 이후의 대응 방식이 2차 피해를 오히려 키우는 구조를 만들었기 때문이다. 쿠팡은 유출 사실을 알리고 피해 최소화 조치를 안내하기 위해 고객에게 문자메시지(SMS)를 발송했다. 여기에는 회사 안내 페이지로 연결되는 웹사이트 주소(URL)가 포함됐다.
문자에 URL을 포함한 것 자체는 처음 생긴 관행이 아니다. 쿠팡은 그동안도 배송 조회, 환불 처리, 보안 강화 안내 등의 명목으로 URL이 들어간 문자를 상시 발송해왔다. 문제는 이런 관행이 반복되면서 많은 고객에게 “쿠팡에서 오는 문자에는 링크가 붙어 있는 것이 정상”이라는 인식을 굳혀왔다는 점이다.
바로 이 지점이 범죄조직에게는 절호의 기회가 됐다. 스미싱 조직은 쿠팡이 실제로 보내는 배송 알림, 환불 안내, 보안 공지의 문구와 형식을 거의 그대로 모방한다. 발신자 명칭과 메시지 구성, 링크가 들어가는 위치까지 동일하게 따라 하고, 링크 주소만 악성 페이지로 바꿔 끼운다. 고객 입장에서는 평소에 보던 쿠팡 문자 형식과 동일하기 때문에, 이를 피싱 메시지로 의심하기가 극도로 어렵다.
결과적으로 쿠팡이 사고 이후 발송한 공지 문자와, 이를 모방한 스미싱 문자 사이의 경계는 고객 눈높이에서는 사실상 사라졌다. 사고 공지를 위한 문자 발송이 오히려 범죄조직에게는 훨씬 더 정교한 사칭 템플릿을 제공한 셈이다.
배송 지연·카드 발급·2단계 인증까지 모방된 공격 패턴
경찰청 전기통신금융사기 통합대응단에 접수되고 있는 사례를 보면, 쿠팡 개인정보 유출 사태를 정조준한 스미싱 유형은 점점 더 정교해지고 있다. 공통점은 모두 “쿠팡 고객이 일반적으로 받을 법한 정상 알림”의 외형을 갖췄다는 점이다.
첫째 유형은 배송 지연과 주소 오류를 사칭하는 방식이다. “배송이 지연되고 있다”거나 “배송 주소가 잘못되어 있다”는 메시지를 보내고, 문제 해결을 위해 링크에 접속해 주소를 수정하라고 유도한다. 고객이 링크를 누르면 가짜 로그인 페이지나 악성 앱 설치 페이지로 연결되고, 이 과정에서 계정 정보 탈취나 악성 앱 감염이 이뤄진다.
둘째 유형은 신용카드 발급과 결제 알림을 결합한 수법이다. “본인 명의로 신용카드가 발급됐다”, “쿠팡에서만 사용하던 카드에 결제 시도가 발생했다”는 식으로 위기감을 조성한 뒤, 쿠팡 개인정보 유출을 직접 언급하며 “정보가 털린 탓에 신청하지 않은 카드가 발급될 수 있다”고 겁을 준다. 이어서 문자에 적힌 가짜 고객센터 번호로 전화를 걸도록 유도하고, 상담을 가장해 악성 앱 감염 여부를 점검한다며 원격제어 앱 설치를 요구한다.
셋째 유형은 2단계 인증, 이른바 더블 탭을 악용하는 경우다. 쿠팡이 보안을 강화한다는 명목으로 2단계 인증을 도입·확대하자, 범죄조직은 이를 그대로 모방해 “보안을 위해 2단계 인증을 완료해 달라”는 메시지를 보낸다. 고객은 실제 보안 강화 조치와 혼동해 인증번호를 알려주거나, 링크를 통해 인증 절차를 진행하다가 계정권을 탈취당할 수 있다.
이처럼 쿠팡이 정상적으로 운영해오던 알림 체계와, 사고 이후 덧붙인 보안 강화 조치가 모두 범죄조직의 공격 시나리오 속으로 흡수되면서, 이용자 입장에서 정상 메시지와 피싱 메시지를 구분하는 일은 사실상 불가능에 가까운 수준까지 밀려난 상황이다.
SMS에 URL을 넣는 관행 자체가 가진 구조적 취약성
이번 사태가 던지는 정책적 메시지는 분명하다. 쿠팡이 스미싱 범죄의 직접 가해자는 아니지만, 공식 고객 안내 문자에 URL을 포함시키는 것 자체가 구조적 취약성으로 작동했다는 점이다.
