미국의 의료기기 업체 스트라이커(Stryker)가 친이란 성향 해킹 그룹의 사이버 공격을 받아 시스템 전체가 사실상 마비되는 피해를 입었다. 블룸버그 통신은 11일(현지시간) “미 동부 시간 기준으로 전날 자정 무렵부터 전 세계 스트라이커 내부의 마이크로소프트(MS) 환경 전산망에 장애가 발생해 업무가 사실상 전면 중단됐다”고 보도했다. 스트라이커는 병원에 사용되는 장비를 생산하는 의료기기 생산업체이며 한국을 포함해 세계 61개국에 진출해 연간 매출 250억 달러(한화 약 37조원)를 거두는 다국적 의료기기 거대 기업이다. 정형외과용 장비, 수술도구, 응급처치용 장비, 중환자실용 일회용 장비 등을 생산하는 스트라이커의 현 시가총액은 1320억 달러(약 196조원)에 달한다. 보도에 따르면 스트라이커는 해킹 공격을 받은 직후 시스템, 서버, 개인 스마트폰 등 정보통신 기기 20만 대가 완전히 초기화됐다. 또 주요 데이터 50테라바이트(TB)도 외부로 유출된 것으로 알려졌다. 이에 스트라이커 측은 전 세계 임직원 5만 6000여 명에게 기기를 모두 끄고 사내망 접속을 철저히 차단하라는 긴급 지침을 내렸으나, 일부 직원은 사내망과 연결된 개인 스마트폰의 데이터까지 삭제되는 등 피해가 확산했다. 해킹 피해, 전 세계로 확산할 수도일각에서는 이번 해킹 사태로 인한 피해가 미국을 넘어 전 세계로 퍼질 수 있다고 우려한다. 블룸버그 통신에 따르면 미국 병원 상당수와 전 세계 수많은 병원이 이 기업의 수술용 장비를 사용하고 있다. 데이터 복구 작업이 늦어질 경우 예정된 수술이 지연되거나 취소되는 등 초유의 의료 공백 사태 가능성이 제기된다. 더불어 의료기기 제조사 특성상 환자의 개인 정보나 병원 내 민감한 진료 기록이 50TB 분량의 유출 데이터에 포함됐을 수 있다. 이는 보이스피싱이나 신분 도용 등 심각한 2차 피해로 이어질 가능성이 농후하다. 스트라이커는 미국 국방부와도 4억 5000만 달러(약 6700억원) 규모 의료 장비 공급 계약도 맺고 있는 것으로 알려졌다. 이번 해킹 사태가 현재 전쟁 중인 미군에 미칠 영향을 우려하는 목소리도 나온다. 시온주의 해킹그룹, 자신들의 소행이라고 주장이번 사태는 이란 정부와 밀접한 연관을 맺고 있는 해킹 그룹인 ‘한다라’(Handala)의 소행으로 알려졌다. 앞서 스트라이커는 2019년 당시 친팔레스타인 또는 친이란 해킹 그룹으로 분류되는 한다라를 시온주의 세력으로 규정한 바 있다. 시온주의 세력은 팔레스타인 지역에 유대인 민족 국가를 건설하기 위한 운동에 참여하거나 동조하는 집단을 가리키는 표현이다. 한다라는 이스라엘 정부 관련 사이트나 금융 및 기술 기업 등을 주로 해킹하며 이스라엘에 대한 적대심을 드러내 왔다. 한다라는 스트라이커 해킹 사태 이후 온라인 성명에서 “이번 사이버 공격은 미국의 이란 초등학교 공습에 대한 보복”이라고 주장하며 “사이버전의 새로운 장이 열릴 것”이라고 예고했다. 이어 “스트라이커는 이스라엘 기업과 연관돼 있다”고 주장하며 “스트라이커로부터 탈취한 50TB의 개인 데이터와 기업 기밀을 전 세계에 공개해 부패와 불의를 폭로하겠다”고 위협했다. 다만 이란 정부가 이번 해킹 사태에 어디까지 개입돼 있는지는 확인되지 않고 있다. 최악의 해킹 피해에 미국 행정부 반응은?이란 반관영 타스님 통신도 한다라의 이번 사이버 공격으로 피해가 발생했다고 보도한 가운데, 일각에서는 해커들이 스트라이커 장비를 쓰는 병원의 핵심 생명 유지 장비나 수술 장비 작동 환경을 원격으로 교란해 환자 생명을 직접 위협하는 최악 상황까지 거론하며 우려를 표했다. 더불어 이번 해킹 사태가 대중의 심리적인 공포를 조장하기 위한 고도의 정치적·전략적 목적으로 활용될 수 있다는 분석도 나온다. 팀 호 전 미국 국가안보국(NSA) 국장은 월스트리트저널(WSJ)에 “실제 분쟁 상황이 벌어지면 대중과 맞닿아 있는 민간 산업 부문은 가장 방어가 취약하면서도 적들에게 파급력을 과시하기 좋은 표적으로 작용한다”며 “기업들이 당면한 거대 보안 위협에 대비해야 한다”고 강조했다. 한편 백악관은 미 연방수사국(FBI) 등 정보 기관과 공조해 잠재적인 사이버 위협을 주시하고 강력한 대응 방안을 모색 중이다.

이란 테헤란 전역의 교통 감시카메라(CCTV)가 수년간 해킹됐다. 공습 직전 이동통신 기지국은 ‘먹통’이 됐다. 정밀유도탄 30발이 투하됐고 아야톨라 알리 하메네이 이란 최고지도자는 약 60초 만에 숨졌다. 몇 시간 뒤 이란 최고위 성직자들은 전 세계 무슬림을 향해 “복수는 종교적 의무”라고 선언했다. 2일(현지시간) 영국 파이낸셜타임스(FT)와 가디언, 미국 월스트리트저널(WSJ) 보도를 종합하면 이번 공습은 단순한 공중 타격이 아니라 20년에 걸친 정보전의 산물로 분석된다. ◆ 20년 추적…테헤란 CCTV·AI·휴민트 총동원 FT는 복수의 소식통을 인용해 “테헤란의 거의 모든 교통 카메라 영상이 수년간 이스라엘 서버로 전송됐다”고 보도했다. 이스라엘 정보특수작전국 모사드는 이를 통해 하메네이와 고위 관료 경호원의 주소, 근무 시간, 출퇴근 경로, 주차 구역 등 생활 방식을 체계적으로 축적했다. 특히 테헤란 파스퇴르 거리 관저 인근의 특정 카메라는 경호원 개인 차량의 주차 위치를 파악하는 데 핵심 역할을 했다. 이스라엘 정보 당국자는 “우리는 테헤란을 예루살렘처럼 잘 안다”고 밝혔다. 2001년 당시 이스라엘 총리였던 아리엘 샤론이 “이란을 최우선 목표로 삼으라”고 지시하면서 정보전은 본격적으로 시작됐다. 이후 모사드는 이란 핵 프로그램과 혁명수비대(IRGC)를 핵심 표적으로 삼아 정보망을 확대했다. 이스라엘 군 정보기관 8200부대는 수십억 건의 통신·이동 데이터를 알고리즘으로 분석해 표적 식별을 자동화했다. 과거 요원이 영상을 직접 확인하던 방식에서 벗어나 데이터 기반 추적 체계를 구축했다. 이스라엘은 기술 정보뿐 아니라 인적 정보망(휴민트·HUMINT)도 병행했다. 모사드가 구축한 현지 정보원 네트워크는 하메네이의 회동 일정과 참석 인물, 이동 시점을 교차 확인하는 역할을 했다. 외신은 “최종 위치 확인은 인간 정보에 의존했다”고 전했다. 공습 당일 모사드는 파스퇴르 거리 인근 이동통신 기지국 10여 곳을 교란해 모든 통화가 ‘연결 중’으로 표시되도록 만들었다. 경호팀은 외부 경고를 받지 못했고 이스라엘 전투기 편대는 방해 없이 목표 지점에 진입했다. 이스라엘군은 집무실 일대에 정밀유도탄 30발을 투하했다. 가디언은 이스라엘 군 관계자를 인용해 “하메네이와 이란 최고위 인사 7명, 가족과 측근 등 10여 명이 약 60초 만에 사망했다”고 전했다. 미군도 지원에 나섰다. 미 합동참모본부는 이란 감시·통신망에 대한 사이버 공격으로 이스라엘 공군의 진입 경로를 확보했다고 밝혔다. WSJ는 미군이 인공지능(AI) ‘클로드’를 활용해 정보 분석과 표적 식별, 전투 시뮬레이션을 지원했다고 보도했다. 모사드와 중앙정보국(CIA)의 보고를 받은 도널드 트럼프 미국 대통령은 미 동부시간 27일 오후 ‘장대한 분노’(Epic Fury) 작전을 승인했고, 약 10시간 뒤 공습이 시작됐다. 이스라엘과 미국은 전면전이 본격화되기 전에 하메네이를 타격해야 한다고 판단했다. 전쟁이 격화되면 하메네이가 지하 벙커로 이동해 공군력만으로는 제거하기 어려워질 수 있다고 봤기 때문이다. ◆ “복수는 종교적 의무”…전 세계 무슬림에 파트와 하메네이 사망 이후 이란 종교 지도부는 즉각 대응에 나섰다. 시아파 최고 성직자인 ‘대아야톨라’ 호세인 누리 하마다니와 나세르 마카렘 시라지는 각각 파트와(종교령)를 발표하고 “순교한 혁명 지도자의 피에 대한 복수는 모든 무슬림의 의무”라고 선언했다. 마카렘 시라지는 미국과 이스라엘을 “범죄의 주범”으로 규정했다. 이란 정부도 보복 의지를 분명히 했다. 마수드 페제시키안 대통령은 하메네이 사망에 대한 복수는 “국가의 정당한 권리이자 의무”라고 강조했다. 시아파 체계에서 대아야톨라의 종교령은 단순한 정치적 발언을 넘어 종교적 해석 권위를 지닌 판단으로 받아들여진다. 신도들에게 도덕적·종교적 구속력을 가질 수 있어 상징적 선언을 넘어 행동으로 이어질 가능성을 배제하기 어렵다는 분석이 나온다. 인도와 호주 등 해외 시아파 공동체에서도 추모 집회와 항의 시위가 이어지면서 반미·반이스라엘 정서가 확산하고 있다. ◆ 군사 충돌 넘어 ‘종교 갈등’으로 번지나 전문가들은 이번 파트와가 국가 간 군사 충돌을 넘어 종교적 동원으로 확산할 가능성을 우려한다. 일부 외신은 이번 선언이 미국과 이스라엘을 상대로 한 ‘종교적 투쟁’의 성격을 띨 수 있다고 해석했다. 다만 이란 정부가 이를 공식 군사 행동으로 어떻게 연결할지는 아직 불확실하다. 지도자 암살은 국제사회에서 고위험 전략으로 분류된다. 실패하면 정치적 역풍이 거세고, 성공하더라도 권력 공백과 보복을 촉발할 수 있다. 실제로 이란은 걸프 지역과 이스라엘을 겨냥한 보복 타격에 나섰고, 레바논 남부에서도 교전이 이어지고 있다. 미군 기지와 걸프 지역을 겨냥한 추가 공격 가능성도 거론되면서 긴장이 고조되고 있다. 이번 사태는 20년에 걸친 정보 축적과 테헤란 CCTV 해킹, 휴민트 교차 확인, 이동통신 교란, AI 기반 데이터 분석, 미군 사이버전 지원이 맞물린 복합 정보전의 산물로 평가된다. 그러나 그 후폭풍은 군사 영역을 넘어 종교·이념 전선으로 번질 가능성을 안고 있다. 중동 정세가 전면전으로 치달을지, 제한적 충돌에 그칠지 국제사회의 이목이 쏠린다.

