한국의 전자상거래 거대 기업 쿠팡이 3,370만 명의 고객 개인정보 유출로 큰 충격을 주고 있다. 전 중국계 직원이 주요 용의자로 지목된 가운데, 외국인 고용 제도의 허점과 보안 취약점이 드러나고 있다. 미국에서 집단 소송 신청자가 2,300명을 넘어섰으며, 이재명 대통령은 개인정보 유출에 대한 처벌 강화 방안을 촉구했다.
쿠팡은 2025년 11월 29일 3,370만 명의 고객 계정 개인정보가 유출됐다고 확인했다. 이는 초기 보고된 4,500개 계정보다 훨씬 많으며, 한국 인구의 약 3분의 2에 해당한다. 유출된 정보에는 이름, 전화번호, 이메일 주소, 배송 주소가 포함되지만 결제 정보와 로그인 자격 증명은 영향을 받지 않았다. 공격은 6월부터 11월까지 지속된 것으로 알려졌다.
경찰 수사에서 전 중국계 개발자가 주요 용의자로 지목됐다. 이 직원은 입사 2년 만에 중요한 보안 시스템에 접근할 수 있었으며, 이는 보안 의식 높은 기업 환경에서 이례적이라는 업계 관계자 평가다. 쿠팡은 미국 본사 소재 외국인 투자 기업으로 분류돼 E-7 비자 외에 D-7, D-8 비자를 통해 외국인을 더 쉽게 고용할 수 있다. 한국 내 약 1,000명(전체 직원의 10%)이 외국인이며, 해외 직원은 3,000명 이상이다. 이러한 유연한 고용 구조와 원격 근무가 보안 취약점을 키웠다는 우려가 제기되고 있다.
미국 뉴욕 남부 지방법원에 제기될 집단 소송에는 2,346명이 신청했으며, 주로 한국계 미국 시민과 한국 거주 소비자들이다. SJKP LLP는 쿠팡의 기업 지배구조 실패와 공시 의무 위반을 문제 삼아 보상과 진상 규명을 요구할 계획이다. 국내 소송과 별도로 진행된다.
이재명 대통령은 12월 12일 개인정보 보호위원회 브리핑에서 유출 반복을 막기 위해 벌금을 3년 평균 매출의 3%에서 최고 연도 매출 기준으로 강화할 것을 제안했다. 위원회는 중대 유출 시 10%까지 상향 검토 중이다. 쿠팡의 3분기 활성 사용자 2,470만 명을 고려할 때 거의 전체 이용자가 피해를 입었을 가능성이 크다.
