김범석 사과 이슈가 대한민국 전체를 뒤흔들고 있습니다. 쿠팡 창업자이자 쿠팡Inc 이사회 의장인 김범석이 3370만 건의 대규모 개인정보 유출 사태에 대해 공개 사과했지만, “왜 이렇게 늦었냐”는 비판과 “과연 진심인가”라는 의문이 동시에 쏟아졌습니다. 국내 역사상 최대 규모의 개인정보 유출 사건인 만큼, 이번 사태의 경위부터 김범석 의장의 사과 내용, 보상안 논란, 그리고 향후 전망까지 한 번에 정리해 드리겠습니다. 데이터로 본 쿠팡 브랜드 신뢰도와 탈팡의 진실에 대한 내용은 별도의 블로그로 정리해두었습니다.
쿠팡 개인정보 유출 사태, 도대체 무슨 일이 있었나?
이번 사건은 한국 전자상거래 역사상 단일 사건으로는 최대 규모의 개인정보 유출 사고입니다. 사건의 발단부터 파장까지, 차근차근 살펴보겠습니다.
사건의 발단 — 내부 직원의 ‘토큰 악용’
2025년 11월, 쿠팡 내부 개발자로 근무했던 중국인으로 추정되는 전직 직원 A씨가 ‘액세스 토큰(Access Token)’을 악용해 쿠팡 고객 계정 정보에 무단으로 접근했습니다.
‘액세스 토큰’이란 쉽게 말해 디지털 세계의 ‘출입 열쇠’라고 보시면 됩니다. 직원이 업무를 위해 시스템에 접근할 수 있도록 발급된 이 열쇠를, A씨가 퇴사 후에도 무단으로 사용한 것입니다. 쿠팡은 2025년 6월 24일부터 11월까지 약 7개월간 비정상적인 접근이 이루어졌다고 밝혔습니다.
유출 규모의 충격 — 3370만 건에서 3386만 건으로
처음 쿠팡이 신고한 유출 건수는 단 4,500개였습니다. 그러나 조사가 진행될수록 숫자는 눈덩이처럼 불어났습니다.
| 단계 | 발표된 유출 건수 |
|---|---|
| 초기 신고 (2025년 11월 19일) | 약 4,500개 계정 접근 기록 |
| 쿠팡 후속 발표 (2025년 11월 29일) | 약 3,370만 개 계정 접근 가능 정황 확인 |
| 쿠팡 SEC 공시 (2025년 12월 29일) | “실제 저장된 정보는 약 3,000건” 주장 |
| 정부 민관합동조사 결과 (2026년 2월 10일) | 3,300만 건 이상 유출 공식 확인 (국내 최대 규모) |
| 추가 유출 확인 (2026년 2월 5일) | 16만 5,000건 추가 확인 → 총 3,386만여 건 |
유출된 정보에는 고객의 성명, 전화번호, 배송 주소, 이메일, 주문 내역 등이 포함됐습니다. 심지어 ‘배송지 목록’에는 해당 고객이 아닌 제3자의 개인정보까지 담겨 있어 피해 범위가 훨씬 넓다는 지적도 나왔습니다.
과학기술정보통신부는 이번 사고를 국내 전자상거래 플랫폼에서 발생한 침해 사건 중 역대 최대 규모로 규정했습니다.
초기 대응의 실패 — 쿠팡은 무엇을 했나?
초기에 쿠팡의 대응은 사태를 더 키웠다는 평가를 받습니다. 수천만 건의 개인정보에 접근이 가능했음을 알고 있으면서도, 고객에게 즉각적인 통지나 공개적인 사과를 하지 않았습니다. 정부로부터 민관합동조사 요청이 들어왔을 때 충분히 협조하지 않았다는 지적도 받았고, 심지어 과기정통부 장관은 “쿠팡이 자료 보존 요구 이후 접속 로그가 삭제되도록 방치해 5개월 분량이 삭제됐다. 이는 명백한 법 위반”이라고 공개적으로 비판했습니다.
