법무법인 지향, 쿠팡의 허위 ‘수정 유출 통지’ 및 ‘허위 유출통지를 전제로 한 기만적 보상’에 대해 개인정보보호위·공정위 긴급 시정명령 촉구(1.15.전 시정명령 촉구)
요약
● 법무법인 지향은 쿠팡 주식회사가 2025. 12. 25. 이후 “3,370만 명 개인정보 유출 사고임에도 ‘3,000건만 저장되었고, 유출된 정보를 모두 회수하였고, 추가 유출은 없다’”고 허위 사실을 공지하고, 이를 전제로 기만적인 보상안을 제시하고 있다며 개인정보보호위원회(개인정보위)와 공정거래위원회(공정위)에 긴급 시정조치를 촉구하는 신고서를 제출했습니다.
● 쿠팡의 공지는 개인정보위의 시정명령(2025. 12. 3.)을 정면으로 위배하는 행위이며, 유출범의 협박 이메일, 기술적 상식, 기본적인 산수 계산 등 객관적 증거와 명백히 배치되는 허위 유출공지이므로, 개인정보보호위원회는 쿠팡에게 공지문 게시를 중지하고, 다시 정정공지 및 통지를 하도록 시정명령과 위반사실 공표를 명령하고,
● 쿠팡의 5만원 구매 이용권 제공 보상안은 ‘기만적 방법을 사용하여 소비자를 유인, 거래하도록 하는 행위’에 해당하므로, 공정거래위원회는 1. 15. 전에 쿠팡에게 중지명령과 위반사실을 공표하도록 명령할 것을 요청하였습니다.
——————————————————————————–
[보도시점 : 배포 즉시]
법무법인 지향(담당 변호사 이은우, 이상희, 김묘희, 노정연)은 쿠팡 주식회사가 3,370만 명의 개인정보 유출 사고에 대해 허위 사실로 유출 통지를 수정, 공지하고, 기만적인 피해 축소를 전제로 보상안을 제시하고 있다며, 개인정보보호위원회와 공정거래위원회에 즉각적인 시정 조치를 요청하는 신고서를 제출했다고 2026년 1월 7일 밝혔습니다.
1. 개인정보위 시정명령을 정면 위반한 쿠팡의 허위 공지
이번 사안은 3,370만 명의 개인정보가 유출된 최악의 보안 사고를 겪은 쿠팡이, 책임을 회피하기 위해 감독 당국의 시정명령마저 왜곡하고 있다는 점에서 매우 심각합니다. 개인정보위는 2025년 12월 3일, 쿠팡에 대해 ▲‘개인정보 노출’을 ‘유출’로 수정하여 재통지하고, ▲배송지 명단에 포함된 피해자에게도 유출 사실을 통지하며, ▲공동현관 비밀번호 변경 등 구체적인 피해 예방 요령을 적극 안내하라는 시정명령을 내린 바 있습니다. 그러나 쿠팡은 초기 대응을 이행하는 듯하다가, 이내 시정명령의 취지를 정면으로 위배하는 허위 사실을 유포하고 있습니다.
쿠팡의 공지 내용은 시간의 흐름에 따라 다음과 같이 기만적으로 변화했습니다.
최초 통지 (2025. 11. 29.): 쿠팡은 사태의 심각성을 축소하기 위해 ‘유출’이 아닌 ‘노출’이라는 표현을 사용하여 최초 통지를 진행했습니다.
1차 수정 통지 (2025. 12. 7.): 개인정보위의 시정명령에 따라 ‘유출’로 표현을 정정하고, 공동현관 비밀번호 변경 등 피해 예방 요령을 안내하며 명령을 이행하는 모습을 보였습니다.
2차 허위 수정 공지 (2025. 12. 25. 이후): 크리스마스를 기점으로 쿠팡은 돌연 “유출자는 약 3,000개 계정의 정보만 저장했고, 이 역시 모두 삭제했다”며 ‘유출된 정보가 사실상 없다’는 취지로 입장을 180도 바꿨습니다. 나아가 12월 28일에는 김범석 의장의 사과문을 통해 “유출된 개인정보를 100% 회수했다”고 주장하며 허위 주장을 더욱 공고히 했습니다.
쿠팡의 2차 수정 공지는 유출 사실을 명확히 하고 피해자 보호 조치를 강구하라는 개인정보위 시정명령의 본질을 완전히 무시하는 행위입니다. 이로 인해 피해자들은 자신이 처한 위험의 정도를 정확히 인지하지 못하여 정확한 정보보호 대처를 하지 못하는 극심한 혼란과 위험에 빠져 있습니다. 쿠팡은 피해 사실 축소를 전제로 기만적인 보상안을 제시하면서, 1월 15일부터 보상절차를 개시하겠다고 합니다.
