개인정보 유출의 해 2025년. 문 앞까지 털렸다 쿠팡 3,370만 유출 이후

한 해 동안 유난히 많이 새었습니다.
통신사, 카드사, 유통, 바이오까지… 곳곳에서 개인정보가 흘러나왔고,
그때마다 사람들은 “무슨 정보가 새었나”보다 “회사는 어떻게 대응했나”를 먼저 물었습니다.

그리고 이번엔 쿠팡, 생활의 가장 깊은 자리까지 닿아 있던 서비스에서 3천만 명이 넘는 정보가 한꺼번에 열렸습니다.
이제 필요합니다,
다른 기업들은 어떻게 버텼는지,
무엇이 신뢰를 지켰고 무엇이 무너뜨렸는지,
차분히 비교해보겠습니다. 

여기서는 “올해 2025년 실제로 크게 이슈가 된 것” 위주로 보겠습니다.

{getToc} $title={목차}

SK텔레콤 유심 해킹·개인정보 유출 사건

• 사건 개요
  • 일자: 해킹은 수년간 지속, 2025년 4월 18일 해킹 사실 인지·공표.
  • 내용: SKT 전산망 해킹으로 가입자 유심 관련 정보, 가입자 정보 등이 대규모로 유출. 정확한 피해 규모 파악이 지연되면서 사회적 비판이 상당했음.
  • 결과: 개인정보 보호 위반으로 과징금이 역대 최대 규모가 될 것이라는 분석이 나왔고, 실제 피해자에 대한 손해배상 기준도 논의됨.
• SKT의 대응
  1. 기술·서비스 측
     • 유심 무료 교체 서비스 시행. 다만 물량 부족과 대기 행렬로 “대응이 너무 느리고 부족하다”는 비판.
     • 금융권 상당수가 SKT 기반 본인인증을 일시 중단.
  2. 고객 보상
     • 한국소비자원·개인정보분쟁조정위 등을 통한 집단 분쟁조정이 진행됐고, 분쟁조정위는 피해자 1인당 30만 원 배상 안을 제시.
     • SKT는 위약금 면제, 8월 통신요금 50% 할인 등 추가적인 보상·편익도 발표.
  3. 평판·규제 측면
     • “3년 넘게 침입을 모르고 있었다”는 점, 초기 설명 부실이 치명타.
     • 개보위가 법정 최대치에 가까운 과징금·과태료, 제도개선 명령을 예고하며 강하게 압박.

⇀ 포인트:

• “피해 인지·공표 시점이 늦고, 정확한 피해 규모를 제때 못 내놨다”는 점에서 신뢰 회복에 실패한 사례로 많이 언급됩니다.
• 다만 고객 보상 수준(요금 할인, 위약금 면제, 분쟁조정 30만 원)은 상당히 높게 형성되어, 이후 다른 사건들의 사실상 기준점이 되고 있습니다.

{inAds}

GS리테일(GS25·GS샵) 연속 유출 사건

• 사건 개요
  1. 1차 – GS25 편의점 홈페이지 (2024.12~2025.1)
     • 다크웹 등에서 가져온 아이디·비밀번호를 무차별 대입하는 크리덴셜 스터핑 공격으로 약 9만 명 회원 정보 유출.
     • 이름, 성별, 생년월일, 연락처, 주소, ID, 이메일 등 다수 항목.
  2. 2차 – GS샵 홈쇼핑 (2024.6~2025.2)
     • 같은 유형의 공격으로 1년 가까이 유출 정황, 158만 건 개인정보 유출 추정.
     • 결혼 여부, 결혼기념일, 개인통관고유번호 등까지 포함된 민감도 높은 데이터.
• GS리테일의 대응
  1. 기술 조치
     • 공격 IP·패턴 즉시 차단, 로그인 잠금 처리, 로그인 시 본인확인 절차 강화, 비밀번호 변경 안내 전송.
  2. 조직·정책
     • 최고경영진이 참여하는 정보보호대책위원회 발족, 상설화.
     • 정보보호 투자 확대, 시스템 고도화, 보안 전문 인력 강화 등을 대외적으로 약속.
  3. 커뮤니케이션
     • 사고 인지 직후 고객에게 통지문 발송, “숨기지 않았다”는 점을 강조.
• 규제·소송
  • 개보위 조사 중이며, 3년 내 반복 위반 시 과징금 가중(기준금액 15% 추가) 규정에 따라 가중 제재 1호 사례 후보로 언급됨.
  • 피해자 측에서는 1인당 10만~30만 원 수준 위자료를 목표로 집단소송 움직임.

