쿠팡 개인정보 유출:SKT 해킹을 엄중 처벌하지 않은 결과

SKT를 흐지부지 넘기니, 쿠팡 해킹도 가볍게 넘긴다.

국내 1위 통신사의 2천만명대 개인정보 유출을 “역대 최대 과징금”과 몇 줄짜리 사과문으로 봉합해 버린 결과, 그보다 더 큰 규모의 쿠팡 3천3백70만 계정 유출도 사회 전체가 심각하게 받아들이지 못하는 분위기가 만들어졌다. 해킹 사고는 일상이 됐고, 시민들은 분노보다 체념에 익숙해지고 있다. 이 글은 SKT와 쿠팡, 두 사건을 통해 한국 사회가 어떻게 ‘대형 해킹에도 둔감한 나라’가 되어 가는지 짚어 본다.

최종 업데이트 2025-11-30

SKT 2천3백만명 유출, ‘역대 최대 과징금’으로 끝난 사건

2025년 4월, SK텔레콤은 핵심 가입자 인증 시스템이 해킹돼 약 2천3백만명, LTE와 5G 전체 가입자 규모의 개인정보가 유출되는 사태를 겪었다. 조사 결과 해커의 침입은 3년 가까이 이어졌고, 유심 인증키와 가입자 식별번호처럼 통신 보안의 뼈대에 해당하는 정보까지 암호화 없이 방치돼 있었다. 개인정보보호위원회는 기본적인 보안 의무를 소홀히 했다고 판단해 1천3백48억원대 과징금을 부과했고, 언론은 이를 “역대 최대” 제재라고 제목을 달았다. 하지만 매출 대비 1퍼센트 수준에 불과한 과징금 규모와, 피해자 개개인에게 돌아오는 배상은 분쟁조정 신청자 3천9백여명 대상 1인당 30만원에 그친다는 사실이 알려지면서 “솜방망이 처벌”이라는 비판도 적지 않았다.

SKT의 대응 방식 역시 논란을 키웠다. 해킹 징후를 인지한 시점과 고객에게 “유출 가능성”을 통지한 시점, 최종적으로 “유출 확정”을 알린 시점 사이에 몇 주에서 석 달에 이르는 공백이 있었다. 그 사이 통신사는 유심 보호 서비스 가입을 강조하며 “피해가 발생하면 100퍼센트 책임지겠다”고 홍보하는 데 더 집중하는 모양새를 보였다. 국민 입장에서는 “국가 인프라급 기업이 3년 넘게 뚫려 있었는데도, 결국 과징금 내고 유심 갈아 끼우는 정도로 마무리되는구나”라는 냉소가 남을 수밖에 없다. 거대 통신사가 이 정도라면, 다른 기업들의 보안 수준은 어떨지에 대한 근본적인 불신도 함께 커졌다.

결국 SKT 해킹 사태는 “엄청난 사고였지만, 누가 어떻게 책임졌는지 뚜렷하게 떠오르지 않는 사건”으로 기억되고 있다. 책임 있는 경영진의 거취 변화나, 피해자 다수를 포괄하는 실질적인 집단 배상 구조보다, 보도자료와 대고객 공지, 과징금 액수만 남은 셈이다. 이렇게 끝난 사건은 하나의 메시지를 남긴다. 이 정도 스케일의 해킹도 시간이 지나면 잊히고, 기업은 일정 수준 비용만 감수하면 된다는 학습효과다.

SKT 해킹은 ‘역대 최대 과징금’만 남기고, “크게 문제 없이 넘어갈 수 있다”는 잘못된 신호를 던졌다.

쿠팡 3천3백70만 계정 유출, ‘유출 아닌 노출’이라는 프레이밍

그 여파가 채 가시기도 전에, 2025년 11월에는 국내 1위 이커머스 기업 쿠팡에서 대규모 개인정보 유출 사고가 터졌다. 처음 쿠팡이 밝힌 숫자는 4천5백여명 수준이었지만, 외부 전문가가 참여한 조사와 정부 합동조사가 진행되면서 피해 계정 수는 7천5백배 급증한 3천3백70만개로 정정됐다. 사실상 온라인 거래를 이용하는 국민 대부분의 이름, 전화번호, 이메일, 배송지 주소, 일부 주문 정보가 한꺼번에 털린 셈이다. 사고는 해외 서버를 통한 비정상 접속, 계정 탈취 방식의 해킹에서 시작된 것으로 추정되고, 경찰 수사와 정부의 민관합동조사단이 동시에 가동되는 중이다.

