년 쿠팡 대규모 개인정보 유출 사태

년 쿠팡 대규모 개인정보 유출 사태

2025-11-30, G30DR

1. 서론: 대한민국 전자상거래 역사상 최악의 보안 참사

2025년 11월, 국내 전자상거래 시장의 지배적 사업자인 쿠팡(Coupang)에서 발생한 개인정보 유출 사태는 단일 기업 기준으로 역대 최대 규모인 3,370만 개의 계정 정보가 유출된 사건으로 기록된다.1 이는 대한민국 전체 인구 약 5,167만 명(2022년 기준)의 약 65%에 해당하는 수치이며, 경제활동인구의 사실상 전원이 포함된 전례 없는 보안 사고다.2 ’로켓배송’으로 대표되는 혁신을 통해 유통 시장을 장악한 쿠팡이 보안 관리 측면에서는 후진적인 행태를 보였다는 비판에 직면하게 된 결정적인 계기다.

이번 사태는 단순한 외부 해킹 공격이 아닌, 내부자 접근 권한 관리 실패와 장기간의 침해 탐지 부재가 결합된 ’보안 거버넌스의 총체적 실패’로 규정된다. 특히 쿠팡이 정부로부터 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 획득했음에도 불구하고, 2021년부터 2025년까지 총 4차례에 걸쳐 반복적인 유출 사고를 일으켰다는 점은 현행 인증 제도의 실효성과 기업의 보안 윤리에 대한 근본적인 의문을 제기한다.1

본 보고서는 2025년 11월 발생한 쿠팡 개인정보 유출 사건의 구체적 경위와 기술적 원인, 과거 유사 사례와의 구조적 연관성, 그리고 이에 따른 법적 책임과 사회적 파장을 포괄적으로 분석한다. 또한, ‘블랙리스트’ 작성 의혹 등으로 드러난 쿠팡의 데이터 관리 철학을 비판적으로 검토하고, 2023년 개정된 개인정보 보호법에 따른 과징금 부과 가능성과 집단소송의 향방을 예측함으로써 향후 기업 보안 정책과 규제 환경에 미칠 시사점을 도출한다.

2. 사건의 재구성: 은폐된 5개월과 드러난 진실

2.1 침해 사고의 타임라인과 늑장 대응

이번 사태의 가장 치명적인 문제점은 침해 사고의 발생 시점과 인지 시점 사이의 간극이다. 쿠팡 측의 공식 발표와 민관합동조사단의 조사 결과를 종합하면, 데이터 유출은 2025년 6월 24일경부터 시작되었다.3 그러나 쿠팡이 침해 사실을 최초로 인지하여 한국인터넷진흥원(KISA)에 신고한 시점은 사고 발생 약 5개월 후인 11월 18일 22시 52분이었다.7

이는 반년 가까운 시간 동안 공격자가 쿠팡의 데이터베이스에 자유롭게 접근하여 데이터를 탈취했음에도 불구하고, 쿠팡의 보안 관제 시스템(SIEM)이나 이상 징후 탐지 시스템이 전혀 작동하지 않았음을 의미한다. 보안 업계에서는 통상적인 대기업의 보안 관제 수준을 고려할 때, 5개월간의 대규모 트래픽 발생이나 비정상적인 접근 패턴을 탐지하지 못한 것은 기술적 결함이라기보다 관리적 태만에 가깝다고 지적한다.3

2.2 피해 규모 산정의 실패와 신뢰 하락

초기 대응 과정에서 쿠팡이 보인 행태는 사태를 더욱 악화시켰다. 쿠팡은 11월 18일 최초 신고 당시 피해 규모를 약 4,536개 계정으로 축소하여 보고했다.1 그러나 이후 진행된 과학기술정보통신부와 개인정보보호위원회의 민관합동조사단 포렌식 조사 과정에서 피해 규모는 기하급수적으로 확대되었다.