⇀ 포인트:

• 공격은 비교적 “고전적인 방식(크리덴셜 스터핑)”이었고,
• 사고 이후의 커뮤니케이션·조직 개편은 비교적 빠르게 움직인 편입니다.
• 다만 연속 사고 + 민감한 데이터(통관번호 등)라는 점 때문에 제재는 상당히 강해질 가능성이 높습니다.

롯데카드 대규모 정보 유출

• 사건 개요
  • 2025년 9월, 온라인 결제 서버(WAS) 침해로 총 약 200GB, 고객 297만 명의 정보 유출 공식 확인.
  • 일부 데이터는 카드번호·CVC 등 “평문 카드정보까지 포함됐다”는 보도도 있음.
• 롯데카드의 대응
  1. 대국민 사과
     • 대표이사가 직접 대국민 사과, “보안 관리 미흡, 모든 책임은 회사에 있다”는 취지 명시.
  2. 피해 보상
     • 관련 피해 및 2차 피해를 “전액 보상”하겠다고 선언.
  3. 조사·제도
     • 관계기관, 외부 전문조사 업체와 합동 조사 중이라고 공개.
• 규제·소송
  • 매출의 3% 내 과징금을 부과할 수 있는 개보법 규정에 따라, 최대 800억대 과징금 가능성까지 거론.
  • 피해자 집단소송에서, 장기간 취약점 방치·국제 보안 표준 미준수·사고 후 대응 부적절성 등이 논점으로 제기.

⇀ 포인트:

• “해킹 + 신용카드사 + 평문 카드정보”라는 조합이라, 규제·소송 강도가 매우 높은 케이스.
• 대신 대응 초기부터 전액 보상을 선제적으로 선언한 점이 SKT·쿠팡과 대비되는 지점입니다.

{inAds}

삼성바이오로직스 임직원 개인정보 내부 노출

• 사건 개요
  • 2025년 11월, 임직원 5천여 명의 주민등록번호, 연봉, 인사평가 등 민감 정보가 사내망 공용 폴더에 노출.
  • 권한 없는 직원들도 열람 가능했고, 일부는 자료를 별도 저장했다는 보도.
  • 노조는 “노조 활동 감시용 문건까지 포함됐다”며 강하게 반발.
• 회사 대응
  • 대표이사가 사과문 발표, 외부 유출은 없다고 주장하면서도 내부 열람·저장자에게 삭제 요구, 영업비밀 침해금지 가처분 신청 등 조치.
• 규제 가능성
  • 내부망 설정 오류·권한 관리 부실도 개보법상 ‘안전조치 의무 위반’으로 제재 대상이 될 수 있다는 분석.

⇀  포인트:

• 해킹이 아니라 내부 통제 실패 + 노조 감시 의혹이 혼합된 사례.
• 외부 유출이 아니어도, 5천 명 단위·주민번호 포함이면 개보위 제재 가능성이 상당합니다.

2024년 쿠팡(쿠팡이츠) 유출 사건 – 2025년 쿠팡 사태의 전조

• 개요
  • 2024년 11월, 쿠팡이츠 배달원·고객 약 15만 건 정보 유출로 개보위가 약 16억 원(과징금+과태료)을 부과.
  • 문제는 소프트웨어 설계·안전조치가 미흡해, 배달원 실명·전화번호가 음식점에 과도하게 노출된 구조였고, 통지 지연까지 겹쳤다는 점.
• 평가
• 이미 1년 전부터 쿠팡은 안전조치 의무 위반 + 통지 지연으로 과징금 처분을 받은 전력이 있는 회사입니다.
• 이 전력이, 2025년 초대형 사건에서 과징금 가중·징벌적 제재 논의의 근거로 다시 소환될 가능성이 큽니다.

