정부가 방탄소년단(BTS) 공연 암표부터 가공식품까지 23개 품목을 ‘특별관리 대상’으로 지정하고 전방위적 물가 관리에 돌입한다. 특히 담합 적발로 가격 인하 요인이 생긴 설탕·밀가루 관련 품목을 집중 점검하는 한편, 가격 이상 징후가 포착된 품목은 수시로 추가 지정해 관리의 고삐를 죌 방침이다. 재정경제부는 12일 관계부처 합동 ‘민생물가 특별관리 관계장관 태스크포스(TF)’ 브리핑을 열고 이 같은 대책을 발표했다. 특별관리 품목은 돼지고기·계란·마늘·식용유 등 먹거리 13개, 관리비·통신비 등 서비스 5개, 교복·생리용품 등 공산품 5개 등 총 23개다. 품목별 소관 부처는 상반기 중 집중 점검을 통해 불합리한 유통 구조 등을 개선할 계획이다. 정부는 우선 BTS 공연과 프로야구 개막이 맞물린 상반기 암표 단속을 강화한다. 경찰청은 오는 21일 광화문광장에서 열리는 BTS 공연 당일 56명을 현장에 투입해 암표 매매를 집중 단속할 계획이다. 아울러 사이버수사대를 중심으로 매크로 프로그램을 이용한 티켓 대량 구매와 재판매 행위도 적극 수사할 방침이다. 가공식품 분야에서는 원재료 가격 인하 효과가 실질적인 소비자 가격 하락으로 이어지도록 관리 수위를 높인다. 특히 최근 설탕·밀가루·전분당 담합 적발로 원가 인하 요인이 발생했는데도 가격을 내리지 않는 라면·빵·과자·아이스크림 등이 주요 점검 대상이다. 농림축산식품부와 공정거래위원회는 업계 간담회와 현장 점검을 병행해 원가 구조를 면밀히 들여다볼 예정이다. 아울러 고등어와 쌀, 콩, 수입 과일 등 먹거리 분야에 대해서도 수급 안정과 유통 구조 개선 방안을 마련할 계획이다.

‘따릉이’ 450만건 정보 유출 정황시민들 “더 안전해야 하는데 실망”5년간 1329건 중 442건 ‘공공영역’사고 기관 평가 등 책임 강화 필요 서울시 공유 자전거 ‘따릉이’의 회원 정보가 450만건 이상 유출됐다는 정황이 포착되면서 공공시스템도 더는 ‘보안 안전지대’가 아닌 것으로 나타났다. 최근 5년간 개인정보 유출·침해 사건 3건 중 1건이 공공분야에서 발생한 것으로 나타나면서 대중의 불안은 더욱 커지고 있다. 개인정보보호위원회는 최근 5년(2021~2025년)간 민간과 공공영역에서 총 1329건의 개인정보 유출·침해 사건이 발생했다고 2일 밝혔다. 기업 등 민간 영역 유출은 887건(66.7%), 공공영역 유출은 442건(33.3%)이었다. 특히 공공영역 유출은 2021년 49건, 2022년 32건, 2023년 104건, 2024년 180건을 기록하며 대체로 증가 추세를 나타냈다. 서울시설공단이 2015년부터 운영한 ‘따릉이’는 현재 자전거 4만 5000대, 가입자 515만명에 이른다. 현재 따릉이 정보 유출 정황에 대해 서울경찰청 사이버수사대가 유출 경로와 피해 규모, 해킹 범죄 여부를, 개보위는 개인정보 보호법 위반 여부를 조사 중이다. 아이디와 휴대전화 번호, 생일, 성별, 이메일, 체중 등이 유출됐을 가능성이 있다. 서울시민 안태영(39)씨는 “공공에서 운영하는 시스템이면 더욱 안전해야 하는데, 많은 서울시민이 이용하는 따릉이에서 개인정보가 유출돼 실망스럽다”며 “이러다가 소득 정보나 복지 정보 같은 매우 민감한 정보도 유출되는 것 아닌가 걱정된다”고 말했다. 지난해 10월에는 소방청 채용사이트 ‘119고시’에서 개인정보가 유출됐다. 119고시는 원서접수, 시험공고, 합격자 발표, 시험 관련 통계, 문제 및 정답 등을 제공해 소방공무원을 준비하는 수험생이 필수로 가입해야 하는 사이트다. 지난해 5만명의 개인정보가 유출된 후 현재 폐쇄됐다. 최근 감사원이 화이트해커 11명을 투입해 모의로 해킹한 결과 공공분야 집중관리시스템 7곳에서 모두 취약점이 발견됐다. 권한 없이 타인의 개인정보를 조회할 수 있었고, 일부 시스템은 관리자 권한을 탈취했을 때 수만 명 규모의 주민등록번호를 빼낼 수 있는 구조였다. 임종인 고려대 정보보호대학원 명예교수는 “민간에서 발생하는 개인정보 유출에 대해 처벌을 강화하는 것과 비교하면 더 중요하게 관리하고 경각심을 가져야 할 공공영역에서 발생한 개인정보 유출에 대해선 사실상 봐주고 있는 것과 다름없다”며 “개인정보 유출 사고를 기관 평가나 인사에 반영해 책임을 묻고 관리를 강화해야 한다”고 말했다.

경찰 보디캠 촬영 같은 AI 영상 제작AI로 음란물도 만들어 SNS로 판매 경찰관이 112 신고 현장에 출동해 보디캠으로 찍은 것처럼 보이는 인공지능(AI) 허위 영상물을 제작해 유튜브에 올린 30대 남성이 경찰에 붙잡혔다. 경기북부경찰청 사이버수사대는 전기통신 기본법 위반 등 혐의로 30대 남성 A씨를 구속했다고 2일 밝혔다. A씨는 지난해 10월부터 약 2개월간 ‘순찰 24시’라는 유튜브 채널을 운영하면서 ‘여장남자 여성 탈의실 신고 출동’, ‘중국인 난동 체포 영상’, ‘부천역 인터넷 BJ 체포 영상’, ‘아파트 복도 흡연 신고 출동 영상’ 등 경찰이 실제로 사건 현장에 출동해 보디캠으로 찍은 듯한 AI 영상을 올린 혐의를 받는다. A씨는 채널 소개 글에 ‘경찰의 시선으로 사건 현장을 본다. 실화를 기반으로 한 AI 보디캠 영상’이라고 적었다. 그러나 개별 영상에는 AI로 만든 가짜 영상이라는 알림이 없었고, AI 제작 영상을 표시하는 워터마크를 지우기도 했다. 이 때문에 A씨가 만든 허위 영상물을 본 일부 시청자는 실제 상황으로 오인하기도 했다. 이러한 영상들은 유튜브뿐만 아니라 인스타그램, 틱톡, 페이스북 등에 짧은 영상(숏폼) 형태로 게재되며 총 3400만회 이상의 조회수를 기록했다. 경찰은 해당 영상들이 공권력에 대한 국민적 신뢰를 훼손한다고 판단해 A씨를 입건해 구속했다. 영상들은 대부분 챗GPT나 그록 등으로 만들어진 것으로 전해졌다. 경찰 관계자는 “초반에 만든 영상은 상당히 어설펐지만, 시간이 지날수록 영상의 질이 향상됐다”고 전했다. 경찰은 압수물을 분석하는 과정에서 A씨가 해외 유료 구독형 소셜미디어(SNS) 채널을 운영하면서 AI 음란물을 제작·판매한 사실을 추가로 밝혀냈다. 또 무허가 사설 선물거래 홈트레이딩시스템(HTS) 및 투자 리딩방 운영에 가담해 3000만원 상당의 부당이득을 취한 사실도 확인했다.