서울시 공유자전거 ‘따릉이’의 개인정보 약 462만건을 유출한 고등학생들이 검찰에 넘겨졌다. 이들은 서울시설공단이 가입자 정보를 허술하게 관리한 점을 범행에 이용한 것으로 조사됐다. 서울경찰청은 공유자전거 따릉이 개인정보를 유출한 10대 A군과 B군을 정보통신망법 위반 혐의로 불구속 송치했다고 23일 밝혔다. 경찰에 따르면 이들은 2024년 6월 28일부터 이틀간 공단에서 운영하는 ‘서울자전거 따릉이’ 서버에 침입해 가입자 정보를 유출한 혐의를 받는다. 유출된 개인정보는 아이디와 휴대전화 번호, 이메일 계정 주소, 주소지, 생년월일, 성별, 체중 등이다. 이름과 주민등록번호는 포함되지 않았다. 조사 결과 A군은 역할 분담을 주도했고, B군은 독학으로 익힌 해킹 기술로 정보를 탈취했다. 범행 당시 중학생이던 이들은 실제 만난 적은 없었으며, 소셜미디어를 통해 알게 된 사이였다. A군은 경찰 조사에서 진술거부권을 행사해 경찰이 구속영장을 신청했지만, 소년범이라는 이유로 검찰 단계에서 영장이 반려됐다. B군은 자기과시 목적으로 범행을 저질렀다고 진술한 것으로 전해졌다. B군은 2024년 4월 9일부터 닷새간 또 다른 공유 모빌리티 대여업체의 서버에 47만회가량의 대량 신호를 보내 장애를 유발(디도스 공격)하고, 장비 대여 업무를 방해한 혐의(정보통신망 침해) 등도 적용받았다. 경찰 관계자는 “공단이 개인정보 유출 당시 사실을 파악하고도 아무런 조처를 하지 않은 의혹도 들여다보고 있다”고 밝혔다.

루이비통·디올·티파니 등 글로벌 명품 브랜드 3사가 고객 개인 정보를 허술하게 관리하다 해킹당해 360억원대 과징금을 부과받았다. 비용을 줄이고 편리하게 고객 관리를 하려고 서버 대신 클라우드 기반 서비스형 소프트웨어(SaaS)를 도입했지만 보안 관리가 미흡해 개인정보 유출을 막지 못했다. 개인정보보호위원회는 지난 11일 전체 회의를 열어 개인정보보호 법규를 위반한 이들 3개 사에 과징금 360억 3300만원과 과태료 1080만원을 부과했다고 12일 밝혔다. 업체별 과징금은 루이비통코리아 213억 8500만원, 크리스챤디올꾸뛰르코리아 122억 3600만원(과태료 360만원), 티파니코리아 24억 1200만원(과태료 720만원)이다. 세 브랜드는 모두 프랑스 명품 그룹 루이비통모에헤네시(LVMH) 소속이다. 조사 결과 루이비통은 지난해 6월 9~13일 세 차례에 걸쳐 약 360만명의 개인정보를 유출했다. 직원의 기기가 악성코드에 감염된 것이 발단이었다. 해커는 이 기기에서 서비스형 소프트웨어 계정 정보를 탈취해 고객관리 시스템에 침입했고 등록 고객의 개인정보를 빼냈다. 루이비통은 시스템 접근 권한에 인터넷프로토콜(IP) 주소 제한을 두지 않았고, 외부 접속 시 안전한 인증수단도 적용하지 않은 것으로 드러났다. 디올과 티파니도 보안 관리가 허술했다. 고객센터 직원이 보이스피싱에 속아 서비스형 소프트웨어 접근 권한을 해커에게 넘기면서 지난해 1월과 4월 각각 디올 고객 195만명, 티파니 4600여명의 개인정보가 유출됐다. 두 회사 모두 IP 주소 제한이나 대량 데이터 다운로드 통제 장치가 없었다. 디올은 접속 기록 점검도 부실했다. 개인정보 다운로드 여부 등을 월 1회 이상 점검해야 했지만 이를 지키지 않아 유출 사실을 3개월 이상 지난 5월에야 파악했다. 유출 사실을 인지한 뒤에도 신고 기한(72시간)을 넘겨 관계 기관에 알린 것으로 확인됐다. 개인정보위는 세 업체에 처분 사실을 홈페이지에 공개하도록 명령했다. 개인정보위 관계자는 “기업들이 비용·편익만 고려해 서비스형 소프트웨어를 도입한 뒤 개인정보 보호 조치를 소홀히 했다”고 지적했다. 일부 소비자들은 “해마다 가격을 올리면서 정작 고객 개인 정보 관리 비용은 아끼고 싶었던 모양”이라며 “허술한 관리 형태가 ‘이름값’을 못한다”고 분통을 터뜨렸다.

