이커머스 업체 쿠팡이 29일 발표한 입장문에 따르면, 회사는 11월 18일 약 4,500개 계정의 개인정보 무단 노출을 확인하고 경찰청, 한국인터넷진흥원, 개인정보보호위원회에 신고했다. 이후 조사 과정에서 피해 규모가 약 3,370만 개 계정으로 확대된 것으로 확인됐다.

유출된 정보는 이름, 이메일 주소, 배송지 주소록(입력 이름, 전화번호, 주소), 일부 주문정보다. 쿠팡 측은 결제 정보, 신용카드 번호, 로그인 정보는 포함되지 않았다고 밝혔다. 2025년 6월 24일부터 해외 서버를 통해 무단 접근이 이루어진 것으로 추정하고 있다. 또한 침해 원인에 대해 현재 관련 당국과 협력하여 조사를 진행 중라고 언급했다.

과학기술정보통신부, 서울경찰청 등 관계 기관은 11월 19일 침해사고 신고와 11월 20일 개인정보 유출 신고를 접수한 뒤 현장 조사를 실시했다. 조사 결과, 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 절차를 거치지 않고 고객 정보를 유출한 것으로 확인됐다.

정부는 11월 30일부터 민관합동조사단을 가동하고 있으며, 개인정보보호위원회는 쿠팡이 개인정보 보호 관련 안전조치 의무(접근통제, 접근권한 관리, 암호화 등)를 위반했는지 조사 중이다. ‘한국의 아마존’으로 불릴 만큼 많은 사용자가 이용하는 서비스인 만큼 11월 29일에는 바로 2차 피해 방지를 위한 대국민 보안 공지를 진행하기도 했다. 또한 11월 30일부터 3개월간 인터넷상 개인정보 유출 및 불법 유통 점검 강화 기간으로 운영한다.

한편 국회 과학기술정보방송통신위원회 최민희 위원장은 30일 보도자료를 통해 이번 사고의 구체적인 원인을 분석한 결과를 공개했다. 쿠팡으로부터 받은 자료에 따르면, 쿠팡은 토큰 서명키 유효 인증기간에 대해 “5~10년으로 설정하는 사례가 많다”라며 “로테이션 기간이 길고, 키 종류에 따라 매우 다양하다”고 답변한 것으로 전해졌다.

최 위원장 측은 이번 사고를 출입 시스템에 비유해 설명했다. 로그인에 필요한 ‘토큰’이 일회용 출입증이라면, ‘서명키’는 출입증을 발급하는 인증 도장과 같다. 출입증이 있어도 인증 도장이 없으면 출입할 수 없지만, 서명키를 장기간 방치할 경우 지속적으로 악용될 수 있다는 것이다.

최민희 의원실이 확인한 결과, 쿠팡의 로그인 시스템에서는 토큰이 생성 후 즉시 폐기되도록 설계되어 있으나, 토큰 생성에 필요한 서명 정보가 담당 직원 퇴사 시 삭제되거나 갱신되지 않고 방치되어 내부 직원에 의해 악용된 것으로 파악됐다.

최민희 위원장은 보도자료를 통해 “서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다”라며 “장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증체계를 방치한 쿠팡의 조직적·구조적 문제의 결과”라고 밝혔다.

이번 침해 사고의 피해 대상자에게는 이메일 또는 문자 메시지를 통해 관련 사실이 안내됐다. 추가 문의가 필요한 경우 고객 센터 또는 incident_help@coupang.com으로 연락하면 된다. 관련 정보는 별도의 안내 페이지를 통해서도 확인할 수 있다.

침해 사실 안내문과 별도로 박대준 쿠팡 대표이사는 30일 별도의 입장문을 통해 “국민 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과드린다”라며“쿠팡은 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 경찰청 등 민관합동조사단과 긴밀히 협력하여 추가적인 피해 예방을 위해 최선을 다하겠다”라고 밝혔다.
jihyun.lee@foundryco.com

몇 년 전만 해도 직접 온라인 쇼핑을 할 여유가 있었다. 하지만 이제는 그조차 구식처럼 느껴진다. 일과 출장, 수많은 디지털 알림 사이에서 가격을 비교하고 결제 정보를 입력할 시간조차 없다.