최종적으로 확인된 유출 계정 수는 3,370만 개로, 이는 초기 쿠팡이 파악했던 수치의 약 7,500배에 달한다.3 이러한 피해 규모 산정의 실패는 쿠팡이 자사 데이터의 흐름을 정확히 파악하지 못하고 있었거나, 혹은 사태의 심각성을 의도적으로 축소하려 했다는 의혹을 불러일으킨다. 4,500명과 3,370만 명은 대응의 차원이 다른 문제이며, 이는 쿠팡의 내부 침해 사고 대응(Incident Response) 역량이 심각하게 결여되어 있음을 방증한다.

[표 1] 쿠팡 개인정보 유출 사건 주요 일지

일자주요 내용비고
2025. 06. 24.개인정보 무단 유출 시작 (추정)해외 서버 경유 접속
2025. 11. 18.쿠팡, 침해 사실 최초 인지 (22:52)사고 발생 5개월 경과
2025. 11. 19.관계 당국(KISA 등) 1차 신고피해 규모 4,536명 보고
2025. 11. 20.1차 고객 통지 및 사과문 게시“외부 해킹 아님” 강조
2025. 11. 25.서울경찰청 사이버수사대 고소장 접수피고소인 ‘성명불상자’
2025. 11. 29.2차 신고 및 정정 발표피해 규모 3,370만 명으로 확대
2025. 11. 30.민관합동조사단 구성 및 조사 착수과기정통부, 개인정보위

2.3 유출된 데이터의 범위와 2차 피해 우려

유출된 정보는 결제 정보를 제외한 개인 식별 정보와 물류 정보에 집중되어 있다. 구체적인 유출 항목은 고객 이름, 이메일 주소, 휴대전화 번호, 배송지 주소록(수령인 이름, 전화번호, 주소 포함), 그리고 일부 주문 내역이다.4

쿠팡 측은 신용카드 번호나 비밀번호와 같은 민감한 금융 정보와 로그인 자격 증명(Credential)은 유출되지 않았다고 강조하며 진화에 나섰다.7 그러나 보안 전문가들은 유출된 정보의 조합만으로도 심각한 위협이 될 수 있다고 경고한다. 특히 ’주문 내역’과 ’배송지 정보’의 결합은 개인의 소비 취향, 가족 구성원, 거주 형태, 생활 수준 등을 정밀하게 프로파일링할 수 있는 민감한 프라이버시 데이터다.12 이러한 정보는 보이스피싱, 스미싱 등 사회공학적 기법(Social Engineering)을 이용한 2차 범죄의 표적이 되기에 최적화된 데이터셋(Dataset)을 구성한다.3

3. 공격 벡터 분석: 내부자 위협(Insider Threat)의 현실화

3.1 중국 국적 전 직원 소행과 접근 권한 관리 실패

이번 사태의 핵심적인 특징은 외부 해킹 조직에 의한 무차별 대입 공격(Brute Force)이나 시스템 취약점 공격이 아닌, 합법적인 권한을 가졌던 내부자(또는 전직 내부자)에 의한 소행으로 강력히 추정된다는 점이다. 수사 당국과 업계의 분석에 따르면, 유력한 용의자는 쿠팡에서 근무하다 퇴사한 중국 국적의 전 직원으로 지목된다.3

해당 용의자는 이미 중국으로 출국한 상태이며, 해외 서버를 우회하여 쿠팡의 고객 데이터베이스(DB)나 운영 시스템에 접근한 것으로 파악된다.6 이는 전형적인 **계정 및 접근 권한 관리(Identity and Access Management, IAM)**의 실패 사례다. 퇴사자의 계정이 즉시 비활성화(De-provisioning)되지 않았거나, 여러 직원이 공유하는 공용 관리자 계정(Shared Account)이 존재했을 가능성, 혹은 개발 과정에서 사용된 API 접근 키(Access Key)가 코드 내에 하드코딩된 채 방치되어 악용되었을 가능성이 제기된다.4

3.2 제로 트러스트(Zero Trust) 모델의 부재

5개월간 3,370만 건의 데이터가 외부로 전송되었음에도 이를 ’정상적인 접근’으로 간주했다는 것은 쿠팡의 보안 아키텍처가 구시대적인 ’경계 기반 보안(Perimeter-based Security)’에 머물러 있음을 시사한다. 일단 내부 네트워크에 접속하거나 유효한 자격 증명(Credential)을 제시하면 이후의 행위에 대해서는 맹목적인 신뢰(Implicit Trust)를 부여하는 방식이다.