2026년에는 실험단계였던 첨단기술이 일상 속에서 공존할 전망이다. 인공지능(AI)은 기존의 모델 경쟁을 넘어 인프라 전쟁으로 확대하고, 스마트폰 영역에선 글로벌 ‘접기 대전’이 예상된다. 연이은 개인정보유출 사태로 위기감이 커진 보안 분야에서는 ‘AI 창’ 대 ‘AI 방패’의 승부가 펼쳐질 전망이다. 이런 변화를 감지할 첫 무대는 오는 6일(현지시간) 미국 라스베이거스에서 열리는 CES다. AI 인프라 전쟁뭉쳐라!… 전력부터 칩까지 AI 한꺼번에글로벌 빅테크의 AI 경쟁은 더 이상 모델 성능 향상에만 머물지 않는다. 실제 서비스를 얼마나 안정적으로, 장기간 운영할 수 있냐가 경쟁의 새로운 축이다. 따라서 전력·데이터센터·반도체 등 기초 인프라 구축이 핵심으로 떠오르고 있다. 월스트리트저널(WSJ)은 “AI 투자 경쟁은 소프트웨어를 넘어 데이터센터와 반도체, 전력 인프라로 옮겨가고 있다”며 “추론 비용을 낮추지 못하는 기업은 장기 경쟁에서 밀릴 수밖에 없다”고 짚었다. 영상 생성, 로봇 제어 등 연산량과 전력 소모가 큰 서비스가 상용화 단계에 접어들면서 기존의 전력망과 범용 서버 등으로는 수요를 감당하기 어렵다는 것이다. 이에 구글은 최근 약 7조원을 투입해 에너지 인프라 기업 ‘인터섹트’를 인수했다. 데이터센터 전력을 외부망에만 의존하지 않고, 발전 설비와 데이터센터를 한 부지에 통합해 장기적으로 전력 수급 안정성을 꾀하려는 것이다. 오픈AI 진영이 공공 전력망과 분리된 초대형 데이터센터 프로젝트 ‘스타게이트’를 추진하고, 아마존웹서비스(AWS)가 원전 및 소형모듈원자(SMR) 협력으로 독자적인 전력 공급망 구축에 나선 것도 같은 맥락이다. 삼성전자와 SK하이닉스는 글로벌 AI 인프라 경쟁의 핵심 축으로 부상하고 있다. 양사는 올해 6세대 고대역폭 메모리(HBM4) 양산에 본격 돌입하며, AI 서버의 연산 병목을 해소할 핵심 공급사로 주목받고 있다. 업계에서는 HBM을 포함한 AI 특화 메모리 수요가 가파르게 늘어나면서 범용 D램 중심이던 메모리 시장의 수익 구조가 재편될 것으로 보고 있다. 피지컬 AI붙여라!… 자율주행 등 AI 제품 결합 가속지난해까지 AI가 모니터 속 학습·추론 경쟁에 몰두했다면 올해는 자동차·로봇·생활용품 등과 결합하는 ‘피지컬 AI’가 구체화할 전망이다. 삼정KPMG 경제연구원은 세계 최대 가전·정보기술(IT) 박람회 ‘CES 2026’의 첫 번째 키워드로 ‘피지컬 AI’를 꼽으며 “단순 자동화를 넘어 물리적 환경을 이해·판단·조작하는 AI 디바이스가 다수 공개되고, 제조·건설·물류·서비스 등 다양한 분야에서의 실질적 적용 가능성이 구체적으로 제시될 것”이라고 예상했다. 대표적으로 모빌리티에선 실험 단계였던 자율주행 시장이 올해 크게 확대될 전망이다. 지난해 미국에서 무인 로보택시를 운영한 구글의 자율주행 자회사 ‘웨이모’는 올해 차량 호출 앱 ‘웨이모 원’을 내놓으며 대중을 상대로 서비스를 확대할 예정이다. 중국에선 바이두의 자율주행 자회사 ‘아폴로 고’가 자율주행 레벨4(고도자동화) 수준의 로보택시를 상용화하며 웨이모를 바짝 추격하고 있다. 우리나라의 경우 현대차그룹의 자회사 ‘포티투닷’이 오는 8월 첫 자율주행 실험차 ‘SDV 페이스카’를 공개할 예정이다. 지난해 스마트홈 각축전을 벌였던 가전 분야와 단순 자동화 극복이 과제인 산업 분야에서 기업들은 올해 AI를 탑재한 휴머노이드를 앞다퉈 내놓을 예정이다. LG전자는 CES 2026에서 다섯 손가락을 갖춰 집안일에 최적화된 가전용 휴머노이드 ‘클로이드’를 공개한다. 보스턴다이내믹스도 휴머노이드 ‘아틀라스’를 처음 선보인다. AI가 접목된 웨어러블 기기도 경쟁이 치열할 전망이다. 메타가 지난해 선보인 스마트 안경 ‘레이밴 메타’로 시장을 선점하는 가운데 구글은 올해 중 자사 AI인 ‘제미나이’가 탑재된 스마트 안경을 출시한다. 스마트폰접어라!… 몇 번이든, 차세대 폴더블폰 전쟁스마트폰 시장에서는 대형 화면을 접는 ‘폴더블폰’이 주류 프리미엄 폼팩터(기기 형태)로 자리매김하며 글로벌 싸움이 치열해질 것으로 보인다. 지난해 삼성전자는 두 번 접히는 ‘갤럭시 트라이폴드’를 선보이며 중국 화웨이가 독점하던 트라이폴드 경쟁에 뛰어들었다. 갤럭시 트라이폴드는 360만원이라는 초고가에다 한정된 물량만 시중에 푸는 ‘플래그십’을 펼쳤지만 연일 완판 행진을 했다. 올해는 중국 샤오미와 미국 애플이 트라이폴드 시장에 진입할 것으로 보인다. 샤오미타임 등 외신에 따르면 샤오미는 지난해 세계이동통신사업자연합회(GSMA)에 신제품을 등록했는데, 태블릿 사이즈로 펼쳐지는 트라이폴드형일 가능성이 거론된다. 애플 역시 아이폰18 시리즈와 함께 자사 첫 폴더블폰인 ‘아이폰 폴드’ 모델을 준비 중이다. 양산 막바지인 세부 디자인 조정 단계에 진입한 것으로 전해지면서 출시가 임박한 것으로 예측된다. 아이폰 팬층의 탄탄한 수요를 고려하면 아이폰 폴드 출시와 함께 폴더블폰 시장이 요동칠 수 있다. 시장 조사 기관인 IDC는 아이폰 폴드의 출시로 세계 폴더블폰 시장이 올해 30% 성장할 것으로 예측했다. 해킹막아라!… 뚫리면 끝장, 보안 단속에 사활안랩은 지난해 말 발간한 ‘2025년 사이버 위협 동향 및 2026년 전망’ 보고서에서 첫 번째 보안 위협으로 ‘AI 기반 공격의 전방위 확산’을 꼽았다. 안랩은 “AI가 피해자의 환경을 분석하고 표적을 정확하게 타격할 수 있는 ‘적응형 공격’이 확대될 것”이라고 분석했다. 또 개인이 AI를 식별하기 어려울 정도로 기술이 발전하면서 딥페이크 등 AI를 악용한 정교한 피싱이 증가하고, AI를 활용한 해킹 신기술이 급속도로 발전하며 해킹의 진입 장벽을 낮출 것이라고 우려했다. 다만 AI에 따른 보안 위협에 대응하는 도구로도 AI가 부상할 전망이다. 보안업체 ‘시큐아이’는 ‘2026년 보안 트렌드’ 보고서에서 “공격과 방어 전반에 AI가 확산하며 사이버 보안이 본격적인 ‘AI 대 AI’의 경쟁 구도로 전환 될 것”이라고 분석했다. 김명주 AI안전연구소장은 “지난해보다 올해 생성형 AI로 만든 사진·영상을 식별하기가 훨씬 어려워졌고, 지방선거 등 큰 행사가 있는 만큼 AI 악용이 본격화될 것”이라며 “AI기본법이 시행되면 정부 차원에서도 AI 부작용에 대비하는 체계를 마련해야 한다”고 지적했다.

9월 1일 이후 해지 고객도 적용통신비 직접 감면은 보상 제외 KT가 불법 팸토셀(초소형 기지국) 관리 부실에 따른 개인정보 유출과 무단 소액결제 피해를 보상하기 위해 해지 위약금 면제와 총 600GB의 데이터 무상 제공을 약속했다. 빵집·영화관 등 제휴사 할인도 예고했다. 다만, 통신비 감면은 없어 고객의 체감도가 크지 않을 것이라는 지적도 나온다. KT는 30일 서울 종로구 광화문KT사옥에서 기자회견을 열고 다음 달 13일까지 이동통신서비스 계약을 해지한 고객의 위약금을 면제한다고 밝혔다. 경찰이 KT에 무단 결제 사건을 통보한 지난 9월 1일 이후 해지한 고객도 소급 적용된다. 다만 9월 이후 신규로 가입했거나 기기 변경을 한 경우, 알뜰폰이나 인터넷TV 등 결합 상품 고객의 경우는 환급 대상에서 제외된다. 환급 신청은 다음달 14일부터 31일까지 KT 홈페이지와 고객센터, 대리점에서 할 수 있다. 실제 환급은 다음달 22일, 2월 5·19일 등 순차적으로 진행된다. 입원·출장 등 개인 사정에 따라 해지 기간을 놓칠 경우 기한을 연장해준다. 위약금 면제 종료일인 13일을 기준으로 여전히 KT를 이용 중인 고객에게는 2월부터 7월까지 매달 데이터 100GB와 온라인동영상서비스(OTT) 이용권을 지급하고 커피·영화·베이커리 등 제휴사 멤버십 할인을 시행한다. 휴대전화 피싱·해킹, 인터넷 쇼핑 사기 등을 보상하는 ‘안전·안심 보험’도 2년간 무상 제공될 예정이다. KT는 고객 보상안의 전체 가치를 약 4500억원으로 추산했다. 하지만 통신비에 대한 직접 감면은 제외됐다. 이에 KT 고객의 3분의 1을 차지하는 데이터 무제한 요금제 고객의 체감도는 낮을 수밖에 없다. 앞서 SK텔레콤이 데이터 50GB와 통신요금 50% 할인을 함께 제공한 것과 대조적이다. 권희근 고객부문마케팅혁신본부장은 “일회성 요금 할인보단 장기간 혜택을 드리고자 했다”며 “고객마다 요금제가 달라 할인액이 달라질 수 있다는 부분도 감안했다”고 말했다. 보안관리 부분에서는 전사 차원의 ‘정보보안 혁신 태스크포스(TF)’를 출범한다. 이날 김영섭 KT 대표는 “민관합동조사단의 조사 결과를 엄중하게 받아들이고 고객 피해와 불편을 최소화하기 위해 노력하겠다”며 고개를 숙였다.

기내식 납품업체 C＆D 서버 공격 인터넷 공유사이트에 3만건 유출“주민번호·고객 정보는 포함 안 돼”국수본, 아시아나항공 내사 착수 대한항공에서 협력사의 외부 해킹 피해로 임직원 개인정보가 유출되는 사고가 발생했다. 아시아나항공에 이어 임직원 정보 유출 사태가 항공업계 전반으로 확산하면서 기업들의 미흡한 정보보호 관리 체계에 대한 비판이 커지고 있다. 29일 항공업계에 따르면 대한항공의 기내식 납품업체인 대한항공C＆D서비스(이하 대한항공C＆D)가 최근 외부 해커그룹의 공격을 받아 업체 서버에 저장된 대한항공 임직원들의 성명, 계좌번호 등 개인정보 3만여건이 유출됐다. 다만 임직원 주민등록번호와 대한항공 및 대한항공C＆D의 고객 정보는 유출되지 않았다고 업체 측은 밝혔다. 대한항공은 지난 19일 인터넷 파일 공유 사이트 ‘토렌트’에 임직원 정보가 게시된 정황을 처음 인지한 뒤 대한항공C＆D에 이를 공유했다. 대한항공C＆D는 해킹 정보 등에 대해 분석한 뒤 26일 대한항공 측에 피해 사실을 확정해 알렸다. 이후 대한항공C＆D는 한국인터넷진흥원(KISA)에, 대한항공은 개인정보보호위원회 등 관계기관에 유출 사실을 즉시 신고했다. 대한항공C＆D는 대한항공이 지분 20%를 보유한 협력사다. 2020년 12월 코로나19 팬데믹 당시 대한항공이 유동성 확보 차원에서 기내식 부문을 한앤컴퍼니에 분리 매각한 후 별도 법인으로 운영되고 있다. 대한항공C＆D 관계자는 “업무 양수 당시 함께 이관된 대한항공 임직원 정보가 유출된 것으로 파악 중”이라며 “지난달 다크웹 상에서 관련 정보 유출을 주장하는 해외 해킹 조직의 게시글을 확인해 해킹 사고 가능성을 인지하고 있었다”고 설명했다. 우기홍 대한항공 부회장은 지난 26일 사내 공지를 통해 “외부 협력업체의 관리 영역에서 발생한 것이라 할지라도 당사 임직원 정보가 연루된 만큼 이번 사안을 엄중하게 인식하고 있다”며 “정확한 유출 범위와 대상자 파악에 역량을 집중하고 있다”고 밝혔다. 그는 이어 “혹시 모를 2차 피해 예방을 위해 회사나 금융기관을 사칭한 이체 요청이나 보안카드 번호 등을 요구하는 의심스러운 문자, 이메일에 각별히 유의해달라”고 당부했다. 대한항공C＆D 관계자는 “이번 정보 유출과 관련한 개인 피해 접수 사례는 확인되지 않고 있다”며 “재발 방지를 위해 보안 강화에 만전을 기하겠다”고 말했다. 지난 24일에는 아시아나항공이 외부 해킹 공격으로 협력사를 포함한 임직원 1만여명의 개인정보가 유출됐음을 확인했다. 경찰청 국가수사본부는 아시아나에 대한 내사에 착수했다.