그런데도 기업과 일부 관계자의 언어 선택은 상황의 심각성을 희석하는 방향으로 흘렀다. “카드번호와 비밀번호는 안전하다”, “로그인 정보는 유출되지 않았다”는 설명이 반복되면서, 메시지의 초점은 “결제 정보는 괜찮다”는 안심시키기에 맞춰졌다. 심지어 사고를 “유출이 아니라 노출”이라고 표현하며, 피해 규모와 위험성을 축소하려 했다는 비판도 나왔다. 하지만 이름, 연락처, 주소, 주문 내역이 모인 정보는 스미싱, 피싱, 보이스피싱, 맞춤형 사기와 보안 질문 추측 등, 결제 정보 못지않게 위험한 2차·3차 피해의 재료가 될 수 있다. 개인정보 보호의 현실을 감안하면, 이미 다른 사고에서 새어 나간 정보와 이번 정보를 조합해 정교한 ‘프로파일링’이 가능하다는 우려도 제기되고 있다.

쿠팡 역시 정부 조사와 개인정보위 제재를 앞두고 공개 사과를 했지만, 이용자 입장에서 느끼는 감정은 묘하게 익숙하다. SKT 때와 마찬가지로 “유감 표명”, “재발 방지 대책 마련”, “보안 투자를 늘리겠다”는 문장이 반복되고, 사고 원인과 책임 범위는 수사와 조사가 끝날 때까지 모호하게 남는다. 그 사이 이용자들에게는 “계정 비밀번호 변경 등 별도 조치까지는 필요 없다”는 메시지가 전달된다. 해킹 규모와 파장은 역사급인데, 체감되는 긴장감과 위기의식은 “또 그 소식이구나” 수준에서 멈춰 버리는 아이러니한 상황이다.

쿠팡 해킹은 ‘사실상 전 국민 유출’ 급인데도, 언어와 프레임 덕에 “큰 일 아닌 것처럼” 소비되고 있다.

SKT를 유야무야 넘긴 결과, 모두가 둔감해졌다

SKT와 쿠팡, 두 사건을 한 줄로 요약하면 이런 문장이 남는다. SKT 해킹을 유야무야 넘겨 버리니, 쿠팡이 해킹 사고를 일으켜도 사회가 심각하게 받아들이지 못하게 됐다. 통신망과 쇼핑 플랫폼에서 번갈아가며 ‘국민급’ 개인정보 유출이 터졌는데도, 실제 여론의 온도는 일시적인 분노와 피로감이 뒤섞인 상태에서 빠르게 식어 버린다. 매번 “이번이 마지막이길 바란다”는 말은 나오지만, 구조는 거의 바뀌지 않는다. 기업에게 보안 투자는 비용이고, 과징금은 예외적인 사고가 아니라 ‘리스크 비용’으로 흡수되는 쪽으로 계산된다.

문제는 이런 반복이 이용자들에게도 일종의 무기력과 체념을 학습시키고 있다는 점이다. 몇 년 사이 카드사, 게임사, 통신사, 포털과 이커머스까지, 하나의 주민등록번호와 전화번호, 이메일 주소가 거듭해서 유출되다 보면, “어차피 이미 다 털린 정보”라는 자조가 입에 붙는다. 그러면 각 사고의 심각성을 구분해 따지는 감각도 무뎌진다. SKT 2천3백만명, 쿠팡 3천3백70만명을 합쳐도 “언제 또 이런 일이 있었지?” 정도로만 남게 된다. 이런 상황에서 기업과 정부가 실제로 느끼는 압박은 더 줄어든다. 분노보다 체념이 많아질수록, 보안을 위해 써야 할 비용보다 사고 후에 내면 되는 비용이 더 싸 보이기 때문이다.

이 악순환은 “해킹이 워낙 고도화됐다”, “완벽한 보안은 없다”는 말로 정당화되곤 한다. 물론 100퍼센트 안전한 시스템은 없다. 그러나 지금 논의해야 할 것은 ‘무결점 보안’이 아니라, 이 정도 규모의 사고가 났을 때 기업이 어떤 책임을 지고, 피해자가 얼마나 실질적인 보호와 배상을 받으며, 규제 당국이 어느 수준까지 권한을 행사할 수 있느냐다. 그 기준이 낮고, 전례가 약하고, 여론의 관심이 빨리 식을수록, 다음 대형 사고는 더 쉽게 온다. SKT를 유야무야 넘긴 바로 그 방식이, 쿠팡 사건을 대하는 사회의 태도를 이미 결정해 버린 셈이다.

대형 해킹을 계속 ‘그때그때 있는 사고’로 넘기는 한, 기업과 정부는 심각하게 달라질 이유를 느끼지 못한다.