2. 쿠팡의 주장이 명백한 허위인 이유
쿠팡은 ‘전직 직원의 단독 범행’, ‘3,000건만 저장 후 삭제’, ‘모든 기기 회수’, ‘정부와의 협조’라는 주장을 내세우며 사태를 축소하려 하고 있지만, 이는 객관적 증거 앞에 무너지는 명백한 거짓말에 불과합니다. 다음 증거들은 쿠팡의 주장이 명백한 허위임을 입증합니다.
● 유출범의 협박 이메일이 증명하는 데이터 보유 2025년 11월 25일 유출범들이 쿠팡에 보낸 협박 이메일에는 ‘3,300만 건 이상의 이메일 주소’, ‘1억 2,000만 건 이상의 배송지 주소’ 등 구체적인 데이터 탈취 규모가 명시되어 있습니다. 특히 이들은 3,300만 건의 이메일을 도메인별로 분류하고, 1억 2,000만 건의 배송지를 266개 기초자치단체별로 분포를 분석하고, 1건씩의 샘플 데이터를 첨부하는 등 상세한 통계 자료와 실제자료까지 제시했습니다. 이 데이터 분석은 해당 정보를 실제로 내려받아 저장(보유)하지 않고서는 기술적으로 불가능합니다.
● 단독 범행이라는 일방적 주장 협박 이메일에서 유출범들은 시종일관 “We found(우리가 발견했다)”, “We analyzed(우리가 분석했다)” 등 복수형 주어 ‘We(우리)’를 반복적으로 사용했습니다. 또한, 147일이라는 장기간에 걸쳐 하루 평균 약 23만 건, 총 3,370만 명의 방대한 정보를 탈취한 범행 규모를 고려할 때, 이를 전직 직원 한 명의 단독 범행으로 보는 것은 상식적으로 납득하기 어렵습니다. 그럼에도 쿠팡은 ‘단독 범행임이 확인되었다’고 거짓말을 하고 있습니다.
● 데이터 ‘접근’이 곧 ‘저장’이라는 기술적 진실 유출범들은 탈취한 인증정보로 고객인 척 불법 접근하여 데이터를 탈취했습니다. 기술적으로 공격자가 서버의 데이터를 ‘접근’하여 내용을 확인하려면, 해당 데이터는 반드시 공격자가 지정하는 장치로 전송되어 ‘저장’되어야 합니다. 147일간 3,370만 명의 정보에 접근해놓고 단 3,000건만 저장했다는 쿠팡의 주장은 기술적 상식에 명백히 어긋나는 주장입니다.
● ‘불안감에 데이터 삭제’ 주장의 모순 쿠팡은 범인이 언론 보도(11. 21.~23.)를 보고 극도의 불안감을 느껴 데이터를 모두 삭제했다고 주장합니다. 하지만 범인의 실제 행동은 이와 정반대였습니다. 이들은 언론 보도 이후인 11월 25일과 28일에 오히려 쿠팡에 추가 협박 메일을 보내며 압박 수위를 높였습니다. 불안에 떠는 범죄자가 아닌, 자신들의 목적 달성을 위해 대담하게 행동하는 조직의 패턴을 보인 것입니다.
● 기본적인 산수조차 맞지 않는 주장 쿠팡의 주장은 기본적인 산수 계산조차 맞지 않아 그 허구성을 스스로 드러냅니다. 쿠팡은 3,000건의 정보만 저장되었다고 주장하지만, 유출범들이 협박 이메일에서 언급한 쿠팡 직원 이메일 주소 사용자 2,959명과 분석 샘플로 제시한 266건의 데이터만 합산해도 3,225건에 달합니다. 이는 쿠팡이 주장하는 3,000건을 초과하는 수치로, 쿠팡의 해명이 얼마나 조작되었는지를 보여주는 명백한 증거입니다.
● 정부 기관의 공식 부인 쿠팡은 주장의 신빙성을 높이기 위해 마치 ‘정부와 협조하여 조사했다’고 공지했지만, 이는 명백한 거짓으로 드러났습니다. 국가정보원은 쿠팡 임직원이 국회에서 동일한 취지로 증언한 것에 대해 위증으로 고발해달라고 공식 요청하기까지 했습니다.
이처럼 제시된 증거들은 쿠팡의 해명이 피해자들을 기만하기 위해 날조된 허위 주장임을 명백히 보여줍니다. 결국 쿠팡은 이러한 거짓 주장을 토대로 피해자들의 권리를 침해하는 기만적인 보상안을 제시하고 있습니다.
3. 소비자 기만 행위: 허위 사실에 기반한 보상안의 문제점
쿠팡은 ‘유출된 정보는 사실상 없다’는 거짓된 전제하에 총액 5만 원 상당의 구매 이용권 제공을 골자로 한 보상안을 발표했습니다. 이는 피해자의 정당한 권리를 침해하고 소비자를 기만하는 심각한 행위입니다.
쿠팡 보상안의 기만적 성격은 다음과 같습니다.