더욱 황당했던 건 쿠팡이 미국 증권거래위원회(SEC)에 피해 규모를 “3,000건”으로 공시한 것이었습니다. 정부는 3,300만 건 이상이라고 발표한 마당에, 쿠팡이 미국 투자자들에게는 피해를 축소해 알렸다는 점에서 국민적 공분을 샀습니다.
김범석 사과 — 한 달 만의 뒤늦은 고개 숙임
김범석 사과는 사태 발생 정확히 한 달 뒤에야 이루어졌습니다. 그 내용과 배경, 그리고 각계의 반응을 짚어보겠습니다.
사과문 핵심 내용
2025년 12월 28일, 김범석 의장은 쿠팡 공식 홈페이지와 뉴스룸을 통해 처음으로 사과문을 발표했습니다.
사과문의 핵심 내용은 다음과 같았습니다.
- “쿠팡의 창업자이자 이사회 의장으로서 전체 임직원을 대표해 진심으로 사과드립니다.”
- “사고 초기부터 명확하고 직접적으로 소통하지 못한 점에 대해 사과드립니다.”
- “무엇보다도 제 사과가 늦었습니다.”
- “돌이켜보면, 잘못된 판단이었습니다.”
왜 한 달이 걸렸나?
김범석 의장은 사과가 늦어진 이유에 대해 “많은 오정보가 난무하는 가운데 상황이 매우 빠르게 변화하고 있었기에, 모든 사실이 확인된 이후에 소통하는 것이 최선이라고 판단했다”고 해명했습니다. 그러면서 스스로 “돌이켜보면, 이는 잘못된 판단이었다”고 인정했습니다.
쉽게 말하면, “사실 확인이 되면 말하려 했는데, 그게 틀린 선택이었다”는 것입니다. 국민들은 사실 확인보다 먼저 ‘미안하다’는 말이 필요했기 때문입니다.
언론과 전문가의 반응 — ‘뒷북 사과’ 비판
언론 반응은 냉담했습니다. 한겨레는 “‘셀프 조사, 국회 불출석’ 김범석, 말뿐인 ‘뒷북 사과'”라는 제목의 사설을 통해 “사과의 진정성을 믿는 이들은 많지 않을 것”이라고 평가했습니다. 동아일보는 “보상 대상과 규모, 실행 시점이 구체적으로 제시되지 않았다”고 지적했습니다.
설상가상으로, 김범석 의장은 2025년 12월 17일과 30~31일 두 차례에 걸쳐 국회 연석 청문회에 모두 불출석했습니다. 사과문에서는 “진심으로 사과한다”고 했지만, 정작 국회에서는 모습을 보이지 않은 것입니다.
청문회에 대신 출석한 해럴드 로저스 쿠팡 임시 대표는 의원들이 전화번호를 묻자 “그건 개인정보”라고 거부하는 모습을 보여 여론의 빈축을 샀습니다. 수천만 명의 개인정보를 유출한 기업 대표가 정작 자신의 전화번호는 “개인정보 보호”를 이유로 공개하지 않겠다고 한 아이러니한 장면이었습니다.
육성 사과까지 3개월 — 콘퍼런스콜에서 처음 터진 한마디
한 달 만에 사과문은 냈지만, 김범석 의장이 육성으로 직접 사과한 것은 사태 발생 약 3개월 후였습니다.
2026년 2월 27일, 콘퍼런스콜에서의 첫 육성 사과
2026년 2월 26일(현지 시간), 쿠팡Inc는 2025년 4분기 및 연간 실적 발표를 위한 ‘콘퍼런스콜(Conference Call)’을 개최했습니다. 콘퍼런스콜이란 기업이 투자자와 언론을 대상으로 재무 성적표를 발표하는 공식 전화 회의입니다.