서버 94대·악성코드 103종 감염문자·통화 내용까지 유출될 위험정부, 전 이용자 위약금 면제 요구KT, 오늘 고객 보상안 논의 예정‘서버 폐기 정황’ LGU+ 경찰 수사 정부가 지난 9월 공개된 KT 해킹 사건의 최종 조사 결과를 29일 발표하며 전 이용자를 대상으로 중도 해지 위약금을 전액 면제하라고 요구했다. KT는 “고객 보상안을 조속히 발표하겠다”고 밝혔다. 과학기술정보통신부가 이날 발표한 ‘KT 침해 사고 최종 조사 결과’에 따르면 KT 서버 3만 3000대를 점검한 결과 서버 94대가 BPF도어, 루트킷, 분산 서비스 거부(디도스) 공격형 코드 등 악성코드 103종에 감염된 것으로 확인됐다. 앞서 역대급 통신사 해킹 사건이 일어났다던 SK텔레콤은 28대 서버에서 BPF도어 계열 27종을 포함해 모두 33종의 악성코드 감염이 확인됐다. SKT보다 KT의 감염 범위가 더 광범위했던 것이다. 다만 개인정보 유출 규모 측면에선 SKT 2300만명, KT 2만 2000여명으로 SKT가 압도적으로 컸다. 서버 감염과 별도로 불법 초소형 기지국(펨토셀)이 통신망에 무단 접속해 국제이동가입자식별정보(IMSI), 국제단말기식별번호(IMEI), 전화번호가 유출된 이용자는 2만 2227명, 무단 소액결제 피해자는 368명, 피해액은 2억 4300만원으로 중간 조사 결과와 같았다. 민관합동조사단은 경찰이 무단 소액결제범들로부터 확보한 불법 펨토셀을 포렌식 분석한 결과 결제 인증 정보가 탈취된 사실을 파악하는 한편 이용자의 문자메시지와 통화 내용까지 빼내는 것이 가능하다는 점을 확인했다. 조사단은 “KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 언제 어디서든 접속할 수 있었다”면서 “인증 서버 IP의 주기적 변경과 대외비 관리 등 보안 관리 개선책을 마련하라”고 요구했다. 과기정통부는 문자메시지와 음성 통화가 제삼자에게 새 나갈 위험성은 소액결제 피해를 본 일부 이용자에 국한된 것이 아닌 전체 이용자에 해당한다고 판단하고, KT 측에 모든 이용자를 대상으로 위약금을 면제할 것을 주문했다. KT는 30일 이사회를 열고 위약금 면제 범위와 고객 보상안을 논의해 발표할 예정이다. 한편 LG유플러스는 허위 자료 제출과 서버 폐기 정황이 드러나 경찰 수사를 받게 됐다. 조사단은 통합 서버 접근제어 솔루션(APPM)과 연결된 정보가 유출된 것을 확인했으나, 익명 제보자가 제공한 자료와 회사가 제출한 자료가 서로 달랐다. 여기에 서버 운영체계(OS)를 폐기한 정황까지 드러나 조사단은 LG유플러스를 공무집행방해 혐의로 경찰에 수사를 의뢰했다.

해킹·디도스 공격 등 사이버 침해 범죄가 10년 만에 2배로 늘어난 것으로 나타났다. 한국 사회 특유의 교육열 속에 사교육비는 해마다 증가해 지난해 30조원에 육박했으며, 소득·지역별 격차는 뚜렷했다. 국가데이터처가 26일 발표한 ‘한국의 사회 동향 2025’에 따르면 지난해 해킹 등 사이버 침해 범죄(정보통신망 침해 범죄) 발생 건수는 4526건으로 2023년(4223건) 대비 7.2% 증가했다. 2014년(2291건)과 비교하면 10년 만에 약 2배 수준으로 늘었다. 검거율은 다른 범죄 유형에 비해 상대적으로 낮았다. 사이버 침해 범죄 검거율은 21.8%로, 사이버 성폭력 등 불법콘텐츠 범죄(80.9%)나 피싱·사이버 사기 등 정보통신망 이용 범죄(52.1%)와 큰 격차를 보였다. 사이버 침해 신고도 급증했다. 지난해 신고는 1887건으로 2023년(1277건) 대비 47.8% 늘었다. 민간 기업은 침해 사실을 인지하면 24시간 이내에 한국인터넷진흥원(KISA)이나 과학기술정보통신부에 신고해야 한다. 데이터처 관계자는 “2023년 관련 법 개정으로 정보 공유 조항이 의무화 조항으로 바뀌면서 신고 건수가 크게 늘었다”고 설명했다. 유형별로는 서버 해킹(1057건), 디도스 공격(285건), 랜섬웨어 등 악성코드(229건) 순이었다. 특히 서버 해킹은 2023년(583건) 대비 81.3% 급증했다. 초등생 1인당 사교육비 44만원, 참여율 88%지난해 사교육비 총액은 29조 2000억원으로 집계됐다. 초등학교 사교육비는 2008년 10조4000억원부터 2015년 7조 5000억원까지 줄었다가 지난해 13조 2000억원으로 반등했다. 초등학생 1인당 월평균 사교육비는 44만 2000원, 사교육 참여율은 87.7%였다. 중학교 사교육비는 2009년(6조 3000억원)부터 2016년(4조 8000억원)까지 감소한 뒤 지난해 7조 8000억원 수준까지 반등했다. 고등학교는 2007년(4조 2000억원)에서 지난해(8조 1000억원)까지 계속 늘었으며 특히 2015년 이후 빠르게 늘었다. 1인당 월평균 사교육비는 중학생 49만원, 고등학생은 52만원이다. 사교육 참여율의 경우 중학교와 고등학교 각각 78.0%, 67.3%로 나타났다. 모든 학교급에서 가구소득이 높고 대도시일수록 사교육 참여율과 지출 비중이 컸다.

한국소비자원 소비자분쟁조정위원회가 SK텔레콤에 개인정보 유출 사고와 관련해 1인당 10만원 상당을 보상하라는 조정안을 내놨다. 총 2조 3000억원으로 추산되는 보상안에 대해 SK텔레콤은 향후 15일간 수용 여부를 결정할 수 있는데, 일단 ‘신중히 검토하겠다’는 입장을 보였다. 조정위는 21일 “7월 민관합동조사단의 조사 결과와 8월 개인정보보호위원회의 처분 내용 등을 볼 때 SK텔레콤 해킹 사고로 개인정보가 유출돼 소비자 피해가 발생한 사실이 인정된다”며 “소비자 개인의 피해 회복을 위해 SK텔레콤에 보상 책임이 있음을 확인했다”고 밝혔다. 이어 조정위는 지난 18일 집단분쟁조정회의를 통해 개인정보 유출 사고 피해자들에게 1인당 5만원의 통신요금 할인과 ‘티플러스포인트’ 5만 포인트를 지급하는 내용의 조정안을 결정했다고 설명했다. 티플러스포인트는 SK텔레콤의 제휴 업체에서 현금처럼 사용할 수 있는 포인트여서, 1인당 10만원 상당의 보상안을 내놓은 셈이다. 이에 대해 SK텔레콤은 “조정위의 조정안 내용을 면밀히 검토한 후 신중히 결정할 것”이라며 조정안 수용 여부를 숙고하겠다는 공식 입장을 내놨다. 다만 SK텔레콤은 아직 조정 결정서를 공식적으로 전달받지는 않은 것으로 알려졌다. 지난 5월 SK텔레콤 이용자 58명은 ‘홈 가입자 서버’ 해킹 사고로 개인정보가 유출되는 피해를 입었다며 한국소비자원에 피해 보상 및 재발 방지를 요구하는 집단분쟁조정을 신청했다. 조정위가 결정서를 양측에 공식 통지한 후 15일 기한 내에 별도 의사 표시가 없으면 조정안을 수락한 것으로 취급하고 재판상 화해의 효력이 발생한다. 조정위는 이 경우 조정을 신청하지 않은 피해자들도 같은 보상을 받을 수 있도록 관련 절차를 진행하겠다는 입장이다. SK텔레콤의 해킹 사고 피해자가 약 2300만명에 달한다는 점을 감안하고 1인당 10만원씩 계산하면 보상 규모는 2조 3000억원에 이를 것으로 추산된다. 이는 올해 1~3분기 SK텔레콤 매출액(12조 771억원)의 19%, 영업이익(953억원)의 24배에 달하는 규모다. 다만 조정위는 SK텔레콤이 지난 8월 선제적으로 제공한 고객감사패키지의 50% 요금 할인은 보상안에서 공제하기로 했다. 예를 들어 피해 고객이 8월 4만원의 요금 할인을 받았다면 SK텔레콤은 해당 고객에게 나머지 1만원의 보상액과 5만원 상당의 티플러스포인트만 추가 지급하면 된다. 이를 반영하면 SK텔레콤이 실제로 추가 부담해야 할 보상액은 약 1조 8000억원 규모로 추산된다. 이는 지난해 SK텔레콤의 영업이익(1조 8234억원)과 맞먹는 규모다. 그러나 업계에서는 SK텔레콤이 비용 부담으로 인해 해당 조정안을 수용하기 어려울 것으로 보고 있다. SK텔레콤은 이번 해킹 사태와 관련해 이미 1조원 이상을 고객 보상 및 정보보호 투자 비용으로 지출했고 개인정보보호위원회로부터 역대 최고 규모인 1348억원의 과징금을 부과받은 상태다. 앞서 개인정보위 산하 분쟁조정위원회가 피해자들에게 30만원씩 배상하라고 결정한 조정안에 대해서도 SK텔레콤은 “사고 이후 회사가 취한 선제적 보상 및 재발방지 조치가 조정안에 충분히 반영되지 않았다”며 불수용한 바 있다. 또 연말까지 위약금 면제 조치를 연장하라는 방송통신위원회 통신분쟁조정위원회의 직권 조정 역시 수용하지 않았다. SK텔레콤이 조정안을 받아들이지 않는다면 피해자들은 민사소송 등을 통해 분쟁 절차로 넘어가야 한다. 그간 관련 재판 결과는 상이했다. 해킹으로 1080만명의 명의가 유출돼 2008년 소비자원 분쟁조정위가 5만~10만원을 배상하라고 했지만 조정이 무산됐던 옥션 사건의 경우, 2015년 대법원은 합리적 수준에서 기업이 개인정보 보호 조처를 시행했다며 소비자 배상 책임이 없다고 판단했다. 반면 법원은 2016년 전산망 해킹으로 1030만명의 회원 개인정보가 유출된 인터파크 사안에 대해서는 소송을 제기한 2400여명에게 1인당 10만원씩 배상 판결을 내렸다.