{getCard} $type={post} $title={Card Title}

2025년 쿠팡 개인정보 3,370만 건 유출 사건 – 구조와 대응

이제 본론으로 들어가겠습니다.

사건 구조 정리

• 기본 스펙
  • 발표: 2025년 11월 29일, 쿠팡은 고객 계정 약 3,370만 개에서 개인정보가 무단 노출되었다고 공지.
  • 규모: 사실상 거의 모든 쿠팡 고객이 포함된 수준으로 평가.
  • 유출 데이터
    • 이름
    • 이메일 주소
    • 배송지 주소록(수령인 이름, 전화번호, 주소)
    • 일부 주문 정보
    • 결제 정보, 카드번호, 로그인 비밀번호 등은 포함되지 않았다고 회사는 설명.
• 시간 축
  • 무단 접근은 2025년 6월 24일경부터 해외 서버를 통해 지속적으로 있었던 것으로 추정.
  • 쿠팡이 사고를 인지한 것은 11월 18일,
  • 11월 20일과 29일 두 차례에 걸쳐 개보위 등에 신고.
  • 초기에 “약 4,500개 계정 노출 정황”으로 신고했다가, 후속 조사에서 3,370만 계정 규모로 피해 규모가 7만 배 가까이 확대되었다는 분석이 나옴.
• 위상
  • 이번 사고는 SKT 유출(약 2,324만 명)보다 규모가 큰 것으로 평가되며, “역대 최악” 급 사건으로 언론·전문가들이 다루는 중.

요약하면,

• 5개월 이상 장기간에 걸쳐
• 사실상 전 고객의 이름·연락처·주소·주문정보가
• 해외에서 반복적으로 접근·유출되었는데
• 회사가 이를 11월 중순에서야 인지하고, 피해 규모도 뒤늦게 수정을 반복한 상황입니다.

쿠팡의 공식 대응 내용

현재까지 언론·보도자료에 나타난 쿠팡 측 대응은 다음 정도로 정리됩니다.

1. 사고 인지 및 경로 차단
   • 무단 접근 경로를 확인한 뒤 차단했으며, 현재는 해당 경로를 통한 추가 접근이 차단된 상태라고 설명.
2. 정보 범위 축소 강조
   • “결제 정보·신용카드 번호·로그인 비밀번호 등 금융·접근 정보는 안전하게 보호되고 있다”는 점을 반복해서 강조.
3. 외부 전문가 영입 및 수사 협조
   • 독립적인 글로벌 보안 기업 전문가를 영입해 조사를 진행 중이라고 밝힘.
   • 서울경찰청 사이버수사대에 고소장을 제출, 경찰 수사가 진행 중.
4. 대국민 메시지
   • 고객에게 공식 사과,
   • 스미싱·피싱 등 2차 피해에 유의해 달라는 경고·안내.
5. (현재까지 드러난 선에서) 보상·지원 언급
   • 롯데카드처럼 “전액 보상”과 같이 구체 숫자·기준이 발표된 단계는 아님.
   • 집단소송 카페가 빠르게 늘어나고 있어, 소송·분쟁조정과 연결된 보상 기준은 향후 압박 속에서 정해질 가능성이 큽니다.