서울시가 운영하는 공공자전거 ‘따릉이’ 회원정보가 450만건 이상 유출된 것으로 나타났다. 서울시는 30일 유출사고에 대한 분석 및 대응을 총괄하는 비상 대응센터를 가동하고 따릉이 앱 및 홈페이지 운영체계 전반에 대한 시스템 보안 강화에 들어갔다고 밝혔다. 30일 서울시에 따르면 지난 27일 서울시설공단은 서울경찰청 사이버수사대로부터 서울자전거 ‘따릉이’ 회원 정보 유출이 의심되는 정황을 유선으로 전달받았다, 현재 따릉이에 가입된 회원 수는 28일 기준 513만 2484명으로 회원정보에는 이름, 전화번호, 생년월일, 주소 등 개인 정보가 포함됐다. 경찰이 파악한 개인정보 유출 건수는 450만건 정도인 것으로 알려졌다. 시에 따르면 따릉이 결제 정보의 경우 대행사를 통해 이뤄져 유출된 정보에는 포함되지 않았으며, 이름과 주민등록번호 등도 회원가입시 수집되지 않아 유출 정보에는 들어있지 않은 것으로 전해졌다. 공단은 서울시와 합동으로 유출사고에 대한 분석 및 대응을 총괄하는 비상 대응센터를 가동하고 따릉이 앱 및 홈페이지 운영체계 전반에 대한 시스템 보안 강화에 들어갔다고 밝혔다. 서울시 관계자는 “2024년 4월쯤 디도스(DDoS·분산서비스거부) 공격이 많던 시기 발생한 걸로 추정되나, 피해 신고는 접수되지 않았다”고 말했다. 경찰은 조만간 서울시 측으로부터 서버 자료 등을 받아 구체적인 상황 파악에 나설 방침이다.

21대 대선을 앞둔 지난해 5월 당시 더불어민주당 후보였던 이재명 대통령을 향한 흉기 테러를 청부하는 글을 올린 대학생이 벌금형을 선고받았다. 수원지법 형사13부(부장 장석준)는 29일 대학생 A(20)씨의 공직선거법 위반 등 혐의 사건 선고 공판에서 벌금 400만원을 선고했다. 앞서 검찰은 지난 14일 결심 공판에서 A씨에게 징역 4개월을 구형했다. 재판부는 “피고인의 죄질이 좋지 않으나 범행 직후 게시글을 삭제하고 사과글을 올렸다”며 “초범이고 당시 만 19세로 교화 가능성이 있다”고 밝혔다. A씨는 지난해 5월 26일 당시 이 후보가 대선 유세를 위해 아주대에 방문한다는 소식을 알게 됐다. 이 후보는 아주대에서 대학생을 만나 청년 정책 등을 주제로 간담회를 열 예정이었다. 그는 휴대전화를 이용해 학교 익명 게시판에 “오늘 이재명 칼로 찌르면 돈 드림 연락 ㄱㄱ”라는 글을 올렸다. 그러나 해당 간담회는 1시간 10여분 동안 별다른 소동 없이 종료됐다. 경찰은 다음 날 해당 게시글에 대한 신고를 접수하자마자 신원을 특정해 입건 전 조사에 착수했다. 이어 A씨가 같은 날 경기남부경찰청 사이버수사대를 찾아 자수서를 제출했다. 이후 경찰은 범행 동기 등 자세한 경위를 조사했다. 한편 미국에서도 대통령을 향한 테러 청부 영상을 올린 여성이 수사당국에 붙잡혔다. 지난 27일 폭스뉴스에 따르면 웨스트버지니아주 잭슨 카운티 보안관실은 해당 지역 공공도서관 사서인 모건 모로우를 트럼프 대통령 암살 위협 혐의로 기소했다고 밝혔다. 보안관실은 모로우가 소셜미디어(SNS)에서 ‘트럼프 대통령을 암살할 인물을 모집하는 영상’을 게시했다고 했다. RH 멜링거 보안관은 기소 이유에 대해 ‘심각한 우려가 확인된 범죄 수사’라고 강조했다.

경찰이 알리익스프레스 판매자의 정산금 해킹 사고와 관련한 내사에 착수했다. 인천경찰청 사이버수사대는 알리 해킹 사고에 대한 입건 전 조사(내사)에 착수했다고 26일 밝혔다. 알리 측에서 고소·고발을 하지 않았지만, 경찰이 언론 보도 등을 통해 내사에 나서기로 했다. 알리는 지난해 10월 알리익스프레스의 판매자 계좌 정보가 해킹당하면서 판매자들에게 지급해야 할 정산금 86억원이 지급되지 않은 것을 확인했다. 해커는 비즈니스 계정 비밀번호 복구에 사용되는 일회용 비밀번호(OTP) 취약점을 이용해 107개 비즈니스 계정의 비밀번호를 재설정했고, 이 중 83개 계정의 정산금 계좌를 자신의 계좌로 새로 등록한 것으로 파악됐다. 경찰 관계자는 “해킹 여부와 침입 방법 등을 확인할 예정”이라고 말했다.