SK텔레콤 개인정보 유출 사고 피해자들이 1인당 10만원씩 보상받게 됐다. SK텔레콤이 조정안을 수락해 전체 피해자 약 2300만명에게 보상이 확대될 경우 보상 규모는 최대 2조 3000억원에 달할 것으로 예상된다. 한국소비자원 소비자분쟁조정위원회는 지난 18일 열린 집단분쟁조정회의에서 SK텔레콤에 개인정보 유출 피해 신청자들에게 1인당 10만원 상당의 보상금 지급 결정을 내렸다고 21일 발표했다. 조정위 측은 “민관합동조사단의 7월 조사 결과와 개인정보보호위원회의 8월 처분 결과를 보면 SKT 해킹으로 인한 개인정보 유출과 소비자 피해가 발생한 사실이 인정된다”며 “이에 따라 SKT에 보상 책임이 있음을 확인했다”고 밝혔다. 보상 내용을 살펴보면 신청인들은 통신요금에서 5만원을 깎아주고, 제휴사에서 현금같이 사용 가능한 티플러스포인트 5만 포인트를 받게 된다. 이번 분쟁조정은 지난 5월 9일 소비자 58명이 ‘SKT 홈가입자서버’ 해킹 사고로 개인정보가 유출된 데 대해 보상과 재발 방지 대책을 요구하며 집단분쟁조정을 신청한 것이 발단이었다. 조정위는 SK텔레콤이 이번 결정을 받아들이면 조정에 참여하지 않은 나머지 피해자들도 동일하게 보상을 받을 수 있도록 후속 절차를 밟을 방침이다. 피해자가 약 2300만명에 달하는 만큼 전체를 대상으로 보상이 이뤄질 경우 총액은 2조 3000억원 규모가 될 전망이다. 조정위는 조만간 SK텔레콤에 조정결정서를 보낼 예정이며, SK텔레콤은 이를 받은 뒤 15일 이내에 수락 의사를 조정위에 통보해야 한다. 이에 대해 SK텔레콤 측은 조정안을 면밀히 검토한 뒤 신중히 결정하겠다는 입장을 밝혔다.

국내 대형 서점 중 하나인 알라딘 사이트가 17일 오후 약 4시간 동안 먹통이 됐다. PC 홈페이지는 오후 1시 30분부터 4시까지, 모바일 앱은 오후 1시부터 5시까지 도서 구매와 전자책 열람 등 이용이 모두 멈췄다. 알라딘 측은 이날 “서버 하드웨어 이슈에 대한 긴급 점검을 진행하고 있다”고 공지했고 오후 5시 17분쯤 홈페이지부터 차례대로 복구됐다. 알라딘은 “서비스 장애는 DB 서버의 램(RAM) 하드웨어 고장으로 인해 발생했다”며 “해당 서버는 이중화 구성으로 운영 중이나 구성상의 문제로 자동 복구가 정상적으로 동작하지 않아 일시적인 서비스 장애가 발생했다”고 밝혔다. 일각에서 제기된 해킹 우려에 대해선 “외부 침입하고는 무관하다. 해킹은 전혀 없었다”고 전했다. 알라딘은 2023년 한 고교생에게 시스템을 해킹당해 전자책 72만권이 유출됐고 이 중 5000권에 육박하는 전자책들이 텔레그램에 유포돼 출판사들의 피해로 이어졌다. 이후 알라딘은 콘텐츠를 구매한 사람만 볼 수 있도록 한 디지털 저작권 관리기술(DRM)을 암호화하고 이를 해제할 수 있는 복호화 키를 보완하는 등 조처를 해왔다.

세계 각국 데이터센터 유치에 사활美, 연방·주정부 차원 인센티브 지원 中, 8개 지역 매년 70조원 이상 투입2030년 전력 소비량 2배 증가 전망냉각용수 소요량 114% 늘어 12억㎥주요 인프라 놓고 주민과 분쟁 우려 전 세계가 인공지능(AI) 패권 경쟁에 돌입하면서 경쟁의 무게추가 ‘데이터센터’로 옮겨가고 있다. AI 모델을 학습시키는 연산력 확보가 국가 경쟁력을 좌우하는 단계에 이르자 미국, 중국을 비롯한 주요국들은 앞다퉈 AI 데이터센터 건설·투자에 뛰어들고 있다. 그러나 거대한 용량의 전력·물을 소비하는 데이터센터의 확장은 지역 사회와 환경에 극적인 영향을 끼치고, 전력망·수자원 정책, 사이버 안보 등을 둘러싼 갈등과 대응도 과제로 떠올랐다. 글로벌 신용위험 관리그룹 코페이스에 따르면 글로벌 데이터센터 용량은 오는 2030년 130GW(1GW는 원전 1기 설비 용량)로, 지난해 대비 2.3배 급증할 것으로 예상된다. 구글, 메타, 엔비디아, 아마존 등 빅테크들은 본거지인 미국은 물론 전 세계 허브 지역에서 데이터센터 투자 경쟁을 벌이고 있다. 구글은 미 텍사스주에 400억 달러(약 58조원)를 들여 데이터센터 3곳을 신설하는 것 외에 핀란드에 11억 달러, 말레이시아에 20억 달러를 투자한다고 최근 밝혔다. 마이크로소프트(MS)는 지난 9월 영국에 300억 달러 규모 AI 인프라 투자 계획을 발표했다. 반도체기업 엔비디아도 데이터센터 운영에 직접 나서며 오픈AI와의 파트너십을 통해 최대 1000억 달러를 투자, 10GW 규모 AI 데이터센터를 구축할 계획이다. 데이터센터의 ‘핫 스폿’(투자 지역)으로 떠오른 버지니아주 북부를 비롯해 캘리포니아·텍사스·애리조나·인디애나 등 미국 지역과 중국 베이징·내몽고·광둥 지역, 말레이시아, 인도, 중동 등은 주요 투자 지역으로 떠오르고 있다. 기업들과 별개로 각국 정부 역시 저마다 데이터센터 유치에 사활을 걸고 있다. 미국은 연방·주 정부 차원 세제·인센티브 지원을 내걸고 있고, 이에 맞선 중국은 강력한 국가 주도 보조금, AI 칩 내수화 추진을 양대 축으로 경쟁한다. 유럽연합(EU), 싱가포르는 에너지·물소비 효율성 지침 등 ‘그린(green) 요건’을 충족하는 시설에 우대 정책을, 인도는 원스톱 인허가 등을 제공하고 있다. 특히 중국 정부는 AI 데이터센터를 ‘전략 인프라’로 지정해 국가 차원의 자금·전력·세제 지원을 아끼지 않고 있다. 동부 지역 데이터를 전력자원이 풍부한 서부로 옮겨와 처리하는 디지털 인프라 전략인 ‘동수서산(東數西算) 프로젝트’를 통해 전국 8개 지역에 데이터센터를 집중 배치하고자 매년 70조원 이상을 쏟아붓고 있다. 로이터통신에 따르면 중국은 최근 국가 자금이 투입된 신규 데이터센터에 자국산 칩만 사용하도록 의무화하는 지침까지 내렸다. 그러나 데이터센터의 급속한 확장은 방대한 전력망 사용, 냉각용수·토지 접근성, 데이터 주권, 사이버 안보 등 제약에도 직면하고 있다. 국제원자력기구(IEA) 올해 보고서에 따르면 전 세계 데이터센터 전력 소비량은 지난해 약 460TWh에서 2030년 약 945TWh로 2배 넘게 증가할 전망이다. 데이터센터의 냉각용수 소요량 역시 지난 2023년 약 5억 6000㎥에서 2030년 12억㎥로 114% 증가할 것으로 예상된다. 실제로 미 금융정보 업체 인베스터 옵서버에 따르면 지난 2020년에서 올해까지 약 5년간 미국 전체 전기요금은 평균 34% 포인트 상승한 것으로 나타났다. 데이터센터가 몰려있는 버지니아·텍사스·캘리포니아주의 경우 31~64% 포인트까지 인상됐다. 연료 가격 변동과 기후재해 대응, 노후 송전설비 보수, 탄소세 등이 함께 작용한 결과이긴 하나 데이터센터 건설 역시 전기요금 인상의 한 요인이라는 지적이다. 애리조나주와 캘리포니아 베이 에어리어 지역은 가뭄 지역임에도 불구하고 대규모 시설이 잇따라 들어서며 주민과의 물 분쟁이, 텍사스는 송전망 안정성, 인디애나는 환경영향평가 등이 지역사회 갈등 요인으로 떠오른 상황이다. 또 각국이 국가 안보·전력·군사·의료·항공 등 중요 인프라를 클라우드 기반으로 전환하면서 데이터센터에 대한 공격·해킹 등이 국가 마비와 직결될 위험성도 한층 커졌다. 데이터 주권에 대한 국가 간 갈등도 가시화되는 추세다. EU와 인도·사우디·중국 등은 모두 국내 데이터센터 건설에 ‘해당 국가 내 저장(Localization)’ 조건을 제시하고 있다. 이는 외국 기업이 데이터센터를 건설한 뒤 자국민 정보를 해외로 전송하거나, 본국 정부가 법적으로 접근할 가능성이 있기 때문이다. 데이터센터가 각국의 미래 경쟁력을 좌우할 전략 인프라로 떠오른 반면 전력·상수원 고갈과 확장 비용, 주민 반발, 환경 영향 등이 중첩되며 이를 다룰 각국 정부·지자체의 조정 능력 역시 절실해질 전망이다.