정부·규제 기관의 대응

1. 과기정통부·개보위 합동 대응
   • 과학기술정보통신부는 11월 30일부터 민관합동조사단을 꾸려 사고 원인 분석 및 재발 방지 대책 마련에 착수.
   • 개인정보보호위원회는 쿠팡으로부터 2차례 신고를 받고 이미 조사에 들어간 상태.
     • 국민 다수의 연락처·주소가 포함된 만큼, 안전조치 의무 위반이 확인될 경우 엄정 제재 방침을 밝힘.
2. 2차 피해 방지
   • 과기정통부·개보위가 공동으로 대국민 보안 공지를 진행, 스미싱·보이스피싱 등 2차 피해 예방을 위한 주의사항을 대대적으로 안내.
3. 제도 논의
• 이미 SKT 해킹 사태 이후, 해킹 정황 확보 시 기업 신고 없이도 정부가 현장 조사를 할 수 있도록 권한을 넓히고, 신고 지연·재발방지 미이행 시 과징금 상향·징벌적 과징금 도입을 추진 중.
• 쿠팡 사건은 이 제도 논의에 “실제 사례”로 바로 연결될 가능성이 큽니다.

{getCard} $type={post} $title={Card Title}

올해 다른 사례들과 비교했을 때, 쿠팡 사건의 위치

4개 축으로 비교

1. 규모

• SKT: 약 2,324만 명 수준, “역대 최대”라 불렸던 사건.
• 롯데카드: 297만 명, 하지만 신용카드 정보의 민감성을 고려하면 ‘질’은 매우 무겁고.
• GS리테일: 9만 명 + 158만 명, 총 167만 명 정도.
• 삼성바이오로직스: 임직원 5천여 명, 그러나 주민번호·연봉·인사평가 포함.
• 쿠팡: 3,370만 계정 – 규모 면에서는 단연 1위.

2. 데이터의 “질”(민감도)

• 롯데카드: 카드번호·CVC까지 포함된 것으로 알려진 부분이 있어 금융사기 리스크가 직접적.
• SKT: 유심·통신 정보 ⇀ 금융 인증·본인확인 체계 전체에 연결.
• GS리테일: 결혼기념일, 개인통관고유번호 등 + 쇼핑 패턴
• 쿠팡:
  • 이름·전화번호·주소·배송지 주소록·주문 정보
  • 금융 정보는 포함되지 않았다지만,
  • 거주지·생활 패턴·가족 정보까지 묶인 “프로파일링용 데이터”로서의 민감도가 매우 높습니다.

3. 인지·신고 속도

• SKT: 해커 침입 후 3년 넘게 알지 못했다는 점이 가장 큰 비판 포인트.
• GS리테일:
  • GS25 사고 후 전체 사이트 로그를 1년 치까지 늘려 점검하다가 GS샵 사고를 찾아냈다는 점에서, “적어도 사고 이후엔 적극적으로 뒤져서 찾아냈다”는 평가.
• 롯데카드: 비교적 빠르게 공표·사과, 다만 보안 취약점 존재 기간 자체는 길었다는 비판.
• 쿠팡:
  • 6월 24일부터 11월 18일까지 5개월간 무단 접근이 있었는데, 이를 뒤늦게 인지.
  • 초기 신고 시 4,500개 계정 ⇀ 뒤늦게 3,370만 계정으로 규모 수정.
  • 이 부분은 SKT와 마찬가지로 “탐지 능력·모니터링 체계의 근본적 한계”로 비판받기 좋은 지점입니다.

4. 고객 보호·보상 프레임

• SKT: 요금 할인, 위약금 면제, 유심 무료 교체, 분쟁조정 30만 원 기준 제시 등 “금액으로 환산 가능한 보상 패키지”가 형성되어 있음.
• 롯데카드: “2차 피해까지 전액 보상” 선언으로 강하게 선제 대응.
• GS리테일: 보안 강화·비밀번호 변경·조직 개편은 적극적이지만, 금전적 보상체계는 아직 소송·분쟁조정 단계에서 정리되는 중.
• 쿠팡:
  • 현재까지는 “보안 강화, 경로 차단, 외부 전문가, 2차 피해 주의” 중심 메시지.
  • 구체적인 1인당 금액 기준·보상 패키지는 아직 제시되지 않음.