거래의 전제는 명백한 기망: 이 보상안은 ‘개인정보 유출로 인한 실질적 피해가 없다’는 허위 사실을 전제로 삼고 있습니다. 이로 인해 피해자들은 자신의 정보가 유통될 경우 발생할 수 있는 심각한 2차 피해 가능성을 인지하지 못한 채, 헐값의 보상안에 응하도록 잘못된 판단을 유도당하고 있습니다.
보상을 빙자한 판촉 행사: 총 5만 원 상당의 구매 이용권(쇼핑, R.LUX, 쿠팡이츠, 쿠팡 트래블 4종)을 사용하기 위해서는 쿠팡 및 계열 서비스에 신규 또는 재가입해야 하며, 이용권 금액을 초과하는 추가 구매를 해야 합니다. 이는 보상이라기보다는 사실상 쿠팡의 판촉 행사에 가깝습니다.
손해배상청구권 침해: 만약 피해자가 이 보상안에 응해 구매 이용권을 사용할 경우, 향후 손해배상 청구 소송에서 쿠팡은 해당 금액만큼 공제해야 한다고 주장할 가능성이 매우 높습니다. 이는 피해자의 정당한 손해배상청구권을 심각하게 침해하는 행위입니다.
결론적으로 쿠팡의 보상안은 전자상거래 등에서의 소비자보호에 관한 법률 제21조 제1항 제1호가 금지하는 ‘거짓 또는 과장된 사실을 알리거나 기만적 방법을 사용하여 소비자를 유인하거나 소비자와 거래하는 행위’에 해당합니다. 따라서 공정거래위원회의 즉각적인 개입이 절실합니다.
4. 즉각적인 조치 촉구: 개인정보보호위원회와 공정거래위원회에 대한 요구사항
법무법인 지향은 3,370만 국민의 안전과 소비자의 권익 보호를 위해 쿠팡의 위법 행위에 대해 신속하고 엄정한 조치를 취해줄 것을 강력히 촉구합니다.
개인정보보호위원회에 대한 요청:
○ 개인정보보호위원회의 2025. 12. 3. 자 시정명령이 준수되도록, 다시 시정명령을 내려주시기 바랍니다. 시정명령은 “쿠팡이 즉시 허위 수정 공지를 중단하고, 현재까지 확인된 정확한 사실에 기반하여 유출 위험성과 피해 예방 조치를 담은 정정 공지”이어야 합니다. 그리고, 시정명령을 받은 사실을 쿠팡이 홈페이지와 중앙일간지 등에 공고하도록 시정명령을 내려주십시오.
○ 허위 사실에 기반하여 피해자의 정당한 손해배상청구권 행사를 방해하는 기만적인 보상안의 집행도 즉시 중단하도록 조치해 주십시오.
공정거래위원회에 대한 요청:
○ 쿠팡의 구매 이용권 배포 행위를 ‘기만적 방법을 사용한 소비자 유인 및 거래 행위’로 판단하고, 보상안 시행 예정일인 2026년 1월 15일 이전에 즉시 중지 명령을 내려주십시오. 그리고 시정명령을 받은 사실을 쿠팡이 홈페이지와 중앙일간지 등에 공고하도록 시정명령을 내려주십시오.
법무법인 지향 이은우 변호사는 “쿠팡은 대규모 정보 유출이라는 과오를 덮기 위해 허위 사실로 3,370만 국민을 기만하고 있습니다. 이는 정보 유출 이후 피해 회복을 위해 최선의 조치를 해야 하는 기업이, 오히려 대대적인 위법행위로 피해자들을 2차 피해 위험에 방치하고 소비자의 권리를 침해하는 심각한 행위입니다. 1월 15일이 구매 이용권 이용 개시시점이므로, 그 이전에, 감독 당국의 신속하고 단호한 조치가 시급합니다.”라고 밝혔습니다.
한편, 법무법인 지향은 쿠팡의 김범석 의장과 해롤드 로저스 대표 등이 ‘유출된 정보가 없다’고 기만적으로 대응하는 행위가, 3,370만 피해자들이 대규모 개인정보 유출 후, 자신들의 디지털 기반을 보호해야 하는 업무를 수행하고 있는데, 이를 위계로 방해하는 행위로 보고, 이들을 서울경찰청에 2025. 12. 26.과 2026. 1. 2. 업무방해 혐의로 고소하였습니다.
——————————————————————————–
법무법인 지향 소개
법무법인 지향은 디지털화된 시대에 소비자 보호, 정보인권, 빅테크의 독점에 대응한 공정거래와 피해 회복, 제도 개선 등을 위한 법률 활동에 앞장서고 있습니다. 특히 기술 발전 시대에 발생하는 새로운 법률 문제에 대해 깊이 있는 전문성을 바탕으로 대응하고 있습니다.
문의: 법무법인 지향, 전화: 02-3476-6002
이은우 변호사 (ewlee@jihyanglaw.com), 이상희 변호사(shlee@jihyanglaw.com), 김묘희 변호사(mhkim@jihyanglaw.com) 노정연 변호사(jynoh@jihyanglaw.com)