“서버 접근권 말소 안 해 생긴 일”개인정보 문 열어 놓은 꼴… 대통령실 “징벌적 손배 필요” 쿠팡에서 인증 관련 담당자로 일하던 중국인 개발자가 고객 3370만명의 개인정보를 유출한 사태와 관련해 쿠팡 측의 안일한 대응에 대한 비판이 커지고 있다. 정부는 외부 해킹이 아닌 쿠팡 측의 방치에 따라 이번 사건이 벌어졌다고 보고 관련 책임을 엄중히 묻겠다는 입장이다. 원활한 피해자 보상을 위해 징벌적 손해배상제 개선 카드도 꺼내 들었다. 경찰도 범행에 사용된 인터넷주소(IP)를 확보하는 등 수사에 속도를 내고 있다. 1일 정부 고위 관계자는 “쿠팡이 서버 관리를 굉장히 부실하게 한 것이라 책임을 피하기 어려울 것”이라고 말했다. 이 관계자는 “인증 관리 업무를 담당하던 중국인 개발자가 퇴사한 후에도 계속 서버 접근 권한을 말소하지 않아서 생긴 일”이라며 “본질적으로 해킹을 당한 롯데카드와는 아예 다른 사건”이라고 진단했다. 그는 또 “(인증키를) 말소시키지 않으니 시스템은 정상적 접근이라고 본 것”이라며 “혹시 다른 해킹이 있을지 한국인터넷진흥원(KISA)이 들여다보고 있는데 현재까진 나온 게 없다”고 전했다. 그러면서 “피해자 숫자와 범위 등이 더 늘어날 가능성은 충분해 보인다”고도 했다. 국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원실 등에 따르면 고객 정보를 빼돌린 직원은 퇴사 이후인 지난 6월 24일부터 개인정보에 접근한 것으로 추정된다. 이 직원은 개인정보 탈취 과정에서 시스템에 로그인 없이 접근할 수 있는 ‘인증 토큰’을 이용한 것으로 보인다. 이와 관련해 강훈식 대통령실 비서실장은 “징벌적 손해배상 제도가 사실상 작동하지 않고 있는 현실은 대규모 유출 사고를 막는 데 한계가 있다”며 “기업의 책임이 명백한 경우 제도가 실효성 있게 작동할 수 있도록 개선 방안을 검토하라”고 밝혔다. 아울러 강 실장은 과학기술정보통신부 등에 “근본적인 제도 보완, 현장 점검 체계 재정비, 기업 보안 역량 강화 지원책 등을 신속히 보고해 달라”고도 지시했다. 국회는 쿠팡 및 유관 기관 관계자들을 출석시켜 긴급 현안 질의를 진행한다. 2일에는 국회 과학기술정보방송통신위원회에서, 3일에는 정무위원회에서 각각 현안 질의를 한다. 경찰도 관련 수사를 진행 중이다. 서울경찰청 관계자는 이날 “쿠팡 측으로부터 서버 로그 기록을 제출받아서 분석 중”이라며 “정보 유출 등으로 협박하는 내용이 담긴 이메일 계정 2개를 추적하고 있다”고 밝혔다. 경찰은 피의자의 국적과 함께 정보 유출 당사자가 협박성 이메일을 보낸 사람과 동일인인지 등을 파악하고 있다. 경찰 관계자는 “피의자를 특정하기 위한 수사를 진행 중”이라며 “IP 추적을 위한 해외 공조도 벌이고 있다”고 설명했다. 쿠팡은 지난달 18일 개인정보보호위원회 등에 고객 4500여명의 개인정보가 유출됐다며 신고했고, 이후 같은 달 25일 정보통신망 침입 혐의로 고소장을 제출했다. 쿠팡 측은 협박 메일이 발송된 지 이틀이 지나서야 대응에 나섰다. 경찰은 지난달 28일 쿠팡 측 관계자를 불러 조사했다. 쿠팡이 회사 외형을 키우는 데 몰두한 나머지 정보보호에는 무감각했다는 비판이 거세지고 있다. 2023년부터 매년 10조원가량 매출이 뛰며 급성장해 오는 동안 정보보호 투자 비중은 반대로 감소해서다. 2010년 출범한 쿠팡이 로켓배송에 나선 것은 2014년이었다. 2012년 이후 규제에 묶인 대형마트의 빈자리를 채우기 시작하면서 급격히 몸집을 불렸다. 쿠팡은 2023년 매출 31조 8298억원을 기록하며 이마트(연결 기준 매출 29조 4722억원)를 처음 넘어섰다. 지난해 매출 41조 2901억원을 올렸고 올해에는 50조원 달성도 가능하다는 예측이 나왔다. 반면 최근 4년간 쿠팡의 정보기술(IT) 투자 대비 정보보호 투자 비중은 꾸준히 하락했다. KISA 공시에 따르면 쿠팡은 전체 IT 부문에 1조 9171억원을 투자했으며 이 가운데 정보보호 부문에 투입한 금액은 890억원으로 전체의 4.6%에 그쳤다. 전체 정보보호 투자 공시 기업 773곳의 평균(6.28%)보다 낮은 수준이다. 쿠팡의 지난해 매출 대비 정보보호 부문 투자액은 0.2%로 같은 기간 카카오·SK텔레콤(0.7%), 네이버·KT(0.4%)보다 저조했다. 숱한 논란에도 쿠팡의 사업이 순항한 건 정치권 및 정부 출신 인사를 대거 영입해 온 점과 무관하지 않다. 올해 쿠팡 또는 그 계열사로 이직하기 위해 취업 심사를 받은 4급 보좌관은 총 9명이었다. 정부 출신 중 4급 이상 등 취업 심사 대상 퇴직자 9명이 올해 쿠팡이나 그 계열사에 취직했다.

지난달 29일 발생한 쿠팡의 대규모 개인정보 유출 사태로 우려가 커지는 가운데, 쿠팡 내 IT 인력 상당수가 중국인이라는 주장이 나왔다. 지난달 30일 직장인 익명 커뮤니티인 ‘블라인드’에 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저는 90% 이상이 중국 국적자”라며 “조직(쿠팡)이 ‘중국인 카르텔’에 의해 장악되고 있다”고 주장하는 글이 올라왔다. 자신을 쿠팡 개발자라고 주장한 글쓴이는 “매 분기 퇴사 인사는 한국인들이고, 매 분기 신규 입사자들을 소개하면 80%가 중국, 나머지가 인도와 한국인들”이라며 “(중국인이) 차근차근 비율을 높이면서 카르텔을 형성하고 있으며 잠실, 용산 등 최고급 주거시설과 자녀 국제학교 학비 등 한국인이 누리지 못하는 복지로 혜택을 보고 있다”고 밝혔다. 이어 “개인적으로 이번 사태는 무분별하게 중국인들을 (IT 인력으로) 데려다 쓴 결과라 생각한다”고 덧붙였다. 해당 글은 삭제됐으나 이미 온라인 커뮤니티를 중심으로 캡처 사진이 돌면서 논란이 확산하고 있다. 이와 관련해 쿠팡은 1일 “수사 영역이고 수사에 적극 협조 중”이라면서 “(블라인드에 올라온 글은) 사실과 다르다”고 밝혔다. 쿠팡, 퇴사한 중국인 직원의 데이터 접근 열쇠 갱신 안 했다1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 현재 쿠팡은 전 중국인 직원을 정보 유출자로 추정하고 있다. 문제는 쿠팡이 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 데이터 접근 열쇠인 액세스 토큰과 서명키를 곧바로 삭제하거나 갱신하지 않았다는 사실이다. 액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 의미한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 쿠팡 측이 제공한 자료에 따르면 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 직원 퇴사 이후에도 폐기하거나 갱신하지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다. 쿠팡 측은 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다. 쿠팡, 5개월 간 유출 시도 몰랐다이번 사고로 유출된 쿠팡 고객 계정은 약 3370만 개에 달한다. 쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 밝혔다. 사실상 고객 정보 탈취가 5개월 전부터 시작됐지만 쿠팡이 이를 뒤늦게야 인지한 셈이다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러나 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 더불어 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘는 규모다. 현재 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.