곧 그럴 필요도 없어질 전망이다. AI가 상품 추천뿐 아니라 ‘직접 구매’까지 배우고 있기 때문이다.

이것이 바로 ‘에이전틱 커머스(agentic commerce)’의 개념이다. 앞으로 자주 듣게 될 용어로, 자율적인 AI 에이전트가 사용자를 대신해 구매 행위를 수행하는 세계를 뜻한다. 예를 들어 “내가 좋아하는 원두가 떨어지면 다시 주문해줘”라고 디지털 비서에게 말하면, AI가 검색·비교부터 결제와 배송 추적까지 전 과정을 알아서 처리한다.

CIO에게 이 변화는 사소한 주제가 아니다. 고객을 확보하고 유지하는 기업의 방식 자체를 다시 쓰게 될 차세대 디지털 전환의 물결이 될 수 있기 때문이다.

클릭에서 위임으로

기존 전자상거래는 인간의 주의력에 의존한다. 사용자가 둘러보고 비교하고 결제 버튼을 클릭한다. 기업의 역할은 매력적인 웹사이트와 매끄러운 결제 과정을 설계하는 것이었다.

에이전틱 커머스는 이런 공식이 완전히 바뀐다. 이제 소비자는 행동이 아니라 ‘의도’를 위임한다. “원하는 것을 말하면 AI가 실행하는” 방식으로 바뀌는 것이다. 즉, 다음 고객은 사람이 아닐 수도 있다. 누군가를 대신해 쇼핑하는 알고리즘일 수도 있다.

CIO 입장에서 흥미로우면서도 불안한 변화다. 사용자 경험에서 기계 간 경험으로 중심이 이동하기 때문이다. 이제 승부는 화려한 이미지나 마케팅 문구가 아니라, AI 에이전트가 이해할 수 있을 만큼 정확하고 구조화된 데이터 품질에 달려 있다.

또한 에이전틱 커머스는 검색 최적화의 개념도 근본적으로 바꾼다. 검색의 대상이 더 이상 사람이 아니라 AI이기 때문이다. AI는 페이지를 탐색하지 않고 데이터를 분석한다. 이 새로운 세계에서 데이터 품질이 곧 ‘매장 진열대’가 된다.

변화의 초기 신호

변화는 이미 시작됐다. 아마존은 자사에 없는 상품을 다른 소매점에서 대신 구매해주는 ‘나를 위한 구매(Buy for Me)’ 기능을 시험 중이다. 오픈AI의 챗GPT는 대화창 안에서 즉시 결제할 수 있는 기능을 추가했다. 구글은 목표 가격에 도달하면 자동으로 구매를 수행하는 AI 쇼핑 모드를 실험하고 있다.

결제 네트워크도 발 빠르게 움직이고 있다. 비자와 마스터카드는 승인된 예산 내에서 인증된 AI 에이전트가 결제할 수 있도록 하는 API를 개발 중이다. 퍼플렉시티는 페이팔과 협력해 사용자가 하나의 대화 쓰레드 안에서 상품을 탐색하고 구매할 수 있도록 하고 있다.

이 모든 것은 미래의 이야기가 아니다. 이미 시범 운영 중이다. 기술적 기반은 복잡하지만, 결과는 단순하다. 마찰이 사라지고 쇼핑이 보이지 않게 된다.

IT 리더가 주목해야 하는 이유

기술이 마찰을 제거하면 거래 속도만 빨라지는 것이 아니라, 가치 사슬의 권력 구조 자체가 바뀐다. AI 에이전트가 구매의 주요 관문이 되면 어떤 상품이 노출되는지를 결정하는 주체도 AI가 된다. 인간의 클릭 경쟁에서 알고리즘 신뢰 경쟁으로 무게중심이 이동하는 것이다.

CIO와 디지털 리더가 주목해야 할 세 가지 변화는 다음과 같다.

