쿠팡에 유독 중국인 개발자가 많은 이유?

쿠팡, 유독 중국인 개발자가 많은 이유

 

2025년 11월, 국내 최대 이커머스 플랫폼 쿠팡에서 3,370만 명의 개인정보가 유출되는 초유의 사태가 발생했습니다. 이번 사건을 둘러싼 논란과 확인된 사실들을 정리해봅니다.

쿠팡, 개인정보 유출 사건의 전말

유출 규모와 경과

2025년 11월 6일 18시 38분, 쿠팡 서버에 무단 접근이 발생했으나 회사는 이를 즉시 감지하지 못했습니다. 쿠팡이 침해 사실을 알게 된 것은 12일이 지난 11월 18일 오후 10시 52분이었고, 이마저도 고객 민원을 통해서였습니다.

 

당초 4,500개 계정 유출로 파악되었으나, 후속 조사 결과 약 3,370만 개 계정의 정보가 유출된 것으로 최종 확인되었습니다.

 

유출된 정보:

• 이름
• 이메일 주소
• 배송지 주소록 (이름, 전화번호, 주소)
• 일부 주문정보
• 공동현관 출입문 비밀번호

유출 방식과 보안 실패

전직 직원이 퇴사 후에도 남아있던 '액세스 토큰 서명키'를 악용해 약 5개월간(6월 24일~11월) 시스템에 접근했습니다. 범인은 프록시 서버로 IP를 변조하고 '로 앤드 슬로(Low and Slow)' 방식으로 데이터를 천천히 빼내 147일간 보안 시스템을 우회했습니다.

 

보안 실패의 핵심: 전문가들은 퇴사자의 접근 권한을 즉시 말소하는 것이 기본 보안 절차임에도 불구하고, 쿠팡이 인증키를 폐기하지 않아 고객 개인정보에 자유롭게 접근할 수 있었다고 지적했습니다.

중국인 개발자 논란

확인된 사실

유출 사건의 용의자는 중국 국적의 전직 직원으로 확인되었으며, 이미 한국을 떠나 중국에 체류 중입니다.

 

박대준 쿠팡 대표는 12월 2일 국회 현안질의에서 "해당 직원은 인증 업무를 직접 수행한 직원이 아니라 인증 시스템을 개발하는 개발자였다"고 밝혔습니다.

인력 구성 논란

커뮤니티 주장: 직장인 익명 커뮤니티 블라인드에 "쿠팡 IT 인력의 90% 이상이 중국인"이라는 글이 올라왔고, 자신을 쿠팡 개발자라고 밝힌 작성자는 "매 분기 신규 입사자의 80%가 중국, 나머지가 인도와 한국인"이라고 주장했습니다.

 

쿠팡 측 입장: 박대준 대표는 국회에서 "전혀 사실이 아니다. 한국인 비율이 압도적으로 많다"고 밝혔으나, 구체적인 채용 현황은 공개하지 않았습니다.

 

확인된 채용 현황: 쿠팡은 중국 상하이·베이징·선전에 개발 조직을 두고 있으며, 링크드인 '쿠팡 차이나' 페이지에는 중국 내 근무 인력이 270명 이상이라고 소개되어 있습니다.

 

특허청 자료 분석 결과, 2025년 1~11월 쿠팡이 출원한 특허 327건 중 99건(30.2%)에 중국인 개발자가 포함되었고, 발명자 명단에 이름을 올린 중국인 개발자는 중복 제외 169명에 이릅니다.

쿠팡의 개인정보 유출과 후속 조치

2025년 12월 10일, 박대준 쿠팡 대표가 사임했습니다. 쿠팡은 해롤드 로저스 미국 쿠팡 Inc 최고관리책임자(CAO) 겸 법무총괄을 임시 대표로 선임했습니다.

왜 중국 개발자를 채용하는가?

인건비 차이

채용 플랫폼 원티드에 따르면 2024년 1분기 기준 국내 7~9년차 개발자의 평균 연봉은 6,343만 원입니다. 반면 중국 개발자의 중위소득은 3만 달러(약 4,000만 원대) 수준입니다.

 

중소벤처기업부가 공개한 '인도개발자 협업 가이북'에 따르면 인도의 5년 이상 시니어 개발자의 연봉은 약 2,400만~3,200만 원 선입니다.

플랫폼 경험

IT 업계 관계자는 "한국보다 앞서 대규모 물류 자동화를 경험한 중국 개발자가 인건비도 낮고 쿠팡이 원하는 개발 시스템을 더 숙지하고 있었을 것"이라고 분석했습니다.

 

한 유명 플랫폼 업체 관계자는 "쿠팡이 중국 인력을 적극 채용해 온 것은 스스로를 글로벌 기업으로 규정하고 국적과 상관없이 성과를 극대화하려는 문화 때문"이라며 "실제 글로벌 빅테크 기업에서도 인력풀이 두터운 중국인 개발자를 채용하는 경우가 흔하다"고 말했습니다.