⇀ 정리하면,

• 규모·생활밀착성 측면에서 쿠팡 사건의 무게는 SKT 이상,
• 그런데도 보상 프레임은 아직 SKT·롯데카드 수준으로 올라오지 않은 상태입니다.

규제 리스크 관점에서 본 쿠팡

1. 이미 전력이 있는 사업자

• 2024년 쿠팡이츠 사건으로 16억 원 가까운 과징금·과태료를 받은 지 1년 만에, 훨씬 더 큰 사고가 터진 상태입니다.
• 개인정보보호법은 3년 내 반복 과징금 처분 시 가중 제재 규정을 두고 있어,
  • GS리테일과 함께 쿠팡도 가중 처벌 논의 테이블에 올라갈 가능성이 높습니다.

2. 과징금 상한 구조

• 개보법은 매출액의 3% 범위에서 과징금 부과 가능.
• SKT·롯데카드 사례에서 이미 “매출 3% 상한에 근접한 제재” 가능성이 공론화된 상황이라,
  • 쿠팡도 매출 기준 상한에 근접한 과징금 + 추가 시정명령 조합이 유력한 시나리오로 거론됩니다.

3. 사회적 여론

• 쿠팡은 이미 2024년 사건 이후 “보안보다 비용 절감” 경영 아니냐는 비판이 있었고, 이번 사고로 그 인식이 강화되는 흐름.
• 네이버 카페 등에서 집단소송 카페가 급속히 늘고 있고, 1인당 위자료 기준도 SKT·GS·카드사 사례를 참고해 10~30만 원 수준이 최소 기준으로 형성될 가능성이 큽니다.

{inAds}

실무적으로 뽑아볼 수 있는 “벤치마킹 포인트”

이건 기업 내부에서 대응 기준을 잡을 때도 쓸 수 있는 정리입니다.

1. 사고 탐지·신고
   • “몇 명 털렸는가”보다 “언제 알아차렸고 얼마나 빨리 공개했는가”가 평판·과징금에 큰 영향을 줍니다.
   • SKT·쿠팡처럼 “수개월~수년 동안 몰랐다”는 구조는, 기술적 세부사항과 무관하게 신뢰를 크게 깎아먹는 포인트로 남습니다.
2. 피해 범위 파악의 정확도
   • 초기 4,500건 ⇀ 나중에 3,370만 건으로 뛰는 식의 과소 신고 ⇀ 추후 확대는,
     • 규제기관 입장에서는 “안전조치만이 아니라 리스크 관리 능력 전체 문제”로 볼 확률이 높습니다.
3. 고객 보상 프레임
   • SKT(30만 원 조정안 + 각종 편익), 롯데카드(전액 보상 선언)가 이미 시장의 “기준점” 역할을 합니다.
   • 쿠팡처럼 규모가 더 큰 사건에서 보상이 이 기준보다 낮게 형성되면,
     • 여론·소송 측 압박이 훨씬 거세질 가능성이 큽니다.
4. 재발 방지 조치의 진정성
   • GS리테일·삼성바이오로직스 사례에서 보듯,
     • 사고 후 정보보호위원회 신설, 보안 투자 확대, 외부 컨설팅 도입을 “문서로만” 할 것이냐,
     • 실제로 권한 통제·로그 분석·개발 프로세스까지 뜯어고치느냐가
       규제기관·법원·여론의 핵심 체크포인트가 됩니다.

---

정리하면,

• 2025년 기준으로 보면
  • SKT, GS리테일, 롯데카드, 삼성바이오로직스 모두 큰 사고였지만
  • 규모·생활밀착성·반복 전력을 종합하면 쿠팡 사건이 가장 무거운 위치에 있습니다.
• 특히
  • 5개월간 탐지 실패,
  • 초기 피해 규모 과소 인지,
  • 2024년 과징금 전력이 겹쳐서
    ⇀ 규제·소송 단계에서 상당히 강한 잣대가 적용될 가능성이 높습니다.

 {getCard} $type={post} $title={Card Title}