이용자가 요구해야 할 것: 보상, 책임, 그리고 구조 개선

그렇다면 이용자는 무엇을 요구해야 할까. 첫째, 실질적인 피해 보상 구조다. 현재와 같은 분쟁조정 방식은 정보 유출 사실을 알고, 신청 절차를 밟을 여력이 있는 일부만을 대상으로 한다. SKT처럼 수천만명 정보가 털리고도 수천명만 배상받는 상황은, 기업 입장에서 매우 효율적인 사고 관리에 가깝다. 일정 기간 이내에 신고한 피해자에게만 배상하는 구조를 넘어, 일정 규모 이상의 대형 유출 사고에는 자동 적용되는 법정 배상 기준과 집단 소송 절차가 필요하다.

둘째, 경영진 책임과 내부 보안 거버넌스에 대한 공개 요구다. 보안 조직의 권한이 어디까지인지, CISO나 CPO가 어떤 위치에서 의사결정에 참여하는지, 사고 이후 어떤 인사와 구조 조정이 뒤따랐는지 투명하게 밝히라는 요구가 있어야 한다. 최고 책임자가 손실 없는 사과만 남기고 자리를 지키는 문화는, 결국 “보안 사고를 경영 리스크로 보지 않는다”는 시그널로 읽힌다. 셋째, 규제 당국의 권한과 제재 수단을 강화하라는 정치적 요구도 중요하다. 매출 대비 과징금 상한, 시정명령 수준, 재발 기업에 대한 가중 처벌 등 구체적인 룰이 강해질수록 보안 예산은 “줄여도 되는 비용”이 아니라 “줄이면 안 되는 비용”으로 바뀐다.

마지막으로, 각자의 일상에서 최소한의 방어 습관을 갖추는 것도 필요하다. SKT와 쿠팡, 기타 서비스들의 비밀번호를 서로 다르게 설정하고, 2단계 인증을 기본값으로 켜 두는 일은 더 이상 보안 강박이 아니라 생존 기술에 가깝다. 의심스러운 문자와 전화를 일절 클릭하지 않고, 공식 앱이나 홈페이지를 통해서만 확인하는 루틴도 필수다. 이 모든 조치가 구조적인 해결을 대신할 수는 없지만, 최소한 “이미 다 털린 정보니까 아무것도 할 수 없다”는 체념에서 한 발짝은 벗어나게 해 준다.

SKT와 쿠팡 사건 이후에 남겨야 할 것은 체념이 아니라, 기업·정부·이용자 모두에게 비용이 따르는 새로운 룰이다.

‘당연한 사고’가 아니라 ‘정치적 선택’의 결과다

해킹은 자연재해가 아니다. 어느 정도의 예산을 어디에 쓰고, 보안 조직에 어떤 권한을 주고, 사고가 났을 때 누가 어떤 책임을 지도록 할 것인지에 관한 정치적 선택의 결과다. SKT와 쿠팡의 사고가 잇따랐다고 해서, 한국 기업의 보안 수준이 갑자기 나빠졌다고 보기는 어렵다. 오히려 그동안 쌓여 온 취약함이 이제야 수면 위로 드러난 것에 가깝다. 그리고 그 취약함을 방치해 온 것은, 과징금과 짧은 보도자료 몇 개로 대형 사고를 정리해 온 사회 전체의 선택이기도 하다.

“SKT 해킹을 유야무야 넘기니, 쿠팡 해킹도 심각하게 안 받아들인다”는 말은 감정 섞인 투정이 아니라, 정확한 현실 진단에 가깝다. 대형 사고가 터질 때마다 우리는 “또 털렸네”라고 말하고, 기업은 “유감이다, 더 잘하겠다”라고 답한다. 그 사이 어디에도, 이전보다 더 가혹한 책임과 더 강한 규칙은 등장하지 않는다. 이 패턴을 끊지 않는 한, 내일은 또 다른 이름의 기업이, 모레는 또 다른 분야의 서비스가 똑같은 사고를 되풀이할 것이다. 그때도 우리는 “이번에도 카드번호는 안전하다”는 말을 들으며 안심하는 척해야 할까.

이제는 질문을 바꿔야 한다. “해킹을 완벽하게 막을 수 있느냐”가 아니라, “이 정도 사고를 낸 기업이 어떤 대가를 치러야 다시는 같은 일이 일어나지 않느냐”를 묻는 쪽으로. SKT와 쿠팡 사건은 그 질문을 더 이상 미룰 수 없게 만든 신호탄이다. 이 신호를 또 한 번 유야무야 넘긴다면, 다음 번에는 단지 이름만 다른, 더 큰 사고가 기다리고 있을 뿐이다.

해킹은 불가피한 재난이 아니라, 책임과 규칙의 수준을 어떻게 정하느냐에 따라 달라지는 정치적 선택의 결과다.