무분별한 온라인 협박 글로 공권력 낭비를 조장하는 행태에 대해 경찰이 전부 손해배상을 청구하기로 했다. 박정보 서울경찰청장은 26일 서울 종로구 서울경찰청 청사에서 열린 정례 기자간담회에서 ‘김포공항 자폭 예고 협박 글 등 공중협박 수사 상황과 대응 방안’ 관련 질문에 이같이 답했다. 박 청장은 “공중협박 문제가 워낙 많다 보니 법으로 공중협박죄를 신설해 단속하고 있는데도 최근 김포공항 대한항공 폭파 협박 등 여전히 문제”라며 “그런 신고가 들어오면 시민들도 굉장히 불안해하고 경찰력도 낭비돼 엄단 의지를 밝혔는데도 개선이 잘 안 된다”고 밝혔다. 이어 “그동안은 경찰이 출동하거나 많은 경찰력이 소요되는 때만 선별적으로 손해배상소송을 청구했다”면서 “이번부터는 전 건에 대해 검거 전이라도 손해액을 산정해 보관하다가 검거되면 소액이라도 청구할 것”이라고 강조했다. 이어 “(규모는) 적으면 150만원에서 많으면 몇천만원까지 된다”고 덧붙였다. 경찰에 따르면 서울청은 공중협박 게시물과 관련해 현재 손배소 1건을 진행 중이며 추가로 4건을 청구할 예정이다. 이 중에는 배상액이 수천만원대 규모로 추산되는 건도 있는 것으로 전해졌다. 앞서 지난 19일 한 익명 직장인 커뮤니티에 대한항공과 아시아나항공 합병에 불만을 가진 것으로 보이는 인물이 김포공항에서 비행기 자폭 테러를 벌이겠다는 취지의 글을 올렸다. 게시물에 담긴 좌표는 김포공항 내 대한항공 사무실의 위치인 것으로 알려졌다. 경찰은 사건을 접수하고 지난 20일 서울 관악경찰서에서 서울청 사이버수사대로 사건을 이송해 수사를 진행 중이다. 경찰은 지난해 신설된 ‘공중협박죄’를 근거로 수사하고 있다. 해당 조항은 불특정 또는 다수 사람의 생명, 신체에 위해를 가하겠다며 공연히 공중을 협박한 사람을 5년 이하의 징역 또는 2000만원 이하의 벌금에 처할 수 있도록 규정한다. 그런데도 협박 행위는 근절되지 않고 있다. 국회 행정안전위원회 소속 채현일 더불어민주당 의원이 경찰청으로부터 받은 자료에 따르면 지난해 1년간 게시된 폭파 협박 글은 총 177건에 달했다.

李 대통령 “전국민이 피해자…집단소송제 필요” 3370만명의 개인정보가 유출된 쿠팡을 상대로 이용자들이 집단으로 소송을 제기하고 있다. 법무법인 LKB평산은 지난 11일 쿠팡 이용자 2070명을 대리해 1인당 50만원의 위자료를 지급하라는 손해배상 소송 소장을 서울중앙지법에 제출했다고 12일 밝혔다. 공동소송의 전체 청구 액수는 10억원 규모다. 다음 주 중 2차 소송을 제기하고, 추가 소송도 계획하고 있다. 현재까지 2차 소송에는 1800여명이 참여 의사를 밝힌 것으로 전해진다. 민관합동조사위원회 조사와 경찰 수사 후 쿠팡의 책임이 구체적으로 파악되면 청구 취지를 확정해 실질적 피해 배상이 이뤄지도록 할 예정이다. LKB평산은 개인정보보호법상 법정 손해배상(300만원 이하) 외에도 발생한 손해의 5배 이내로 배상할 수 있도록 한 ‘징벌적 손해배상’까지 인정받을 수 있도록 해야 한다는 내용도 담았다. 징벌적 손해배상은 2015년 7월 도입됐지만 실제 적용된 사례는 없다. 앞서 법무법인 지향도 지난 7일 이용자 1만 300명을 대리해 손해배상청구 소송을 제기했으며, 이날은 쿠팡 이용자들을 대리해 쿠팡 주식회사와 미국 모회사 쿠팡 Inc, 김범석 의장, 박대준 전 대표 등 전·현직 경영진을 서울경찰청 사이버수사대에 고소했다고 밝혔다. 법무법인 청도 지난 1일 이용자 14명과 함께 1인당 20만원씩의 위자료를 청구하는 내용의 소장을 제출했다. 이처럼 이용자들이 단체로 제기한 이번 소송은 미국식 집단소송제도와 달리 직접 소송 당사자로 이름을 올려야만 승소시 배상받을 수 있다. 미국 집단소송의 경우 피해자 일부가 소송을 내 이기면 나머지 피해자들도 전부 배상받을 수 있다. 이와 관련해 이재명 대통령이 개인정보 유출 사고와 관련한 과징금을 높이고 집단소송제 도입이 필요하다고 언급하면서 주목된다. 이 대통령은 이날 과학기술정보통신부·개인정보보호위원회·방송미디어통신위원회 등 업무보고에서 현재 개인정보 유출 사고 시 해당 기업 전체 매출액의 3%, 시행령에선 직전 3개년 매출액 평균의 3%를 과징금으로 매길 수 있다는 보고를 듣고는 “3개년 중 제일 (매출이) 높은 연도의 3%로 일단 시행령을 고치자”고 제안했다. 또, “전 국민이 다 피해자인데 일일이 소송을 하라고 하면 소송비가 더 들지 않겠느냐”며 개인정보 유출 피해자의 집단소송제 도입의 필요성을 강조했다.

태국에서 10대를 상대로 전화 사기(보이스피싱)를 벌여 3억원이 넘는 금품을 가로챈 중국인 사기단 중 1명이 현지에서 체포됐다. 태국 카오솟 영문판 등에 따르면 태국 경찰 사이버수사대는 사기 등의 혐의로 중국인 남성 1명을 체포하고 다른 일당 2명을 쫓고 있다. 현지 경찰에 따르면 중국인 남성 친모(31)씨는 정부기관 등을 사칭해 ‘믹’이라는 19세 소년을 상대로 약 680만 바트(약 3억 1500만원)에 달하는 금품을 가로챈 혐의를 받는다. 사기단은 처음에 믹에게 전화를 걸어 “네 앞으로 체포영장이 발부됐다”며 어머니까지 연루되지 않게 하려면 자신들에게 협조해야 한다고 속였다. 이들은 모바일 메신저 앱으로 대화를 옮겨 경찰 및 기타 정부 기관을 사칭한 위조 공문서를 보내 믹을 속였다. 사기단의 거짓말에 속은 믹은 지난 11월 19일 사기단이 영상 통화로 지켜보는 가운데 어머니의 금고를 열어 350만 바트(약 1억 6170만원) 상당의 금괴 등 금고에 있던 금품을 가져다 전달책을 만나 몽땅 사기단에 넘겼다. 이들의 사기 행각은 여기에 그치지 않았다. 다음날 오전 이들은 믹에게 더 많은 돈을 요구했고, 믹은 어머니의 휴대전화를 사용해 추가로 돈을 이체했다. 수상한 이체 내역을 알게 된 믹의 어머니가 경찰에 신고하면서 수사가 시작됐다. 방콕 후아이쾅 지구에서 체포된 친씨는 경찰 조사에서 다른 공범 황모씨와 창모씨와 함께 범행했다고 진술했다. 경찰은 친씨 일당이 갖고 있던 은행 통장과 외제 차량 2대, 그리고 믹에게서 가로챈 금괴를 회수했다. 금괴는 믹의 가족에게 반환될 예정이다. 경찰 관계자는 친씨 사기단이 라오스에 기반을 두고 있는 중국인 사기 조직과 연관돼 있다고 밝혔다. 경찰은 달아난 황씨와 창씨에 대한 체포영장을 발부받아 이들의 행방을 쫓는 한편 공공기관 사칭 사기에 대한 주의를 당부했다.