글로벌 기업의 인력 전략

정상적인 관행인가?

글로벌 빅테크 기업들이 국적을 불문하고 우수한 개발자를 채용하는 것은 일반적인 관행입니다. 구글, 아마존, 마이크로소프트 등도 중국, 인도 등 다양한 국적의 개발자를 고용하고 있습니다.

한국 시장 특수성

그러나 쿠팡의 경우 다음과 같은 특수성이 논란의 중심에 있습니다:

1. 매출의 대부분이 한국에서 발생
2. 한국 고객의 민감한 개인정보를 다룸
3. 보안 관리의 중요성

쿠팡의 매출은 대부분 한국 소비자로부터 창출되나 고객의 개인정보를 관리하는 인력은 중국 중심으로 구성된 것이 이번 사태의 시작점이라는 지적이 나왔습니다.

보안 관리의 문제점

퇴사자 권한 관리 실패

전문가들은 "퇴사자의 액세스 토큰 서명키를 갱신하거나 폐기하지 않은 것은 가장 기본적인 보안 절차조차 작동하지 않은 것"이라며, 단순 해킹이 아닌 인증 체계 관리의 총체적 실패라고 지적했습니다.

 

보안 준칙이 강한 것으로 유명한 구글의 경우, 퇴사 통보 전에 접근 권한을 말소합니다.

ISMS-P 인증의 허점

쿠팡이 정보보호 인증(ISMS-P)을 획득·갱신했음에도 퇴사자 권한 관리조차 되지 않았다는 사실이 드러나며, 현행 인증 제도가 실효성이 없다는 비판이 나왔습니다.

법적 책임과 향후 전망

예상 제재

• 개인정보보호위원회: 매출의 최대 3%까지 과징금 부과 가능 (최대 1조 원 규모)
• 징벌적 손해배상: 이재명 대통령이 현실화를 주문
• 집단소송: 48만 명 이상이 소송 참여

수사 난항

유력 용의자인 중국인 전 직원이 이미 출국한 상태로, 중국의 자국민 불인도 원칙으로 인해 신병 확보가 사실상 불가능합니다. 인터폴 적색수배는 가능하지만, 핵심 증거 확보나 소환 조사가 불투명해 사건이 기소중지로 장기화될 우려가 큽니다.

 

다만 2025년 8월 BTS 정국과 대기업 회장 계좌를 해킹한 중국인을 한국에 인도한 전례가 있어 가능성이 완전히 없는 것은 아닙니다.

쿠팡의 개인정보 유출 사건을 통해 우리가 배워야 할 교훈

1. 글로벌 인재 채용과 보안의 균형

글로벌 인재를 채용하는 것 자체는 문제가 아닙니다. 문제는 핵심 보안 시스템을 개발하는 인력에 대한 철저한 관리와 퇴사 후 권한 통제입니다.

2. 내부자 위협 관리

법조계에서는 이번 사건이 외부 해킹에 의한 방어 실패가 아니라, 내부자가 합법적 권한을 악용해 정보를 탈취한 '내부 보안 통제 실패'라고 지적했습니다.

3. 인증 제도의 실효성

형식적인 보안 인증이 아닌 실질적인 보안 관리 체계가 필요합니다.

4. 기업의 사회적 책임

한국에서 매출의 대부분을 거두는 기업이라면, 한국 고객의 정보 보호에 더욱 신경 써야 합니다.

객관적 평가

사실로 확인된 것

✅ 3,370만 명의 개인정보 유출 ✅ 용의자는 중국 국적의 전직 개발자 ✅ 퇴사 후 권한 말소 미흡 ✅ 쿠팡이 중국에 개발 조직 보유 ✅ 특허 출원의 30% 이상에 중국인 개발자 참여

확인되지 않은 것

❓ IT 인력의 구체적인 국적별 비율 ❓ 복지 차별 여부 ❓ 내부 카르텔 형성 여부

마무리: 냉정한 시각이 필요한 때

이번 사태는 단순히 "중국인 개발자 문제"로 치부할 수 없습니다. 핵심은:

1. 보안 관리의 기본조차 지키지 않은 기업의 책임
2. 민감한 정보를 다루는 인력에 대한 철저한 관리 체계 부재
3. 퇴사자 권한 통제 실패
4. 장기간 침해를 감지하지 못한 보안 시스템의 허점

글로벌 기업으로서 다양한 국적의 인재를 채용하는 것은 정당합니다. 하지만 그만큼 보안 관리 체계도 글로벌 수준이어야 합니다.

 

쿠팡뿐 아니라 한국 고객의 정보를 다루는 모든 기업이 이번 사태를 교훈 삼아, 실질적인 보안 체계를 구축해야 할 때입니다.

---

참고: 이 글은 2025년 12월 12일 기준 공개된 보도 자료와 국회 현안질의 내용을 바탕으로 작성되었으며, 확인된 사실과 논란을 객관적으로 정리했습니다.