만약 쿠팡이 ‘제로 트러스트’ 원칙을 도입하여 사용자의 신원뿐만 아니라 접속 위치, 시간, 요청 데이터의 양 등을 실시간으로 검증했다면, 중국 등 해외 IP에서의 대량 데이터 조회 시도는 즉각 차단되거나 이상 징후로 탐지되었을 것이다. 특히 과거 오픈소스 사용 시 취약점 점검 의무 위반으로 과징금을 부과받은 전력을 고려할 때, 시스템 보안 설정의 구조적 취약성이 지속적으로 방치되었을 개연성이 높다.15

4. 반복되는 보안 사고와 ISMS-P 제도의 형해화

쿠팡의 개인정보 유출은 이번이 처음이 아니다. 쿠팡은 국내 최고 수준의 정보보호 인증인 ISMS-P를 2021년 최초 취득하고 2024년 갱신했음에도 불구하고, 인증 기간 중 매년 대규모 보안 사고를 일으키는 모순적인 행태를 보였다.1 이는 인증 제도가 기업의 보안 수준을 보증하는 실질적인 지표가 되지 못하고 있음을 방증한다.

4.1 연도별 주요 보안 사고 분석

쿠팡의 보안 사고는 단순한 실수가 아닌 구조적인 패턴을 보인다. 개발 환경과 운영 환경의 분리 미흡, 개인정보 보호를 위한 기술적 조치 소홀 등이 공통된 원인으로 지목된다.

[표 2] 쿠팡 최근 5년간 주요 개인정보 유출 사고 일지

발생 시기사고 유형피해 규모사고 원인 및 특징
2021. 10.시스템 개발 오류일부 노출앱 업데이트 테스트 과정 중 소홀
2021. 11.배달원 정보 유출13.5만 명‘안심번호’ 미적용, 실명/전화번호 식당 전송
2023. 12.앱 개발 오류2.2만 명다른 판매자에게 타인 주문 정보 노출
2025. 11.대규모 무단 유출3,370만 명내부자 소행 추정, 5개월간 미탐지

4.2 2021년 쿠팡이츠 배달원 정보 유출 사건의 시사점

특히 2021년 발생한 쿠팡이츠 배달원 정보 유출 사건은 쿠팡의 보안 의식을 적나라하게 보여주는 사례다. 당시 쿠팡은 배달원(쿠리어) 보호를 위해 음식점에 ’안심번호’만 전송한다고 홍보했으나, 실제로는 주문 통합 관리 시스템 업체인 ’오터코리아(Otter Korea)’와 연동된 시스템을 통해 배달원의 실명과 휴대전화 번호를 그대로 전송해 온 사실이 개인정보보호위원회 조사 결과 드러났다.16

더욱 심각한 것은 쿠팡이 이러한 사실을 인지한 후에도 오터코리아의 서버 접속을 차단했다가 다시 허용하는 등 보안 원칙 없는 운영을 지속했다는 점이다.17 또한 유출 사실을 인지하고도 법정 기한인 24시간 내에 당사자에게 통지하지 않았다. 이 사건으로 쿠팡은 2024년 11월, 약 15억 8,865만 원의 과징금과 과태료를 부과받았다.16 협력사(Third-party) 리스크 관리 실패와 기만적인 개인정보 처리 방침 운영은 이번 2025년 대규모 유출 사태에서도 변주되어 나타났다.