경찰이 회원 3370만명의 개인정보 유출 사고가 발생한 쿠팡에 대해 9일 강제 수사에 착수했다. 서울경찰청 사이버수사대는 이날 오전 서울 송파구 소재 쿠팡 본사에 전담수사팀장인 사이버수사과장 등 17명을 투입해 이번 사태와 관련된 자료를 확보하고 있다. 경찰 관계자는 “압수수색을 통해 확보된 디지털 증거 등을 바탕으로 개인정보 유출자, 유출 경로 및 원인 등 사건의 전반적 사실관계를 종합적으로 규명할 예정”이라고 말했다. 경찰은 범행에 사용된 IP를 확보해 추적하고 있다. 경찰청 관계자는 전날 정례 기자간담회에서 “유출 정보가 보이스피싱·스미싱에 이용되는지, 추가 피해가 발생하는지 지속적으로 확인 중”이라며 “필요한 경우 범위에 제한 없이 추가 수사를 진행할 수 있다”라고 설명했다. 앞서 쿠팡에서는 퇴사한 중국 국적의 전 직원에 의해 회원 약 3370만명의 개인정보가 유출되는 사고가 발생했다. 이로 인해 회원들의 이름과 이메일, 배송지 주소와 공동현관 비밀번호, 주문내역 등이 유출됐다.

지난달 29일 발생한 쿠팡의 대규모 개인정보 유출 사태로 우려가 커지는 가운데, 쿠팡 내 IT 인력 상당수가 중국인이라는 주장이 나왔다. 지난달 30일 직장인 익명 커뮤니티인 ‘블라인드’에 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저는 90% 이상이 중국 국적자”라며 “조직(쿠팡)이 ‘중국인 카르텔’에 의해 장악되고 있다”고 주장하는 글이 올라왔다. 자신을 쿠팡 개발자라고 주장한 글쓴이는 “매 분기 퇴사 인사는 한국인들이고, 매 분기 신규 입사자들을 소개하면 80%가 중국, 나머지가 인도와 한국인들”이라며 “(중국인이) 차근차근 비율을 높이면서 카르텔을 형성하고 있으며 잠실, 용산 등 최고급 주거시설과 자녀 국제학교 학비 등 한국인이 누리지 못하는 복지로 혜택을 보고 있다”고 밝혔다. 이어 “개인적으로 이번 사태는 무분별하게 중국인들을 (IT 인력으로) 데려다 쓴 결과라 생각한다”고 덧붙였다. 해당 글은 삭제됐으나 이미 온라인 커뮤니티를 중심으로 캡처 사진이 돌면서 논란이 확산하고 있다. 이와 관련해 쿠팡은 1일 “수사 영역이고 수사에 적극 협조 중”이라면서 “(블라인드에 올라온 글은) 사실과 다르다”고 밝혔다. 쿠팡, 퇴사한 중국인 직원의 데이터 접근 열쇠 갱신 안 했다1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 현재 쿠팡은 전 중국인 직원을 정보 유출자로 추정하고 있다. 문제는 쿠팡이 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 데이터 접근 열쇠인 액세스 토큰과 서명키를 곧바로 삭제하거나 갱신하지 않았다는 사실이다. 액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 의미한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 쿠팡 측이 제공한 자료에 따르면 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 직원 퇴사 이후에도 폐기하거나 갱신하지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다. 쿠팡 측은 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다. 쿠팡, 5개월 간 유출 시도 몰랐다이번 사고로 유출된 쿠팡 고객 계정은 약 3370만 개에 달한다. 쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 밝혔다. 사실상 고객 정보 탈취가 5개월 전부터 시작됐지만 쿠팡이 이를 뒤늦게야 인지한 셈이다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러나 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 더불어 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘는 규모다. 현재 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.

지난달 29일 발생한 쿠팡의 대규모 개인정보 유출 사태로 우려가 커지는 가운데, 쿠팡 내 IT 인력 상당수가 중국인이라는 주장이 나왔다. 지난달 30일 직장인 익명 커뮤니티인 ‘블라인드’에 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저는 90% 이상이 중국 국적자”라며 “조직(쿠팡)이 ‘중국인 카르텔’에 의해 장악되고 있다”고 주장하는 글이 올라왔다. 자신을 쿠팡 개발자라고 주장한 글쓴이는 “매 분기 퇴사 인사는 한국인들이고, 매 분기 신규 입사자들을 소개하면 80%가 중국, 나머지가 인도와 한국인들”이라며 “(중국인이) 차근차근 비율을 높이면서 카르텔을 형성하고 있으며 잠실, 용산 등 최고급 주거시설과 자녀 국제학교 학비 등 한국인이 누리지 못하는 복지로 혜택을 보고 있다”고 밝혔다. 이어 “개인적으로 이번 사태는 무분별하게 중국인들을 (IT 인력으로) 데려다 쓴 결과라 생각한다”고 덧붙였다. 해당 글은 삭제됐으나 이미 온라인 커뮤니티를 중심으로 캡처 사진이 돌면서 논란이 확산하고 있다. 이와 관련해 쿠팡은 1일 “수사 영역이고 수사에 적극 협조 중”이라면서 “(블라인드에 올라온 글 내용은) 사실이 아니다”라고 입장을 밝혔다. 쿠팡, 퇴사한 중국인 직원의 데이터 접근 열쇠 갱신 안 했다1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 현재 쿠팡은 전 중국인 직원을 정보 유출자로 추정하고 있다. 문제는 쿠팡이 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 데이터 접근 열쇠인 액세스 토큰과 서명키를 곧바로 삭제하거나 갱신하지 않았다는 사실이다. 액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 의미한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 쿠팡 측이 제공한 자료에 따르면 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 직원 퇴사 이후에도 폐기하거나 갱신하지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다. 쿠팡 측은 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다. 쿠팡, 5개월 간 유출 시도 몰랐다이번 사고로 유출된 쿠팡 고객 계정은 약 3370만 개에 달한다. 쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 밝혔다. 사실상 고객 정보 탈취가 5개월 전부터 시작됐지만 쿠팡이 이를 뒤늦게야 인지한 셈이다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러나 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 더불어 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘는 규모다. 현재 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.