고객이 “쿠팡에서 온 문자에는 링크가 들어 있다”고 학습했다. 반대로 말하면, 링크가 없는 문자보다 링크가 있는 문자가 오히려 더 신뢰의 신호처럼 받아들여지기까지 한 것이다. 이는 보안 원칙 관점에서 보면 전형적인 역행 구조다. 원래는 링크가 포함된 메시지를 더 조심해야 하지만, 실제 서비스 경험은 그 반대 방향으로 이용자를 길들여 왔다.
스미싱 조직은 이 학습된 패턴을 그대로 따라 하면 된다. 발신자 정보와 메시지 형식을 쿠팡과 비슷하게 설정하고, “배송 지연”, “환불 처리”, “보안 강화”와 같은 고객이 익숙한 표현을 그대로 쓴다. 이는 고객이 의심 없이 링크를 클릭하도록 유도하는 것이다.
이제 문제는 “쿠팡에서 보낸 문자와 범죄조직이 보낸 문자를 어떻게 구별할 것인가”가 아니라, “공식 문자 자체를 공격 템플릿으로 제공하는 구조를 언제까지 용인할 것인가”로 이동했다. URL이 포함된 공식 SMS를 계속 허용하는 한, 아무리 스미싱 방지 캠페인을 벌여도 이용자 혼란을 근본적으로 줄이기는 어렵다.
쿠팡의 대응과 향후 제재 가능성
쿠팡은 사고 이후 정보 유출 사실을 인정하고, 조사 결과를 단계적으로 공개했다. 스미싱 피해 확산 우려와 관련해서도 회사는 공식 채널을 통해 “쿠팡은 원격제어 앱 설치를 요구하지 않는다”는 점을 거듭 안내하고 있다.
그러나 사건의 규모와 파급력을 감안하면, 이는 어디까지나 사후 대응 수준에 머문다. 개인정보보호법상 최대 한도인 연 매출 3퍼센트 수준의 과징금 부과 가능성이 거론되고 있고, 징벌적 손해배상 제도를 적용할 경우 최대 5배까지 손해액을 산정할 수 있다는 지적도 나온다. 피해자들이 제기한 집단소송에서는 1인당 20만 원의 위자료가 청구되고 있다.
특히 이번이 쿠팡의 네 번째 정보 유출 사례라는 점, 직전 사고 때 부과된 과징금이 10억 원대에 그쳤다는 점은 이번 제재 수위에 직접적인 영향을 줄 가능성이 높다. 과거의 낮은 과징금이 사실상 기업의 투자 우선순위에서 보안을 밀어낸 요인으로 작용했다는 비판이 제기될 수 있기 때문이다.
다.
편의 중심 SMS 관행을 바꾸지 않으면 2차 피해는 반복된다
쿠팡 정보 유출 사건은 규모만 놓고 봐도 전례 없는 사고지만, 더 큰 문제는 이 사고가 드러낸 구조적 취약성이다. 한 전직 개발자의 토큰 악용과 내부 통제 실패가 3천370만 명의 개인정보 유출로 이어졌고, 사고 이후 이를 알리기 위해 보낸 SMS 공지가 스미싱 범죄의 정교한 템플릿으로 재활용 될 수도 있다.
이번 사건을 계기로 우리가 확인한 것은 단순하다. “쿠팡에서 온 문자니까 안심하고 링크를 눌러도 된다”는 인식이 유지되는 한, 그리고 대형 플랫폼이 URL이 포함된 문자를 발송하는 관행을 버리지 않는 한, 2차 피해는 언제든지 반복될 수 있다.
이제 필요한 것은 일회성 사과나 경고 문자가 아니라, 편의와 비용 절감에 맞춰진 SMS 중심 서비스 모델을 근본부터 재설계하는 일이다. 링크를 포함한 문자는 예외적 상황으로 줄이고, 이용자는 문자에 포함된 모든 링크를 원칙적으로 의심하는 문화를 갖추어야 한다. 쿠팡 사태가 단지 “큰 사고가 있었던 전례”로 끝나지 않고, 한국 디지털 서비스 환경 전반의 보안 수준을 한 단계 끌어올리는 계기가 될 수 있을지 여부는, 이 구조적 과제를 얼마나 진지하게 다루느냐에 달려 있다.