4.3 ISMS-P 인증의 한계와 제도 개선 필요성

한창민 의원 등 정치권에서는 ISMS-P 인증을 받은 기업에서 사고가 반복되는 현상을 지적하며 제도의 실효성에 의문을 제기한다.1 현재 ISMS-P 인증은 특정 시점의 문서 심사와 현장 심사에 의존하기 때문에, 인증 획득 이후 변경된 시스템이나 실제 운영 단계(Operation Phase)에서의 보안 수칙 준수 여부를 실시간으로 감시하지 못한다. 또한 인증 범위를 기업이 자율적으로 설정할 수 있어, 사고가 발생한 시스템이 교묘하게 인증 범위에서 제외되어 있을 가능성도 배제할 수 없다. 이번 사태를 계기로 인증 제도를 ‘사후 점검’ 중심에서 ‘상시 모니터링’ 및 ‘결과 기반 책임’ 체계로 전환해야 한다는 목소리가 높다.4

5. 기업 거버넌스 분석: ’성장’과 ’보안’의 불균형

쿠팡의 반복된 보안 사고는 “성장 우선, 거버넌스 후순위“라는 경영 전략이 낳은 필연적인 결과로 해석된다.

5.1 IT 투자 대비 정보보호 투자의 감소

한국인터넷진흥원(KISA)의 정보보호 투자 공시에 따르면, 쿠팡의 전체 정보기술(IT) 부문 투자 대비 정보보호 부문 투자 비율은 최근 4년간 지속적으로 감소 추세를 보였다.3

  • 2022년: 7.1%
  • 2023년: 6.9%
  • 2024년 이후: 지속적인 감소 기조 유지 (추정)

매출과 사용자 수, 그리고 처리하는 데이터의 양(Volume)과 복잡성(Complexity)이 폭발적으로 증가하는 상황에서 보안 투자의 비중이 줄어들었다는 것은 경영진이 보안을 ’비즈니스 인에이블러(Enabler)’가 아닌 ’절감해야 할 비용(Cost)’으로 인식하고 있음을 명확히 보여준다. 이는 결국 ’깜깜이 보안’으로 이어졌고, 5개월간의 데이터 유출을 방치하는 결과를 초래했다.3

5.2 ‘블랙리스트’ 논란으로 본 왜곡된 데이터 집착

쿠팡의 데이터 관리 철학은 2024년 불거진 ‘블랙리스트’ 의혹에서도 엿볼 수 있다. 쿠팡은 물류센터 노동자들의 근무 태도, 성향, 노조 활동 내역 등을 상세히 기록한 소위 ’블랙리스트(PNG 리스트)’를 작성하여 채용 배제 목적으로 활용했다는 의혹을 받고 있다.19

이 사건은 쿠팡이 데이터를 얼마나 꼼꼼하게 수집하고 관리하는지를 역설적으로 보여준다. 노동자 통제를 위한 데이터 수집과 관리에는 막대한 리소스를 투입하면서도, 정작 고객의 개인정보를 보호하는 데에는 소홀했다는 비판을 피하기 어렵다. 참여연대 등 시민단체는 이를 두고 “노동 탄압에는 빅데이터를 활용하고, 고객 정보 보호에는 구멍이 뚫렸다“고 강도 높게 비판했다.21 공익제보자에 대한 무리한 고소와 압수수색으로 대응한 점 또한 쿠팡이 데이터 문제를 윤리적 관점이 아닌 ’기밀 유지’의 관점으로만 접근하고 있음을 시사한다.21

6. 법적 책임 및 규제 전망

6.1 과징금 규모: ‘매출액 3%’ 룰의 적용

2023년 9월 개정된 개인정보 보호법은 기업의 책임성을 강화하기 위해 과징금 상한액을 대폭 상향했다. 기존에는 ’위반 행위와 관련된 매출액’의 3%였으나, 개정법은 **’전체 매출액’의 3%**까지 과징금을 부과할 수 있도록 규정한다(단, 위반 행위와 무관한 매출은 제외 가능).2