지난달 29일 발생한 쿠팡의 대규모 개인정보 유출 사태로 우려가 커지는 가운데, 쿠팡 내 IT 인력 상당수가 중국인이라는 주장이 나왔다. 지난달 30일 직장인 익명 커뮤니티인 ‘블라인드’에 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저는 90% 이상이 중국 국적자”라며 “조직(쿠팡)이 ‘중국인 카르텔’에 의해 장악되고 있다”고 주장하는 글이 올라왔다. 자신을 쿠팡 개발자라고 주장한 글쓴이는 “매 분기 퇴사 인사는 한국인들이고, 매 분기 신규 입사자들을 소개하면 80%가 중국, 나머지가 인도와 한국인들”이라며 “(중국인이) 차근차근 비율을 높이면서 카르텔을 형성하고 있으며 잠실, 용산 등 최고급 주거시설과 자녀 국제학교 학비 등 한국인이 누리지 못하는 복지로 혜택을 보고 있다”고 밝혔다. 이어 “개인적으로 이번 사태는 무분별하게 중국인들을 (IT 인력으로) 데려다 쓴 결과라 생각한다”고 덧붙였다. 해당 글은 삭제됐으나 이미 온라인 커뮤니티를 중심으로 캡처 사진이 돌면서 논란이 확산하고 있다. 이와 관련해 쿠팡은 1일 “수사 영역이고 수사에 적극 협조 중”이라면서 “(블라인드에 올라온 글 내용은) 사실이 아니다”라고 입장을 밝혔다. 쿠팡, 퇴사한 중국인 직원의 데이터 접근 열쇠 갱신 안 했다1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 현재 쿠팡은 전 중국인 직원을 정보 유출자로 추정하고 있다. 문제는 쿠팡이 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 데이터 접근 열쇠인 액세스 토큰과 서명키를 곧바로 삭제하거나 갱신하지 않았다는 사실이다. 액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 의미한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 쿠팡 측이 제공한 자료에 따르면 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 직원 퇴사 이후에도 폐기하거나 갱신하지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다. 쿠팡 측은 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다. 쿠팡, 5개월 간 유출 시도 몰랐다이번 사고로 유출된 쿠팡 고객 계정은 약 3370만 개에 달한다. 쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 밝혔다. 사실상 고객 정보 탈취가 5개월 전부터 시작됐지만 쿠팡이 이를 뒤늦게야 인지한 셈이다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러나 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 더불어 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘는 규모다. 현재 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.

쿠팡의 대규모 개인정보 유출 사태가 확인되면서 소니나 야후 해킹에 버금가는 수준의 글로벌급 사고로 번질 수 있다는 우려가 커지고 있다. 단순한 이메일·비밀번호 유출을 넘어 집주소·배송기록·공동현관 비밀번호 등 생활형 정보까지 포함된 것으로 알려져 2차 피해 경고도 잇따르고 있다. 경찰, 피의자 IP 확보…협박 메일 2개 계정 추적 중 서울경찰청 사이버수사대는 1일 “쿠팡 측으로부터 서버 로그기록을 제출받아 분석 중이며 피의자가 사용한 IP를 확보해 추적 중”이라고 밝혔다. 경찰은 ‘회원들의 개인정보를 가지고 있다’며 협박성 이메일을 보낸 계정 2개에 대해서도 송신 경로를 추적하고 있다. 이메일은 지난달 16일과 25일 두 차례 발송됐고 동일인 소행인지 실제 유출자와 동일인인지 여부가 수사 중이다. 앞서 쿠팡에서 근무했던 중국 국적의 전직 직원이 고객 정보를 빼돌린 뒤 협박성 이메일을 보낸 정황이 포착됐다. 피의자가 이미 퇴사 후 출국한 상태로 확인되자 경찰은 국제 공조 수사에 나섰다. 30억 계정 털린 야후…역대 최대 유출 사건 2013~2014년 발생한 야후 해킹 사건은 역사상 최대 규모의 개인정보 유출로 기록됐다. 당시 약 30억 개 계정의 이름, 이메일 주소, 전화번호, 생년월일, 암호화된 비밀번호, 보안 질문·답변이 노출됐다. 이 사건은 2017년 야후의 매각 과정에도 직접적인 영향을 미쳐 인수 주체였던 버라이즌이 인수가를 3억 5000만 달러(약 4000억 원·모든 원화 환산은 사건 발생 당시 환율 기준) 낮췄다. 야후는 결국 피해자들과의 집단소송에서 총 1억 1750만 달러(약 1338억 원)의 합의금을 지급했다. 다만 전체 30억 계정이 아닌 실제 보상 대상은 약 1억 9400만 명 규모로 추정됐고 신청서를 제출한 이용자만 최대 358달러(약 40만 원) 한도 내에서 보상받았다. 소니 PSN 해킹…“기업 신뢰 무너진 상징적 사건” 2011년에는 일본 소니의 플레이스테이션 네트워크(PSN)가 해킹당해 7700만 명의 회원정보와 신용카드 정보가 유출됐다. 소니는 24일간 서비스를 중단하고 PSN 이용자 전원에게 무료 게임 2편과 30일 무료 이용권을 제공하는 등 사과·보상 조치를 취했다. 영국 당국은 정보보호법 위반으로 과징금을 부과했고 일본에서는 “기업 신뢰 붕괴”라는 여론이 확산되며 ‘소니 쇼크’라는 표현이 등장했다. 에퀴팩스·메리어트 등 글로벌 기업들도 잇단 유출 2017년 미국 신용평가사 에퀴팩스는 시스템 취약점을 방치한 채 수개월간 보안 경고를 무시하다가 1억 4700만 명의 신용정보가 유출됐다. 이 사건으로 경영진이 사퇴하고 미 의회 청문회가 열리는 등 파문이 컸다. 회사는 집단소송 합의로 총 7억 달러(약 8300억 원) 규모의 보상·과징금 패키지를 마련했으나 피해자 대부분은 애초 약속된 125달러 대신 10~20달러(약 1만~2만 원대)의 실보상만 받았다. 이듬해에는 세계 최대 호텔 체인 메리어트 인터내셔널의 예약망이 해킹돼 최대 5억 명의 투숙객 정보가 새나갔다. 영국 정보보호당국은 1840만 파운드(약 276억 원)의 과징금을 부과했고 미국·캐나다 등에서도 집단소송이 제기됐으며 피해 신고 고객을 대상으로 최대 100달러(약 12만 원) 수준의 보상이 제공됐다. 쿠팡, 외부 해킹 아닌 내부자 소행 정황쿠팡의 피해 규모(3370만 건)는 야후(30억)나 메리어트(5억)에 비하면 작지만 노출된 정보의 현실적 민감도는 훨씬 높다는 평가가 나온다. 특히 이름·주소·휴대전화번호뿐 아니라 공동현관 비밀번호, 배송 위치, 가족 구성 등 생활 공간과 연결된 정보가 포함돼 피해가 장기화될 가능성이 제기된다. 쿠팡은 “시스템 외부 침입 흔적은 없다”며 내부 비인가 조회로 인한 유출임을 시사했다. 보안 업계는 “이건 단순한 기술적 해킹이 아니라 내부 통제 실패”라며 기업의 데이터 접근 권한 관리가 허술했다는 점을 문제로 지적하고 있다. 집단소송, 실제 보상은 얼마나 받나 이번 사태를 계기로 해외 기업의 집단소송 보상 구조에도 관심이 쏠리고 있다. 미국 등에서는 대표 원고와 변호사단이 전체 피해자를 대신해 소송을 제기하며 개별 피해자는 변호사비를 직접 내지 않지만 전체 합의금의 20~40%가 수임료와 행정비용으로 공제된다. 결과적으로 1인당 보상액은 매우 낮아지는 구조다. 예를 들어 에퀴팩스 사건의 경우 총 7억 달러 중 약 25%가 변호사비로 빠졌고 피해자 대부분은 약속된 125달러 대신 10~20달러 수준만 받았다. 이처럼 집단소송은 금전적 보상보다 기업의 책임을 공식화하는 징벌적 절차라는 평가가 많다. 정부 조사 및 과징금 전망정부는 개인정보보호위원회와 과기정통부, 민간 보안 전문가들이 참여하는 민관합동조사단을 구성해 사고 원인을 조사 중이다. 개인정보보호법 개정으로 위반 시 전년도 매출의 최대 3%까지 과징금을 부과할 수 있어 쿠팡이 수천억 원대 제재를 받을 가능성도 제기된다. 앞서 2024년 SK텔레콤은 개인정보 유출로 역대 최대인 1347억 원의 과징금을 부과받았다. “사과보다 복구 중심 대응이 신뢰 회복의 출발점”쿠팡 사태는 한 기업의 보안 실패를 넘어 국민 대다수의 생활 정보가 얼마나 취약한지 드러낸 사건으로 평가된다. 데이터가 곧 신뢰가 되는 시대, 이번 사태가 ‘한국판 개인정보 위기’로 기록되지 않으려면 신속하고 투명한 대응이 필요하다.