지난달 29일 발생한 쿠팡의 대규모 개인정보 유출 사태로 우려가 커지는 가운데, 쿠팡 내 IT 인력 상당수가 중국인이라는 주장이 나왔다. 지난달 30일 직장인 익명 커뮤니티인 ‘블라인드’에 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저는 90% 이상이 중국 국적자”라며 “조직(쿠팡)이 ‘중국인 카르텔’에 의해 장악되고 있다”고 주장하는 글이 올라왔다. 자신을 쿠팡 개발자라고 주장한 글쓴이는 “매 분기 퇴사 인사는 한국인들이고, 매 분기 신규 입사자들을 소개하면 80%가 중국, 나머지가 인도와 한국인들”이라며 “(중국인이) 차근차근 비율을 높이면서 카르텔을 형성하고 있으며 잠실, 용산 등 최고급 주거시설과 자녀 국제학교 학비 등 한국인이 누리지 못하는 복지로 혜택을 보고 있다”고 밝혔다. 이어 “개인적으로 이번 사태는 무분별하게 중국인들을 (IT 인력으로) 데려다 쓴 결과라 생각한다”고 덧붙였다. 해당 글은 삭제됐으나 이미 온라인 커뮤니티를 중심으로 캡처 사진이 돌면서 논란이 확산하고 있다. 이와 관련해 쿠팡은 1일 “수사 영역이고 수사에 적극 협조 중”이라면서 “(블라인드에 올라온 글 내용은) 사실이 아니다”라고 입장을 밝혔다. 쿠팡, 퇴사한 중국인 직원의 데이터 접근 열쇠 갱신 안 했다1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 현재 쿠팡은 전 중국인 직원을 정보 유출자로 추정하고 있다. 문제는 쿠팡이 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 데이터 접근 열쇠인 액세스 토큰과 서명키를 곧바로 삭제하거나 갱신하지 않았다는 사실이다. 액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 의미한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 쿠팡 측이 제공한 자료에 따르면 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 직원 퇴사 이후에도 폐기하거나 갱신하지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다. 쿠팡 측은 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다. 쿠팡, 5개월 간 유출 시도 몰랐다이번 사고로 유출된 쿠팡 고객 계정은 약 3370만 개에 달한다. 쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 밝혔다. 사실상 고객 정보 탈취가 5개월 전부터 시작됐지만 쿠팡이 이를 뒤늦게야 인지한 셈이다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러나 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 더불어 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘는 규모다. 현재 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.

지난달 29일 발생한 쿠팡의 대규모 개인정보 유출 사태로 우려가 커지는 가운데, 쿠팡 내 IT 인력 상당수가 중국인이라는 주장이 나왔다. 지난달 30일 직장인 익명 커뮤니티인 ‘블라인드’에 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저는 90% 이상이 중국 국적자”라며 “조직(쿠팡)이 ‘중국인 카르텔’에 의해 장악되고 있다”고 주장하는 글이 올라왔다. 자신을 쿠팡 개발자라고 주장한 글쓴이는 “매 분기 퇴사 인사는 한국인들이고, 매 분기 신규 입사자들을 소개하면 80%가 중국, 나머지가 인도와 한국인들”이라며 “(중국인이) 차근차근 비율을 높이면서 카르텔을 형성하고 있으며 잠실, 용산 등 최고급 주거시설과 자녀 국제학교 학비 등 한국인이 누리지 못하는 복지로 혜택을 보고 있다”고 밝혔다. 이어 “개인적으로 이번 사태는 무분별하게 중국인들을 (IT 인력으로) 데려다 쓴 결과라 생각한다”고 덧붙였다. 해당 글은 삭제됐으나 이미 온라인 커뮤니티를 중심으로 캡처 사진이 돌면서 논란이 확산하고 있다. 이와 관련해 쿠팡은 1일 “수사 영역이고 수사에 적극 협조 중”이라면서 “(블라인드에 올라온 글 내용은) 사실이 아니다”라고 입장을 밝혔다. 쿠팡, 퇴사한 중국인 직원의 데이터 접근 열쇠 갱신 안 했다1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 현재 쿠팡은 전 중국인 직원을 정보 유출자로 추정하고 있다. 문제는 쿠팡이 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 데이터 접근 열쇠인 액세스 토큰과 서명키를 곧바로 삭제하거나 갱신하지 않았다는 사실이다. 액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 의미한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 쿠팡 측이 제공한 자료에 따르면 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 직원 퇴사 이후에도 폐기하거나 갱신하지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다. 쿠팡 측은 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다. 쿠팡, 5개월 간 유출 시도 몰랐다이번 사고로 유출된 쿠팡 고객 계정은 약 3370만 개에 달한다. 쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 밝혔다. 사실상 고객 정보 탈취가 5개월 전부터 시작됐지만 쿠팡이 이를 뒤늦게야 인지한 셈이다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러나 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 더불어 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘는 규모다. 현재 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.

쿠팡의 대규모 개인정보 유출 사태가 확인되면서 소니나 야후 해킹에 버금가는 수준의 글로벌급 사고로 번질 수 있다는 우려가 커지고 있다. 단순한 이메일·비밀번호 유출을 넘어 집주소·배송기록·공동현관 비밀번호 등 생활형 정보까지 포함된 것으로 알려져 2차 피해 경고도 잇따르고 있다. 경찰, 피의자 IP 확보…협박 메일 2개 계정 추적 중 서울경찰청 사이버수사대는 1일 “쿠팡 측으로부터 서버 로그기록을 제출받아 분석 중이며 피의자가 사용한 IP를 확보해 추적 중”이라고 밝혔다. 경찰은 ‘회원들의 개인정보를 가지고 있다’며 협박성 이메일을 보낸 계정 2개에 대해서도 송신 경로를 추적하고 있다. 이메일은 지난달 16일과 25일 두 차례 발송됐고 동일인 소행인지 실제 유출자와 동일인인지 여부가 수사 중이다. 앞서 쿠팡에서 근무했던 중국 국적의 전직 직원이 고객 정보를 빼돌린 뒤 협박성 이메일을 보낸 정황이 포착됐다. 피의자가 이미 퇴사 후 출국한 상태로 확인되자 경찰은 국제 공조 수사에 나섰다. 30억 계정 털린 야후…역대 최대 유출 사건 2013~2014년 발생한 야후 해킹 사건은 역사상 최대 규모의 개인정보 유출로 기록됐다. 당시 약 30억 개 계정의 이름, 이메일 주소, 전화번호, 생년월일, 암호화된 비밀번호, 보안 질문·답변이 노출됐다. 이 사건은 2017년 야후의 매각 과정에도 직접적인 영향을 미쳐 인수 주체였던 버라이즌이 인수가를 3억 5000만 달러(약 4000억 원·모든 원화 환산은 사건 발생 당시 환율 기준) 낮췄다. 야후는 결국 피해자들과의 집단소송에서 총 1억 1750만 달러(약 1338억 원)의 합의금을 지급했다. 다만 전체 30억 계정이 아닌 실제 보상 대상은 약 1억 9400만 명 규모로 추정됐고 신청서를 제출한 이용자만 최대 358달러(약 40만 원) 한도 내에서 보상받았다. 소니 PSN 해킹…“기업 신뢰 무너진 상징적 사건” 2011년에는 일본 소니의 플레이스테이션 네트워크(PSN)가 해킹당해 7700만 명의 회원정보와 신용카드 정보가 유출됐다. 소니는 24일간 서비스를 중단하고 PSN 이용자 전원에게 무료 게임 2편과 30일 무료 이용권을 제공하는 등 사과·보상 조치를 취했다. 영국 당국은 정보보호법 위반으로 과징금을 부과했고 일본에서는 “기업 신뢰 붕괴”라는 여론이 확산되며 ‘소니 쇼크’라는 표현이 등장했다. 에퀴팩스·메리어트 등 글로벌 기업들도 잇단 유출 2017년 미국 신용평가사 에퀴팩스는 시스템 취약점을 방치한 채 수개월간 보안 경고를 무시하다가 1억 4700만 명의 신용정보가 유출됐다. 이 사건으로 경영진이 사퇴하고 미 의회 청문회가 열리는 등 파문이 컸다. 회사는 집단소송 합의로 총 7억 달러(약 8300억 원) 규모의 보상·과징금 패키지를 마련했으나 피해자 대부분은 애초 약속된 125달러 대신 10~20달러(약 1만~2만 원대)의 실보상만 받았다. 이듬해에는 세계 최대 호텔 체인 메리어트 인터내셔널의 예약망이 해킹돼 최대 5억 명의 투숙객 정보가 새나갔다. 영국 정보보호당국은 1840만 파운드(약 276억 원)의 과징금을 부과했고 미국·캐나다 등에서도 집단소송이 제기됐으며 피해 신고 고객을 대상으로 최대 100달러(약 12만 원) 수준의 보상이 제공됐다. 쿠팡, 외부 해킹 아닌 내부자 소행 정황쿠팡의 피해 규모(3370만 건)는 야후(30억)나 메리어트(5억)에 비하면 작지만 노출된 정보의 현실적 민감도는 훨씬 높다는 평가가 나온다. 특히 이름·주소·휴대전화번호뿐 아니라 공동현관 비밀번호, 배송 위치, 가족 구성 등 생활 공간과 연결된 정보가 포함돼 피해가 장기화될 가능성이 제기된다. 쿠팡은 “시스템 외부 침입 흔적은 없다”며 내부 비인가 조회로 인한 유출임을 시사했다. 보안 업계는 “이건 단순한 기술적 해킹이 아니라 내부 통제 실패”라며 기업의 데이터 접근 권한 관리가 허술했다는 점을 문제로 지적하고 있다. 집단소송, 실제 보상은 얼마나 받나 이번 사태를 계기로 해외 기업의 집단소송 보상 구조에도 관심이 쏠리고 있다. 미국 등에서는 대표 원고와 변호사단이 전체 피해자를 대신해 소송을 제기하며 개별 피해자는 변호사비를 직접 내지 않지만 전체 합의금의 20~40%가 수임료와 행정비용으로 공제된다. 결과적으로 1인당 보상액은 매우 낮아지는 구조다. 예를 들어 에퀴팩스 사건의 경우 총 7억 달러 중 약 25%가 변호사비로 빠졌고 피해자 대부분은 약속된 125달러 대신 10~20달러 수준만 받았다. 이처럼 집단소송은 금전적 보상보다 기업의 책임을 공식화하는 징벌적 절차라는 평가가 많다. 정부 조사 및 과징금 전망정부는 개인정보보호위원회와 과기정통부, 민간 보안 전문가들이 참여하는 민관합동조사단을 구성해 사고 원인을 조사 중이다. 개인정보보호법 개정으로 위반 시 전년도 매출의 최대 3%까지 과징금을 부과할 수 있어 쿠팡이 수천억 원대 제재를 받을 가능성도 제기된다. 앞서 2024년 SK텔레콤은 개인정보 유출로 역대 최대인 1347억 원의 과징금을 부과받았다. “사과보다 복구 중심 대응이 신뢰 회복의 출발점”쿠팡 사태는 한 기업의 보안 실패를 넘어 국민 대다수의 생활 정보가 얼마나 취약한지 드러낸 사건으로 평가된다. 데이터가 곧 신뢰가 되는 시대, 이번 사태가 ‘한국판 개인정보 위기’로 기록되지 않으려면 신속하고 투명한 대응이 필요하다.