쿠팡의 2024년 회계연도 연결 기준 매출액은 약 38조 2,988억 원이다.2 개인정보보호위원회가 이번 사태를 중대한 안전조치 의무 위반으로 판단할 경우, 이론적으로는 조 단위의 과징금 산정이 가능하다. 설령 해외 사업 부문(대만 등)이나 쿠팡플레이, 쿠팡이츠 등 직접적인 관련성이 다소 낮은 부문의 매출(약 14% 비중)을 제외하더라도, 주력인 이커머스 매출 규모가 절대적이기 때문에 과징금 액수는 천문학적인 수준이 될 것으로 예상된다.2

업계에서는 이번 사태가 SK텔레콤(약 1,348억 원 규모의 과징금 사례가 언급되나, 이는 다른 법적 맥락과 결합된 수치일 수 있음)이나 골프존 등 과거 대형 유출 사고의 제재 수위를 훨씬 상회하는 역대 최대 과징금 기록을 세울 것으로 전망한다.3 이는 쿠팡의 영업이익에 치명적인 타격을 줄 수 있는 규모다.

6.2 형사 책임 및 경영진 제재

경찰 수사 결과, 쿠팡 측의 고의적인 은폐 시도나 중대한 관리 소홀이 입증될 경우 법인은 물론 개인정보 보호책임자(CPO) 및 관련 경영진에 대한 형사 처벌 가능성도 존재한다. 특히 5개월간의 미인지가 단순 과실을 넘어선 ’미필적 고의’에 가까운 방치로 해석되거나, 초기 피해 규모 축소 보고가 고의적인 행위로 밝혀질 경우, 정보통신망법 및 개인정보 보호법 위반 혐의가 적용될 수 있다.9

7. 집단소송의 쟁점과 피해 구제의 한계

7.1 집단소송의 확산과 법적 쟁점

사고 발생 직후부터 네이버 카페, 카카오톡 오픈채팅방 등을 중심으로 수만 명 규모의 피해자 모임이 결성되었으며, 다수의 법무법인이 집단소송인단을 모집하고 있다.10 소송의 핵심 쟁점은 쿠팡이 법령상 요구되는 ’기술적·관리적 보호 조치’를 충실히 이행했는지 여부다.

법무법인 린의 구태언 변호사 등 법조계 전문가들은 “해킹 기술이 고도화되었더라도 당시 기술 수준에서 요구되는 접근 통제, 접속 기록 보관, 암호화 조치 등을 소홀히 했다면 과실이 인정된다“고 분석한다.23 특히 이번 사건은 외부 해킹이 아닌 내부자 소행이며, 유출 기간이 장기간(5개월) 지속되었다는 점에서 쿠팡의 ’감시 의무 소홀’이 명백해 보인다는 의견이 지배적이다.

7.2 한국적 소송 환경의 한계

그러나 실제 소송에서 피해자들이 만족할 만한 배상을 받기는 쉽지 않다. 한국 법원은 개인정보 유출 자체로 인한 정신적 손해를 인정하는 데 매우 보수적이며, 2차 피해(보이스피싱 등 금전적 피해)와의 인과관계를 피해자가 직접 입증하도록 요구하는 경향이 있다.

과거 주요 판례를 살펴보면 다음과 같다.25

  • 2014년 카드사 정보 유출: 1인당 10만 원 배상 (2018년 대법원 확정)
  • 2016년 인터파크 해킹(1,030만 명): 1인당 10만 원 배상 (4년 소송 끝 판결)
  • 2011년 네이트/싸이월드: 1심 20만 원 승소, 2심 패소(배상 책임 없음)

전문가들은 이번 사건에서도 승소 시 1인당 위자료가 10만 원 안팎에 머물 것으로 예상한다. 3,370만 명이 모두 소송에 참여한다면 총 배상액이 3조 원대에 이를 수 있다는 산술적 계산이 나오지만23, 현실적으로 모든 피해자가 소송에 참여하기 어렵고, 긴 소송 기간과 낮은 배상액은 피해자들의 참여 의지를 꺾는 요인이 된다.