쿠팡의 대규모 개인정보 유출 사태가 확인되면서 소니나 야후 해킹에 버금가는 수준의 글로벌급 사고로 번질 수 있다는 우려가 커지고 있다. 단순한 이메일·비밀번호 유출을 넘어 집주소·배송기록·공동현관 비밀번호 등 생활형 정보까지 포함된 것으로 알려져 2차 피해 경고도 잇따르고 있다. 경찰, 피의자 IP 확보…협박 메일 2개 계정 추적 중 서울경찰청 사이버수사대는 1일 “쿠팡 측으로부터 서버 로그기록을 제출받아 분석 중이며 피의자가 사용한 IP를 확보해 추적 중”이라고 밝혔다. 경찰은 ‘회원들의 개인정보를 가지고 있다’며 협박성 이메일을 보낸 계정 2개에 대해서도 송신 경로를 추적하고 있다. 이메일은 지난달 16일과 25일 두 차례 발송됐고 동일인 소행인지 실제 유출자와 동일인인지 여부가 수사 중이다. 앞서 쿠팡에서 근무했던 중국 국적의 전직 직원이 고객 정보를 빼돌린 뒤 협박성 이메일을 보낸 정황이 포착됐다. 피의자가 이미 퇴사 후 출국한 상태로 확인되자 경찰은 국제 공조 수사에 나섰다. 30억 계정 털린 야후…역대 최대 유출 사건 2013~2014년 발생한 야후 해킹 사건은 역사상 최대 규모의 개인정보 유출로 기록됐다. 당시 약 30억 개 계정의 이름, 이메일 주소, 전화번호, 생년월일, 암호화된 비밀번호, 보안 질문·답변이 노출됐다. 이 사건은 2017년 야후의 매각 과정에도 직접적인 영향을 미쳐 인수 주체였던 버라이즌이 인수가를 3억 5000만 달러(약 4000억 원·모든 원화 환산은 사건 발생 당시 환율 기준) 낮췄다. 야후는 결국 피해자들과의 집단소송에서 총 1억 1750만 달러(약 1338억 원)의 합의금을 지급했다. 다만 전체 30억 계정이 아닌 실제 보상 대상은 약 1억 9400만 명 규모로 추정됐고 신청서를 제출한 이용자만 최대 358달러(약 40만 원) 한도 내에서 보상받았다. 소니 PSN 해킹…“기업 신뢰 무너진 상징적 사건” 2011년에는 일본 소니의 플레이스테이션 네트워크(PSN)가 해킹당해 7700만 명의 회원정보와 신용카드 정보가 유출됐다. 소니는 24일간 서비스를 중단하고 PSN 이용자 전원에게 무료 게임 2편과 30일 무료 이용권을 제공하는 등 사과·보상 조치를 취했다. 영국 당국은 정보보호법 위반으로 과징금을 부과했고 일본에서는 “기업 신뢰 붕괴”라는 여론이 확산되며 ‘소니 쇼크’라는 표현이 등장했다. 에퀴팩스·메리어트 등 글로벌 기업들도 잇단 유출 2017년 미국 신용평가사 에퀴팩스는 시스템 취약점을 방치한 채 수개월간 보안 경고를 무시하다가 1억 4700만 명의 신용정보가 유출됐다. 이 사건으로 경영진이 사퇴하고 미 의회 청문회가 열리는 등 파문이 컸다. 회사는 집단소송 합의로 총 7억 달러(약 8300억 원) 규모의 보상·과징금 패키지를 마련했으나 피해자 대부분은 애초 약속된 125달러 대신 10~20달러(약 1만~2만 원대)의 실보상만 받았다. 이듬해에는 세계 최대 호텔 체인 메리어트 인터내셔널의 예약망이 해킹돼 최대 5억 명의 투숙객 정보가 새나갔다. 영국 정보보호당국은 1840만 파운드(약 276억 원)의 과징금을 부과했고 미국·캐나다 등에서도 집단소송이 제기됐으며 피해 신고 고객을 대상으로 최대 100달러(약 12만 원) 수준의 보상이 제공됐다. 쿠팡, 외부 해킹 아닌 내부자 소행 정황쿠팡의 피해 규모(3370만 건)는 야후(30억)나 메리어트(5억)에 비하면 작지만 노출된 정보의 현실적 민감도는 훨씬 높다는 평가가 나온다. 특히 이름·주소·휴대전화번호뿐 아니라 공동현관 비밀번호, 배송 위치, 가족 구성 등 생활 공간과 연결된 정보가 포함돼 피해가 장기화될 가능성이 제기된다. 쿠팡은 “시스템 외부 침입 흔적은 없다”며 내부 비인가 조회로 인한 유출임을 시사했다. 보안 업계는 “이건 단순한 기술적 해킹이 아니라 내부 통제 실패”라며 기업의 데이터 접근 권한 관리가 허술했다는 점을 문제로 지적하고 있다. 집단소송, 실제 보상은 얼마나 받나 이번 사태를 계기로 해외 기업의 집단소송 보상 구조에도 관심이 쏠리고 있다. 미국 등에서는 대표 원고와 변호사단이 전체 피해자를 대신해 소송을 제기하며 개별 피해자는 변호사비를 직접 내지 않지만 전체 합의금의 20~40%가 수임료와 행정비용으로 공제된다. 결과적으로 1인당 보상액은 매우 낮아지는 구조다. 예를 들어 에퀴팩스 사건의 경우 총 7억 달러 중 약 25%가 변호사비로 빠졌고 피해자 대부분은 약속된 125달러 대신 10~20달러 수준만 받았다. 이처럼 집단소송은 금전적 보상보다 기업의 책임을 공식화하는 징벌적 절차라는 평가가 많다. 정부 조사 및 과징금 전망정부는 개인정보보호위원회와 과기정통부, 민간 보안 전문가들이 참여하는 민관합동조사단을 구성해 사고 원인을 조사 중이다. 개인정보보호법 개정으로 위반 시 전년도 매출의 최대 3%까지 과징금을 부과할 수 있어 쿠팡이 수천억 원대 제재를 받을 가능성도 제기된다. 앞서 2024년 SK텔레콤은 개인정보 유출로 역대 최대인 1347억 원의 과징금을 부과받았다. “사과보다 복구 중심 대응이 신뢰 회복의 출발점”쿠팡 사태는 한 기업의 보안 실패를 넘어 국민 대다수의 생활 정보가 얼마나 취약한지 드러낸 사건으로 평가된다. 데이터가 곧 신뢰가 되는 시대, 이번 사태가 ‘한국판 개인정보 위기’로 기록되지 않으려면 신속하고 투명한 대응이 필요하다.