1. API가 새로운 매장이다. AI 에이전트는 웹페이지를 탐색하지 않는다. 구조화된 데이터를 질의한다. 정돈된 상품 목록, 일관된 메타데이터, 실시간 재고 정보가 AI 구매자에게 노출될 수 있는지를 좌우한다.

2. 마케팅은 설득에서 정밀함으로 바뀐다. AI 에이전트는 가격, 품질, 지속가능성, 이행 신뢰도 같은 객관적 사실을 중시한다. 브랜드는 이런 차별화를 데이터 자체에 녹여야 한다.

3. 보안과 신원 관리가 전략이 된다. ‘고객을 아는 것(KYC)’이 ‘에이전트를 아는 것(KYA)’으로 바뀐다. 각 거래는 AI가 진짜 사용자를 대표하는지 증명해야 하며, 지출 한도를 통제하는 장치가 필요하다.

이 변화를 실험이 아닌 인프라 과제로 받아들이는 기업이 가장 먼저 승리할 것이다.

앞으로의 과제

애널리스트들은 이미 이런 흐름을 추적하고 있다. 맥킨지는 에이전틱 커머스가 2030년까지 전 세계 소매 매출에서 연간 3조~5조 달러 규모의 영향을 미칠 수 있다고 추산한다. 어도비에 따르면, 2025년 7월 생성형 AI 기반 브라우저와 채팅 서비스에서 미국 소매 사이트로 유입된 트래픽은 전년 동기 대비 4,700% 증가했다.

숫자만 보면 거대하지만, 진짜 이야기는 기업 내부에서 어떤 변화가 일어나는지에 있다.

소매 기업은 표준화된 API를 통해 상품 데이터를 노출하기 위해 기술 스택을 재편하고 있다. 결제 네트워크는 AI 에이전트가 시작하는 결제에 사용할 수 있는 지출 한도 기반 자격 증명을 시범 적용하고 있다. 알리바바와 미라클(Mirakl) 같은 글로벌 마켓플레이스는 AI 구매자가 여러 판매자 간에 끊김 없이 상품을 탐색하고 구매할 수 있도록 공유 에이전틱 커머스 계층에 투자하고 있다.

생태계가 실시간으로 구축되고 있다.

기회와 위험

모든 기술 도약이 그렇듯, 기회와 위험은 동시에 찾아온다. 기회는 다음과 같다.

• 자연어 대화형으로 이뤄지는 매끄러운 온라인 쇼핑은 장바구니 이탈을 줄이고 고객 충성도를 높일 수 있다.
• 반복적인 B2B 조달 업무는 완전 자동화되어 사람이 더 높은 부가가치 업무에 집중할 수 있다.
• 데이터를 AI가 탐색하기 좋은 형태로 구조화한 소규모 판매자는 새로운 고객층에 도달할 수 있다.

위험은 다음과 같다.

• 보안 표준이 성숙하기 전까지는 사기와 신원 도용이 증가할 수 있다.
• 상호작용을 AI 에이전트가 대신 처리하면서 브랜드는 고객과의 직접적인 관계를 잃을 수 있다.
• 규제가 아직 따라가지 못해 AI가 잘못된 상품을 구매했을 때 책임 소재가 누구에게 있는지 불확실하다.

해법은 균형이다. 자동화를 전제로 시스템을 구축하되, 관리와 감시는 유지해야 한다. 에이전트가 행동하도록 허용하되, 투명한 감사 추적 체계를 설계해야 한다. 무엇보다도 통제권은 항상 고객에게 있어야 한다.

기업이 준비해야 할 것

필자가 몸담은 조직에서는 AI 에이전트를 모바일이나 음성 인터페이스 초창기와 비슷한 새로운 디지털 채널로 보기 시작했다. 이를 위해 세 가지 측면에서 준비하고 있다.

• 데이터. 사람과 기계가 모두 이해할 수 있도록 상품·서비스 데이터를 표준화하고 있다.
• 보안. AI 에이전트가 행동할 때 적절히 인증되고 책임 소재를 분명히 할 수 있도록 위임 승인 방식을 검토하고 있다.
• 마음가짐. 인터페이스와 클릭이 아니라 의도와 결과의 관점에서 사고하도록 팀을 교육하고 있다.