그럼에도 불구하고 이번 사건은 유출의 규모와 성격(내부 통제 완전 상실)이 과거와 다르고, 징벌적 손해배상 제도의 적용 가능성이 열려 있어 법원의 판단이 달라질 여지도 존재한다. 일부 법무법인은 이를 근거로 1인당 10만 원 이상의 위자료를 청구 취지로 내세우고 있다.23

8. 결론 및 제언: 데이터 주권의 회복을 위하여

2025년 쿠팡 개인정보 유출 사태는 대한민국이 ’초연결 데이터 사회’로 진입하면서 마주한 가장 뼈아픈 경고다. 국민의 65%에 달하는 개인정보가 기업의 허술한 관리와 탐욕적인 성장 전략 속에서 무방비로 노출되었다. 이번 사건은 기업의 자율 규제에 맡겨진 보안 체계가 얼마나 취약할 수 있는지를 적나라하게 보여주었다.

쿠팡은 이번 사태를 계기로 “고객 없는 비즈니스는 없다“는 기본 원칙을 되새겨야 한다. 단순히 보안 시스템을 업그레이드하는 것을 넘어, 데이터를 바라보는 관점 자체를 ’통제와 활용’에서 ’보호와 존중’으로 전환해야 한다. 정부 또한 ISMS-P 인증 제도의 내실화, 징벌적 손해배상제의 실질적 적용, 그리고 집단소송제 도입 등을 통해 기업이 보안에 투자하지 않으면 생존할 수 없는 환경을 조성해야 한다.

지금 제대로 된 대책을 마련하지 않는다면, 데이터 유출은 반복될 것이며 그 피해는 고스란히 국민의 몫으로 남을 것이다. 쿠팡 사태는 끝이 아니라, 한국 사회의 디지털 신뢰를 재건하기 위한 고통스러운 시작점이 되어야 한다.