쿠팡에서 3370만명의 개인정보를 대량 유출한 쿠팡 전 직원이 쿠팡에서 인증 관련 업무를 했다는 주장이 나왔다. 1일 정보통신기술(ICT) 업계와 최민희 국회 과학기술정보방송통신위원장에 따르면 쿠팡에서 고객 정보를 빼돌린 전 직원은 쿠팡에서 인증 관련 담당자였던 것으로 전해졌다. 해당 직원은 퇴사 이후 개인정보를 유출하는 과정에서 ‘인증 토큰’과 관련된 보안 취약점을 노린 것으로 추정된다. 인증 토큰은 로그인에 필요한 ‘일회용 출입증’이며, 서명키는 출입증을 찍어주는 도장 역할을 한다. 최 의원실은 “출입증이 있어도 출입을 허가하는 인증 도장이 없다면 출입할 수 없다”면서 “하지만 서명 키를 오래 방치해서 누가 계속해서 도장인 서명 키를 몰래 찍어서 쓴 것과 다름없다”고 설명했다. 인증 토큰은 생성과 폐기 주기가 비교적 짧고, 이를 생성하기 위해 서명키가 필요하다. 최 의원실이 쿠팡으로부터 받은 자료에 따르면 쿠팡은 “토큰 서명키 유효 인증 기간과 관련해 5~10년으로 설정하는 사례가 많다는 걸로 알고 있다”라면서 “로테이션 기간이 길며, 키 종류에 따라 매우 다양하다”고 설명했다. 쿠팡 로그인 시스템상 토큰을 생성하고 즉시 폐기되는 상황임에도, 토큰 생성에 필요한 서명 정보를 담당 직원이 퇴사할 때 삭제하거나 갱신하지 않아 내부 직원이 악용했다는 게 의원실의 분석이다. 의원실은 “서명키 갱신은 가장 기본적인 내부 절차임에도, 쿠팡은 이를 지키지 않았다”며 “장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증 체계를 방치한 쿠팡의 조직적·구조적 문제의 결과”라고 지적했다. 앞서 서울경찰청 사이버수사대는 지난 25일 쿠팡으로부터 이번 사태에 대한 고소장을 받아 수사에 착수했다. 쿠팡 측과 경찰은 개인정보를 유출한 사람에 대해 밝히지 않았지만, 쿠팡에 근무했던 중국 국적자가 내부에서 고객 정보를 비인가 조회했으며 현재 한국을 떠난 상태인 것으로 알려졌다. 쿠팡은 현재까지 고객 계정 약 3370만개가 유출된 것을 확인했는데, 이는 사실상 쿠팡 전체 가입자에 맞먹는 규모다. 유출 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보 등이다.

3370만개에 달하는 쿠팡 고객 계정의 개인정보 유출은 외부 해킹이 아닌 내부자 소행으로 보이는 정황이 있는 것으로 전해졌다. 30일 연합뉴스 등에 따르면 서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아 개인정보 유출 사태에 대한 수사에 착수했다. 쿠팡의 고소장에 피고소인이 특정되지 않고 ‘성명불상자’로 기재됐지만, 내부에서 고객 정보를 비인가 조회한 주체가 쿠팡에 근무했던 중국 국적자로 추정된다고 연합뉴스는 보도했다. 이 직원이 외국 국적자인 데다 이미 쿠팡을 퇴사해 한국을 떠난 것으로 전해지면서 수사가 쉽지 않은 것 아니냐는 우려도 나온다. 쿠팡은 앞서 이번 정보 유출 사고가 해킹 등 외부 요인에 따른 것이 아님을 시사한 바 있다. 쿠팡은 정보 유출 피해 고객 계정이 4500여개라고 발표했던 지난 20일 당시 입장문에서 “고객 개인정보가 비인가 조회된 것으로 확인됐다. 쿠팡 시스템과 내부 네트워크망의 외부 침입 흔적은 없는 것으로 확인했다”고 밝혔다. 쿠팡은 현재까지 고객 계정 약 3370만개가 유출된 것을 확인했다. 이는 국내 성인 4명 중 3명의 정보에 해당하며 사실상 쿠팡 전체 계정에 맞먹을 것으로 추정되는 규모다. 유출 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보 등이다. 또 쿠팡은 정보 침탈 시도가 이미 5개월 전인 지난 6월 24일 시작된 것으로 보고 있다. SK텔레콤과 KT 등 최근 발생한 대규모 정보 유출 사건은 주로 외부 해킹에 의한 것이었으나, 이번 사태는 내부 직원의 소행으로 추정되면서 쿠팡의 내부 관리 허점이 드러났다는 지적이 나온다. 쿠팡의 이번 고객 정보 유출 규모는 지난 2011년 약 3500만명이 정보 유출 사태를 겪은 싸이월드·네이트 사례와 맞먹는다. 당시 이 사고는 해킹으로 인한 것이었다. 개인정보 보호 위반으로 개인정보보호위원회로부터 역대 최대 과징금(1348억원) 처분을 받은 SK텔레콤의 개인정보 유출 역시 해킹 사고였다. 한편 경찰 수사와 별개로 정부는 민간과 합동조사단을 꾸려 사고 원인 분석에 나선 상황이다. 과학기술정보통신부는 쿠팡 침해사고 및 개인정보 대규모 유출 사고와 관련해 민관합동조사단을 꾸려 사고 원인 분석 및 재발 방지 대책을 마련할 계획이다.