에이전틱 커머스가 성숙하는 데 시간이 더 걸리더라도, 이런 역량은 지금 당장 디지털 운영 전반을 강화하는 데도 도움이 된다.

자동화의 인간적 측면

일각에서는 AI 에이전트에게 구매를 맡기면 상거래에서 인간적인 감성이 사라질 것이라고 우려한다. 필자의 생각은 다르다.

기술이 반복적인 업무를 처리하면 사람은 새로운 상품을 탐색하고 관계를 구축하며 경험 자체를 즐기는 등 더 높은 수준의 의사결정을 할 시간을 확보하게 된다. 이 새로운 환경에서 승자가 되는 기업은 자동화에 신뢰와 투명성을 결합할 것이다. 이런 기업은 고객이 반복적인 선택을 AI에 위임하더라도, AI가 고객의 이익을 최우선으로 삼고 있다는 확신을 줄 수 있어야 한다.

디지털 전환의 목적은 항상 같다. 사람을 대체하는 것이 아니라 사람이 이룰 수 있는 성과를 증폭하는 것이다.

새로운 유형의 고객

모든 큰 디지털 전환은 새로운 유형의 고객을 데려온다.

• 웹은 전 세계 어디에서나 접속하는 글로벌 고객을 만들었다.
• 모바일은 항상 연결된 고객을 등장시켰다.
• AI는 에이전트로 대표되는 자율적인 고객을 데려올 것이다.

CIO에게 이것은 도전이자 초대이다. AI 에이전트가 디지털 문을 두드리기를 마냥 기다릴 수도 있고, 이들을 맞이할 준비가 된 시스템을 지금부터 설계할 수도 있다.

인프라는 이미 갖춰지기 시작했고 표준은 만들어지고 있으며, 기회는 활짝 열려 있다. 다음에 AI 비서가 “가장 좋은 조건을 찾아 이미 주문까지 완료했다”라고 말하는 순간, 에이전틱 커머스 시대가 공식적으로 열렸다는 사실을 알게 될 것이다.
dl-ciokorea@foundryco.com

A few years ago, I could still keep up with my own online shopping. Now, even that feels old-fashioned. Between work, travel and a thousand digital distractions, I do not have time to compare prices or fill out checkout forms.

Soon, I may not have to. Artificial intelligence is learning to do it for me; not just to recommend, but to buy.

That is the promise of agentic commerce, a term we will all be hearing more often. It describes a world where autonomous AI agents act as shoppers on our behalf. You tell your digital assistant, “Reorder my favorite coffee beans when I am running low,” and it quietly handles everything from searching and comparing to paying and tracking delivery.

For CIOs, this is not a side show. It is the next wave of digital transformation; one that could rewrite how businesses attract, serve and keep customers.

From clicking to delegating

Traditional e-commerce depends on human attention. People browse, compare, decide and click. The company’s job has been to design beautiful sites and frictionless checkout flows.

Agentic commerce flips that script. Customers will increasingly delegate intent, not actions. They will say what they want and an AI agent will execute.

That means your next “customer” might not be a person at all. It could be an algorithm shopping on behalf of one.

As a CIO, I find that idea both thrilling and unsettling. It moves us from user experience to machine-to-machine experience. The winning brands will not be the ones with the best imagery or marketing copy. They will be the ones whose data is clean, structured and trustworthy enough for an AI agent to understand.

Also, agentic commerce fundamentally reshapes search optimization because the audience for search is no longer just human. It’s now AI agents and they don’t “search” the way people do. They parse data, not pages.

In this world, data quality is the new storefront.

Early signals of the shift

We are already seeing the change.

Amazon is testing a “Buy for Me” feature that lets its AI purchase items from other retailers if Amazon does not carry them. OpenAI’s ChatGPT added instant checkout inside chat conversations. Google is piloting an AI shopping mode that tracks prices and buys automatically when a target price is reached.

