🔥 쿠팡, 33만 명 데이터 유출에 4천억 원 벌금… 사태 전말은?

원본 기사:  South Korea Hits E-Commerce Giant With Record $409 Million Fine Over Data Leak O  |  International Business Times

📌 핵심 요약

쿠팡은 사고 이후 취한 조치와 당국에 제공한 설명이 규제당국의 결정에 충분히 반영되지 않았다고 유감을 표했다.

Coupang said it regretted that measures it had taken following the incident and explanations it provided to authorities were not sufficiently reflected in the regulator's decision.

한국 당국은 3,300만 명이 넘는 고객의 개인정보가 유출된 대규모 데이터 침해 사건을 이유로 쿠팡에 사상 최대 규모인 4억 8천만 달러(한화 약 5천억 원) 벌금을 부과했다.

South Korean authorities have imposed a record $408 million fine on e-commerce giant Coupang after concluding that a massive data breach exposed the personal information of more than 33 million customers.

데이터 유출 사건 개요

이번 사건은 쿠팡 내부 직원이 보안 키를 탈취해 고객 계정에 무단 접근함으로써 33백만 명 이상의 개인정보가 외부에 유출된 것으로 밝혀졌다. 해당 직원은 중국 국적으로 확인됐으며, 보안 키를 이용해 고객 이름, 주소, 전화번호 등 기본적인 식별 정보를 대량으로 추출했다. 이 과정에서 외부 해킹 그룹이 개입했다는 증거는 발견되지 않았으며, 주된 원인은 내부 보안 관리 체계의 부실이었다. 사건 발생 직후 쿠팡은 내부 조사와 함께 외부 전문가에게 데이터 복구 및 보안 강화 방안을 의뢰했지만, 72시간 이내에 당국에 통보하지 않아 법적 제재를 받게 되었다. 데이터 유출 사실이 알려지면서 피해 고객들은 신용카드 부정 사용 및 스팸 문자 등 2차 피해 위험에 노출될 수 있었으며, 이에 대한 사전 대응이 어려웠다.

규제당국의 조사와 벌금 결정

개인정보보호위원회(PIPC)는 이번 사안을 ‘국내 사상 최대 개인정보 침해 사건’으로 규정하고, 쿠팡에게 4억 8천만 달러(한화 약 5천억 원)의 벌금을 부과했다. 위원회는 쿠팡이 고객 정보를 보호하기 위한 기술적·관리적 조치를 충분히 이행하지 않았으며, 법정에 명시된 72시간 통보 의무를 위반했다고 지적했다. 특히, 쿠팡이 데이터 보안 시스템을 최신화하지 않은 채 기존 인프라에 의존한 점을 ‘안전조치 미비’로 판단했다. PIPC 위원장 송경희는 브리핑에서 “이번 사고는 정교한 외부 해킹이 아니라 쿠팡 자체의 안전조치 부재가 원인”이라며, “지연된 신고는 피해자들이 신속히 대응할 기회를 박탈했다”고 강조했다. 이번 벌금은 2025년 통신사에 부과된 8천8백만 달러 벌금보다도 크게 상회하는 규모다.

쿠팡의 입장과 향후 대응

쿠팡은 벌금 발표 직후 공식 사과문을 발표했지만, 조사 결과 일부는 사실과 다르다고 주장했다. 회사는 “사고 이후 취한 조치와 당국에 제공한 설명이 충분히 반영되지 않았다”고 재차 강조했으며, 법적 절차를 통해 벌금에 이의를 제기할 계획이라고 밝혔다. 또한, 쿠팡은 이번 사태를 계기로 보안 인프라 전면 재점검과 데이터 접근 권한 관리 체계 강화를 약속했다. 그러나 투자자들은 이번 사건이 쿠팡의 브랜드 신뢰도와 해외 투자 유치에 부정적 영향을 미칠 수 있다고 우려하고 있다. 현재 쿠팡은 법무팀과 외부 컨설팅 회사를 통해 항소 전략을 수립 중이며, 향후 규제기관과의 협의 과정에서도 적극적인 방어 자세를 유지할 것으로 보인다.

한국 데이터 보호 규제와 국제적 파장

이번 사건은 한국의 개인정보보호법이 기업 규모와 관계없이 엄격히 적용된 사례로, 국내 기업뿐 아니라 해외에 상장된 기업에도 동일한 기준이 적용됨을 보여준다. 특히, 쿠팡처럼 미국 증시에 상장된 기업이 한국에서 거대한 시장 점유율을 가지고 있기 때문에, 규제당국은 ‘사회적 책임’이라는 관점에서 보다 강도 높은 감시를 진행한다. 이번 벌금 부과는 미국 의회에서도 주목받아, 한국의 데이터 보호 정책이 미국 기업에 미치는 영향과 양국 간 규제 협력 방안에 대한 논의를 촉발시켰다. 일부 미국 보수당 의원은 “한국이 외국 기업에 차별적 조치를 취하고 있다”고 비판했으며, 이에 대해 한국 국회의원들은 ‘외부 압력에 굴복하지 않겠다’는 공동 성명을 발표했다. 이러한 외교적 마찰은 향후 한·미 디지털 무역 협정에 영향을 미칠 가능성이 높으며, 양국 모두 데이터 보안 표준을 명확히 정의하고 상호 검증 체계를 구축하는 방향으로 논의가 진행될 전망이다.