9. 참고 자료

  1. 국가인증 받으면 뭐하나…쿠팡, 개인정보 네 번이나 털렸다, https://www.donga.com/news/Economy/article/all/20251130/132869448/1
  2. “국민 10명 중 6.5명 개인정보 유출”…쿠팡, 역대 최대 1조 과징금 맞나 - 머니투데이, https://www.mt.co.kr/tech/2025/11/30/2025113014380059809
  3. 해킹? 외국 직원 유출?…쿠팡에 전국민 다 털렸다, https://v.daum.net/v/20251130164346101
  4. 쿠팡 ISMS-P 두차례 취득했어도 4차례 개인정보 유출 사고 - ZUM 뉴스, https://m.news.zum.com/articles/102518514
  5. 쿠팡 회원 전체 3370만명 개인정보 유출…지난 6월부터, https://www.hani.co.kr/arti/society/society_general/1231965.html
  6. 쿠팡 개인정보 유출, 내부자 소행 정황… 핵심 인물 이미 출국, https://it.chosun.com/news/articleViewAmp.html?idxno=2023092151955
  7. Coupang Data Breach Exposes 33.7 Million Users’ Personal Information, https://www.chosun.com/english/industry-en/2025/11/29/YNT2SVI6BNAYLK2ZGLCJQF22OU/
  8. Alarm grows over Coupang data breach that went undetected for 5 months, https://koreajoongangdaily.joins.com/news/2025-11-30/national/socialAffairs/Alarm-grows-over-Coupang-data-breach-that-went-undetected-for-5-months/2466232
  9. 3370만명 개인정보 노출…쿠팡·정부 모두 감독 공백 드러났다, https://www.economidaily.com/view/20251130150207729
  10. [현장] 쿠팡, 3370만 고객정보 전부 털려…집단소송 본격화 되나, https://www.newstong.co.kr/view3.aspx?seq=14069300&allSeq=33&txtSearch=&cate=0&cnt=-5&subCate=2&order=default&newsNo=8
  11. Coupang apologizes over info leak affecting 33.7 mil. customers - The Korea Times, https://www.koreatimes.co.kr/business/companies/20251130/coupang-apologizes-over-info-leak-affecting-337-mil-customers
  12. 쿠팡 가입자 3370만명 정보 털렸다…정부 “법 위반시 엄정제재 방침”, https://www.kookje.co.kr/news2011/asp/newsbody.asp?code=0200&key=20251130.99099009748
  13. 쿠팡, 최대 위기…3370만명 정보 털렸는데 5개월간 몰랐다, https://www.hankyung.com/article/2025113044231
  14. 쿠팡 개인정보 유출 사건 - 나무위키, https://namu.wiki/w/%EC%BF%A0%ED%8C%A1%20%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%20%EC%9C%A0%EC%B6%9C%20%EC%82%AC%EA%B3%A0
  15. 개인정보위, 배달원·고객정보 유출한 쿠팡에 과징금·과태료 15억8865만원 부과, https://biz.chosun.com/it-science/ict/2024/11/28/ZFEOFROWGJD5VJ7FHPDCIZG5JU/
  16. 개인정보위, 16만명 개인정보 유출한 쿠팡에 15억 과징금·과태료 부과 - 오피니언뉴스, https://www.opinionnews.co.kr/news/articleView.html?idxno=108733
  17. 개인정보위, 쿠팡에 15억8865만원 과징금·과태료 부과 - SR타임스, http://www.srtimes.kr/news/articleView.html?idxno=167258
  18. 11월 30, 2025에 액세스, [https://www.businesspost.co.kr/BP?command=article_view&num=374624#::text=%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EC%9C%84%EC%9B%90%ED%9A%8C%EB%8A%94,%EC%9D%98%20%EA%B3%BC%EC%A7%95%EA%B8%88%EC%9D%84%20%EB%B6%80%EA%B3%BC%EB%B0%9B%EC%95%98%EB%8B%A4.](https://www.businesspost.co.kr/BP?command=article_view&num=374624#::text=개인정보보호위원회는, https://www.businesspost.co.kr/BP?command=article_view&num=374624#:~:text=%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EC%9C%84%EC%9B%90%ED%9A%8C%EB%8A%94,%EC%9D%98%20%EA%B3%BC%EC%A7%95%EA%B8%88%EC%9D%84%20%EB%B6%80%EA%B3%BC%EB%B0%9B%EC%95%98%EB%8B%A4.
  19. [포토] 쿠팡 블랙리스트 공개 100여일, 꿈쩍 않는 고용노동부 - 한겨레, https://www.hani.co.kr/arti/society/labor/1142268.html
  20. “쿠팡 상대 집단 손배소”‥노동부 “기초조사 착수” - MBC 뉴스, https://imnews.imbc.com/replay/2024/nwtoday/article/6571304_36523.html
  21. [논평] 쿠팡 블랙리스트 공익제보자 압수수색 부당하다 - 참여연대 -, https://www.peoplepower21.org/whistleblower/1971629
  22. [논평] 쿠팡 블랙리스트 공익제보자 압수수색 중단하라 - 세이프타임즈, https://www.safetimes.co.kr/news/articleView.html?idxno=217226
  23. 3370만명 개인정보 유출된 쿠팡…민사 위자료만 3조원 넘을 수도 - 머니투데이, https://www.mt.co.kr/society/2025/11/30/2025113014093593317
  24. 레드팀·위협관리팀 있다더니… 쿠팡, 5개월간 유출 몰랐다, https://www.seoul.co.kr/news/economy/distribution/2025/12/01/20251201003001
  25. 집단소송 가더라도…1인 최대 10만원 배상, https://www.hankyung.com/article/2025113044221