Payment networks are following fast. Visa and Mastercard are building APIs that let verified AI agents spend within approved budgets. AI startups like Perplexity are partnering with PayPal so users can discover and buy products in a single chat thread.

None of this is futuristic. It is already piloting. And while the technical underpinnings are complex, the outcome is simple: friction disappears. Shopping becomes invisible.

Why this matters to leaders

When technology removes friction, it doesn’t just speed up transactions. It changes who holds power in the value chain.

If AI agents become the dominant gateway to purchasing, they will decide which products get visibility. That is a fundamental shift from competing for human clicks to competing for algorithmic trust.

For CIOs and digital leaders, I see three implications:

1. Your APIs are your new storefront. Agents do not browse web pages. They query structured data. Clean catalogs, consistent metadata and real-time inventory feeds will determine if you are even visible to AI shoppers.
2. Marketing will evolve from persuasion to precision. Agents care about facts such as price, quality, sustainability and fulfillment reliability. Brands will need to embed their differentiation into the data itself.
3. Security and identity become strategic. “Know your customer” becomes “Know your agent.” Every transaction will need proof that an AI truly represents its user, with controls to limit what it can spend.

The companies that treat these changes as infrastructure work, not as experiments, will win early.

The road ahead

Analysts are already tracking the momentum. McKinsey estimates that agentic commerce could influence up to $3 to $5 trillion annually in global retail sales by 2030. Traffic to US retail sites from GenAI browsers and chat services increased 4,700% year-over-year in July 2025, according to Adobe.

Those are big numbers, but the real story is what happens inside the enterprise.

Retailers are reorganizing their technology stacks to expose product data through standardized APIs. Payment networks are piloting agent-initiated credentials with built-in spending caps. And global marketplaces such as Alibaba and Mirakl are investing in shared “agentic commerce” layers so AI shoppers can discover and buy across multiple sellers seamlessly.

The ecosystem is being built in real time.

Opportunities and risks

As with every technological leap, opportunity and risk arrive together.

The opportunity:

• Seamless, conversational online shopping could reduce abandoned carts and increase loyalty.
• Routine B2B procurement can become fully automated, freeing people for higher-value work.
• Small merchants can reach new audiences if their data is structured for AI discovery.

The risk:

• Fraud and identity spoofing could rise before security standards mature.
• Brands may lose direct customer relationships as agents handle the interaction.
• Regulations have not caught up, leaving questions about liability if an AI buys the wrong product.

The way forward is balance. Build for automation but preserve oversight. Allow agents to act, but design transparent audit trails. And above all, keep the customer in control.

What I am telling my own teams

Within my organization, we have started treating AI agents as a new type of digital channel, similar to the early days of mobile or voice. That means preparing in three ways:

1. Data readiness. We are standardizing product and service data so it is understandable by both humans and machines.
2. Security readiness. We are exploring delegated authorization so that when an AI agent acts, it is properly authenticated and accountable.
3. Mindset readiness. We are teaching teams to think in terms of intents and outcomes rather than interfaces and clicks.

Even if agentic commerce takes longer to mature, these capabilities strengthen every part of digital operations today.

The human side of automation

Some worry that letting AI agents shop for us removes the human touch from commerce. I see it differently.

When technology handles repetitive tasks, people gain time for higher-order decisions such as exploring new products, building relationships or enjoying the experience.

The winners in this new landscape will combine trust and transparency with automation. They will let customers delegate routine choices while staying confident that the AI is acting in their best interest.

That has always been the purpose of digital transformation: not replacing people, but amplifying what they can achieve.

A new kind of customer

Every major digital shift brings a new kind of customer.

• The web brought the global customer.
• Mobile brought the always-connected customer.
• AI will bring the autonomous customer, represented by an agent.

For CIOs, this is both a challenge and an invitation. We can wait until these agents start knocking on our digital doors or we can design systems ready to welcome them.

The infrastructure is forming, the standards are emerging and the opportunity is wide open.

And the next time your AI assistant says, “I found the best deal and already placed the order,” you will know that the era of agentic commerce has officially begun.

This article is published as part of the Foundry Expert Contributor Network.
Want to join?