이 자리에서 김범석 의장은 “이번 일로 심려와 불편을 끼쳐드린 점에 대해 다시 한번 사과(apologize)의 말씀을 드린다”고 말했습니다. 사태 발생 이후 처음으로 공개 석상에서 육성으로 입장을 밝힌 것입니다.
사과와 함께 밝힌 입장
김범석 의장은 이날 단순히 사과에 그치지 않고 쿠팡의 정체성과 방향성도 함께 언급했습니다.
- “쿠팡이 일궈온 모든 것은 오직 고객들에게 와우(Wow·놀라운)한 경험을 선사하는 것을 동력으로 삼아왔다.”
- “고객은 쿠팡이 존재하는 유일한 이유다.”
- “고객의 신뢰를 얻기 위해 매일 최선을 다하고 있다.”
- “저희가 더 잘해야 한다는 점을 잘 알고 있으며, 반드시 그렇게 하겠다.”
왜 하필 실적 발표 자리에서?
일각에서는 “왜 별도의 기자 회견이나 공개 석상이 아닌, 실적 발표 콘퍼런스콜에서 사과했냐”는 의문을 제기했습니다. 이에 대한 비판적 시각은, 이날 쿠팡Inc가 2025년 4분기 실적에서 개인정보 유출 사태로 인한 실적 타격을 일부 인정하면서도 “2026년 1분기부터 회복세”를 강조했다는 점과 맞닿아 있습니다.
쿠팡Inc는 이날 “최근 실적을 보면 성장률에 대한 영향은 안정화됐으며, 2026년 1분기부터는 회복되기 시작한 것으로 나타났다”고 밝혔습니다. 즉, 투자자 신뢰 회복과 김범석 사과가 같은 자리에서 이뤄진 것입니다.
보상안 논란 — 5만 원인데 왜 5000원?
김범석 사과와 함께 발표된 보상안도 뜨거운 감자였습니다. ‘1조 6850억’이라는 천문학적 숫자를 내세웠지만, 실제 소비자들이 느낀 온도는 달랐습니다.
보상안 발표 개요
2025년 12월 29일, 쿠팡은 국회 청문회를 하루 앞두고 보상안을 발표했습니다. 핵심 내용은 개인정보 유출 통지를 받은 3370만 계정 고객 전원에게 1인당 5만 원 상당의 구매 이용권을 지급한다는 것이었습니다. 총 1조 6850억 원 규모라는 발표에 처음에는 “파격적인 보상”이라는 반응도 있었습니다. 하지만 세부 내용을 뜯어보자 비판이 쏟아졌습니다.
‘무늬만 5만 원’의 진실
| 이용권 종류 | 금액 |
|---|---|
| 쿠팡 일반 구매 이용권 | 5,000원 |
| 쿠팡이츠 (배달앱) | 5,000원 |
| 쿠팡 트래블 | 20,000원 |
| 알럭스 (명품 쇼핑) | 20,000원 |
| 합계 | 50,000원 |
문제는 50,000원 중 실제로 일상적으로 쓸 수 있는 일반 쿠팡 쇼핑 이용권은 단 5,000원에 불과하다는 점입니다. 나머지 45,000원은 여행 상품(쿠팡 트래블)이나 명품 쇼핑(알럭스) 이용권으로 구성됐는데, 대부분의 소비자에게 실질적으로 사용하기 어려운 구조였습니다.
게다가 이용 기간도 3개월로 제한했습니다. 2026년 1월 15일부터 지급해 4월 15일까지만 사용 가능하며, 기간 내 사용하지 않으면 자동 소멸됩니다.
소비자와 언론 반응
소비자와 언론은 이 보상안을 ‘눈 가리고 아웅’이라고 비판했습니다. “개인정보 유출로 발생할 수 있는 2차 피해(스미싱, 보이스피싱, 명의 도용 등)에 대한 실질적인 보상 없이, 쿠팡 내에서만 쓸 수 있는 이용권을 지급하는 것은 마케팅 수단에 불과하다”는 지적이 나왔습니다.