국내 전자상거래(이커머스) 시장 1위 업체인 쿠팡의 대규모 개인정보 유출이 반년 전부터 발생했을 가능성이 제기되면서 소비자들 사이에서 불안과 우려가 커지고 있다. 정부는 민간과 합동조사단을 꾸려 사고 원인 분석에 나섰고, 경찰은 수사에 착수했다. 30일 유통업계에 따르면 쿠팡은 전날 오후 “고객 계정 약 3370만개가 무단으로 노출된 것으로 확인됐다”고 공지했다. 쿠팡은 노출된 고객 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 ‘제한’됐고, 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 이어 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 덧붙였다. 고객의 민감한 개인정보 탈취 시도가 이미 5개월 전에 시작됐다는 것이다. 쿠팡은 이번 유출 사고를 지난 18일에서야 인지하고 지난 20일과 전날 각각 관련 내용을 개인정보보호위원회에 신고했다. 개인정보보호위는 현재 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인 정보 유출 사태에 대한 수사에 착수했다. 전자상거래를 이용하는 국민이라면 대부분 쓰고 있다고 볼 수 있는 쿠팡에서 대규모 고객 정보 유출 사고가 발생하면서 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 전날 관련 기사에는 “개인정보 털렸는데 그냥 미안하다고 문자 하나만 띡 보내면 다냐”, “요즘 광고 전화 너무 많이 오더니”, “전 국민 털렸네” 등 정보 유출에 대한 불안과 분노 섞인 댓글이 달렸다. 또 고객의 이름과 이메일, 전화번호, 주소만으로도 분히 사기 등의 범죄에 악용될 수 있다는 지적도 나온다. 특히 주소가 유출되면서 문 앞 배송을 원활히 하기 위해 기재한 공동 현관 비밀번호까지 다 노출된 것 아니냐는 불안까지 제기되고 있다. 쿠팡이 피해 규모를 9일 만에 약 7500배로 조정한 것을 두고도 향후 조사 결과에 따라 피해 규모가 더 커질지도 모른다는 추측도 나온다. 또 지난 6월부터 정보 탈취 시도가 있었던 것으로 확인된 만큼 정보 유출이 수개월에 걸쳐 이뤄졌을 가능성도 제기된다. 쿠팡은 지난 20일 정보 유출 피해 고객 계정이 4500여개라고 발표했으나 29일에는 3370만개라고 다시 공지했다. 쿠팡이 지난 3분기 실적 발표 당시 언급한 프로덕트 커머스 부분 활성고객(구매 이력이 있는 고객)이 2470만명인데 이보다 훨씬 많은 수준이다. 사실상 전체 고객의 정보가 유출된 것으로 보인다. 또 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만명)를 뛰어넘는 규모다. 다른 기업들의 보안 관련 사고에서도 당국의 조사가 진행되면서 피해 규모는 더 커졌다. 앞서 사이버 침해 사고가 발생한 롯데카드의 경우 지난 9월 4일 사과문에서는 “현재까지 조사한 결과에 따르면 고객 정보 유출 사실은 확인되지 않았다”고 공지했으나, 그로부터 2주 뒤에는 카드번호뿐 아니라 CVC번호 등 민감 정보까지 유출됐다고 밝혔다. KT의 경우 해킹 사고 처리 과정에서 서버를 폐기해 증거를 은닉했다는 의혹이 제기돼 경찰이 이달 강제수사에 착수했다.

이재명 대통령을 사칭한 가짜 대국민 담화문이 소셜미디어(SNS) 등에 유포된 것과 관련해 경찰이 입건 전 조사(내사)에 나섰다. 경찰청 국가수사본부는 27일 언론 공지를 통해 “대통령을 사칭한 ‘해외주식 양도소득세율 인상, 보유세 신설’이라는 내용의 글이 온라인 등을 통해 유포되고 있다”며 “유포 경위를 추적해 법령에 따라 엄중 조치할 예정”이라고 밝혔다. 국수본은 “대통령을 사칭한 거짓 내용으로 정부 정책에 대해 심각한 혼란을 줄 수 있는 중대한 범죄행위”라고 강조했다. 내사는 서울경찰청 사이버수사대가 맡을 예정이다.

이재명 대통령을 사칭한 가짜 대국민 담화문에 대해 경찰이 입건 전 조사(내사)에 착수했다. 국가수사본부는 27일 언론 공지를 통해 “대통령을 사칭한 ‘해외주식 양도소득세율 인상, 보유세 신설’이라는 내용의 글이 온라인 등을 통해 유포되고 있다”며 이같이 밝혔다. 국수본은 “이는 대통령을 사칭한 거짓 내용으로 정부 정책에 대해 심각한 혼란을 줄 수 있는 중대한 범죄행위”라며 “유포 경위를 추적해 법령에 따라 엄중 조치할 예정”이라고 강조했다. 내사는 서울경찰청 사이버수사대가 맡을 예정이다. 앞서 이날 일부 온라인 커뮤니티 등에는 이 대통령이 현 한국 경제를 ‘외환위기 국면’이라고 규정하며 해외주식 양도소득세율 40%로 상향, 연 1%의 해외주식 보유세 신설 등을 시행한다는 내용의 담화문이 ‘받은 글’ 형식으로 돌았다. 이에 대통령실은 “해당 담화문을 발표한 사실이 없으며, 담화문의 내용은 명백한 허위”라는 입장을 밝혔다. 이어 “대통령 명의를 도용한 허위 조작 정보의 유포는 매우 심각한 범죄에 해당한다”고 지적했다. 또 “대통령실은 허위 조작 정보의 생산·유포 행위에 단호한 입장을 취해왔다”며 “이번 허위 담화문 유포 행위에 대해서도 강력한 법적 대응을 하겠다”고 했다.