경향신문은 “발표는 5만 원, 실제론 5000원”이라는 제목으로 보상안의 허점을 집중 조명했습니다. 전문가들은 이 보상안이 3개월짜리 재가입 유도 마케팅이라는 비판도 제기했습니다.
앞으로의 전망 — 신뢰 회복, 가능할까?
김범석 사과 이후 쿠팡은 신뢰 회복을 위해 다양한 조치를 약속했습니다. 하지만 갈 길이 멀어 보입니다.
쿠팡의 약속 — 보안 쇄신
김범석 의장은 사과문을 통해 “이사회를 중심으로 한국 고객에 대한 보상안을 마련해 조속히 시행하겠다”며 “정보보안 투자와 시스템을 전면 쇄신하겠다”고 밝혔습니다. 또한 2월 콘퍼런스콜에서도 “더 잘해야 한다는 점을 잘 알고 있으며, 반드시 그렇게 하겠다”고 거듭 강조했습니다.
실적 타격과 회복 전망
쿠팡Inc는 2025년 4분기 실적에서 개인정보 유출 사태로 인한 타격을 인정했습니다. 다만 “2026년 1분기부터는 성장률이 회복세를 보이기 시작했다”고 밝혔습니다. 김범석 사과와 보상안 지급이 어느 정도 소비자 이탈을 막는 데 기여했다는 분석도 있습니다.
남겨진 숙제들
그럼에도 아직 해결되지 않은 과제들이 산적해 있습니다.
- 국정조사 추진: 더불어민주당은 쿠팡의 개인정보 유출·불공정 거래·노동환경 실태를 조사하기 위한 국정조사를 추진하고 있습니다.
- 로그 삭제 수사: 과기정통부가 접속 로그 5개월치 삭제와 관련해 경찰에 수사를 의뢰한 상태입니다.
- 추가 유출 조사: 2026년 2월 추가로 16만 5000건의 유출이 확인됐고 개인정보보호위원회가 검증을 진행 중입니다.
- 실질적 피해보상: 스미싱·명의 도용 등 2차 피해에 대한 법적 보상 논의는 아직 진행 중입니다.
한 가지 확실한 것은, 이번 사태가 단순히 쿠팡만의 문제가 아니라, 대한민국 IT 기업 전체의 개인정보 보안 의식과 위기 대응 방식을 점검하게 하는 계기가 됐다는 점입니다. 수천만 명의 정보를 다루는 플랫폼 기업에게 보안은 ‘옵션’이 아닌 ‘의무’임을 다시금 일깨워준 사건으로 기록될 것입니다.
마치며
어떤 이슈든 누군가에게 위기이면 또 누군가에게는 기회입니다. 이번 쿠팡 사태를 통해 쿠팡 브랜드 신뢰도는 어떻게 변했는지, 타사들은 어떻게 움직였는지 등에 대한 내용은 다음 포스팅에서 자세하게 정리해드리겠습니다.
관련 글
- 쿠팡 뉴스룸: 쿠팡 김범석 의장 사과문 (2025년 12월)
- 쿠팡 사태 한달만에···김범석, 공개사과 “처음부터 다시 신뢰 쌓겠다”
- 김범석 사과 이후, 쿠팡 정말 망했을까? 데이터로 본 브랜드 신뢰도와 탈팡의 진실
- 아파트값 하락 현실 2026 | 서울은 오르고 지방은 왜 무너지나?
- 반포대교 포르쉐 추락 사건의 전말: 마약 운전이 부른 충격의 순간
- 청년 문화예술패스 신청방법 완전 정복 | 2026년 20만 원 받는 6단계 가이드 총정리
- 여에스더 고백 “매일 죽을 날짜 정했다”, 30년 우울증으로 자발적 안락사까지 고민
- 한국대중음악상 수상결과 2026 총정리 | 추다혜차지스·이찬혁·제니 등 리뷰