쿠팡의 대규모 개인정보 유출 사태가 확인되면서 소니나 야후 해킹에 버금가는 수준의 글로벌급 사고로 번질 수 있다는 우려가 커지고 있다. 단순한 이메일·비밀번호 유출을 넘어 집주소·배송기록·공동현관 비밀번호 등 생활형 정보까지 포함된 것으로 알려져 2차 피해 경고도 잇따르고 있다. 경찰, 피의자 IP 확보…협박 메일 2개 계정 추적 중 서울경찰청 사이버수사대는 1일 “쿠팡 측으로부터 서버 로그기록을 제출받아 분석 중이며 피의자가 사용한 IP를 확보해 추적 중”이라고 밝혔다. 경찰은 ‘회원들의 개인정보를 가지고 있다’며 협박성 이메일을 보낸 계정 2개에 대해서도 송신 경로를 추적하고 있다. 이메일은 지난달 16일과 25일 두 차례 발송됐고 동일인 소행인지 실제 유출자와 동일인인지 여부가 수사 중이다. 앞서 쿠팡에서 근무했던 중국 국적의 전직 직원이 고객 정보를 빼돌린 뒤 협박성 이메일을 보낸 정황이 포착됐다. 피의자가 이미 퇴사 후 출국한 상태로 확인되자 경찰은 국제 공조 수사에 나섰다. 30억 계정 털린 야후…역대 최대 유출 사건 2013~2014년 발생한 야후 해킹 사건은 역사상 최대 규모의 개인정보 유출로 기록됐다. 당시 약 30억 개 계정의 이름, 이메일 주소, 전화번호, 생년월일, 암호화된 비밀번호, 보안 질문·답변이 노출됐다. 이 사건은 2017년 야후의 매각 과정에도 직접적인 영향을 미쳐 인수 주체였던 버라이즌이 인수가를 3억 5000만 달러(약 4000억 원·모든 원화 환산은 사건 발생 당시 환율 기준) 낮췄다. 야후는 결국 피해자들과의 집단소송에서 총 1억 1750만 달러(약 1338억 원)의 합의금을 지급했다. 다만 전체 30억 계정이 아닌 실제 보상 대상은 약 1억 9400만 명 규모로 추정됐고 신청서를 제출한 이용자만 최대 358달러(약 40만 원) 한도 내에서 보상받았다. 소니 PSN 해킹…“기업 신뢰 무너진 상징적 사건” 2011년에는 일본 소니의 플레이스테이션 네트워크(PSN)가 해킹당해 7700만 명의 회원정보와 신용카드 정보가 유출됐다. 소니는 24일간 서비스를 중단하고 PSN 이용자 전원에게 무료 게임 2편과 30일 무료 이용권을 제공하는 등 사과·보상 조치를 취했다. 영국 당국은 정보보호법 위반으로 과징금을 부과했고 일본에서는 “기업 신뢰 붕괴”라는 여론이 확산되며 ‘소니 쇼크’라는 표현이 등장했다. 에퀴팩스·메리어트 등 글로벌 기업들도 잇단 유출 2017년 미국 신용평가사 에퀴팩스는 시스템 취약점을 방치한 채 수개월간 보안 경고를 무시하다가 1억 4700만 명의 신용정보가 유출됐다. 이 사건으로 경영진이 사퇴하고 미 의회 청문회가 열리는 등 파문이 컸다. 회사는 집단소송 합의로 총 7억 달러(약 8300억 원) 규모의 보상·과징금 패키지를 마련했으나 피해자 대부분은 애초 약속된 125달러 대신 10~20달러(약 1만~2만 원대)의 실보상만 받았다. 이듬해에는 세계 최대 호텔 체인 메리어트 인터내셔널의 예약망이 해킹돼 최대 5억 명의 투숙객 정보가 새나갔다. 영국 정보보호당국은 1840만 파운드(약 276억 원)의 과징금을 부과했고 미국·캐나다 등에서도 집단소송이 제기됐으며 피해 신고 고객을 대상으로 최대 100달러(약 12만 원) 수준의 보상이 제공됐다. 쿠팡, 외부 해킹 아닌 내부자 소행 정황쿠팡의 피해 규모(3370만 건)는 야후(30억)나 메리어트(5억)에 비하면 작지만 노출된 정보의 현실적 민감도는 훨씬 높다는 평가가 나온다. 특히 이름·주소·휴대전화번호뿐 아니라 공동현관 비밀번호, 배송 위치, 가족 구성 등 생활 공간과 연결된 정보가 포함돼 피해가 장기화될 가능성이 제기된다. 쿠팡은 “시스템 외부 침입 흔적은 없다”며 내부 비인가 조회로 인한 유출임을 시사했다. 보안 업계는 “이건 단순한 기술적 해킹이 아니라 내부 통제 실패”라며 기업의 데이터 접근 권한 관리가 허술했다는 점을 문제로 지적하고 있다. 집단소송, 실제 보상은 얼마나 받나 이번 사태를 계기로 해외 기업의 집단소송 보상 구조에도 관심이 쏠리고 있다. 미국 등에서는 대표 원고와 변호사단이 전체 피해자를 대신해 소송을 제기하며 개별 피해자는 변호사비를 직접 내지 않지만 전체 합의금의 20~40%가 수임료와 행정비용으로 공제된다. 결과적으로 1인당 보상액은 매우 낮아지는 구조다. 예를 들어 에퀴팩스 사건의 경우 총 7억 달러 중 약 25%가 변호사비로 빠졌고 피해자 대부분은 약속된 125달러 대신 10~20달러 수준만 받았다. 이처럼 집단소송은 금전적 보상보다 기업의 책임을 공식화하는 징벌적 절차라는 평가가 많다. 정부 조사 및 과징금 전망정부는 개인정보보호위원회와 과기정통부, 민간 보안 전문가들이 참여하는 민관합동조사단을 구성해 사고 원인을 조사 중이다. 개인정보보호법 개정으로 위반 시 전년도 매출의 최대 3%까지 과징금을 부과할 수 있어 쿠팡이 수천억 원대 제재를 받을 가능성도 제기된다. 앞서 2024년 SK텔레콤은 개인정보 유출로 역대 최대인 1347억 원의 과징금을 부과받았다. “사과보다 복구 중심 대응이 신뢰 회복의 출발점”쿠팡 사태는 한 기업의 보안 실패를 넘어 국민 대다수의 생활 정보가 얼마나 취약한지 드러낸 사건으로 평가된다. 데이터가 곧 신뢰가 되는 시대, 이번 사태가 ‘한국판 개인정보 위기’로 기록되지 않으려면 신속하고 투명한 대응이 필요하다.

국내 최대 온라인 유통업체인 쿠팡에서 벌어진 3400만건 고객 정보 유출 사태의 파장이 일파만파다. 올 들어 금융사와 통신사 등에서 유사 사고가 잇따라 터져 가뜩이나 국민 불안이 꼭대기까지 차오른 터에 전 국민을 패닉으로 몰아넣은 최악의 사태가 아닐 수 없다. 국민 4명 중 3명이 해당하는 방대한 피해 규모가 무엇보다 충격적이다. 더욱 기막힌 것은 해외 서버를 통한 비정상 접속이 지난 6월 말부터 계속됐는데도 회사가 이를 5개월간 전혀 알아채지도 못했다는 사실이다. 로켓배송 등 속도와 혁신을 앞세워 초고속 성장한 거대 기업이 정작 디지털 사회의 기본적 신뢰 기반인 고객 정보 보호에는 한없이 굼뜨고 무능했다. 배신감과 분노를 넘어 허탈감까지 든다. 쿠팡은 지난 29일 “고객 계정 약 3370만개가 무단으로 노출된 것으로 확인됐다”면서 “해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정한다”고 밝혔다. 노출된 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문 정보이며 결제 정보와 신용카드 번호는 포함되지 않았다는 것이 쿠팡 측의 주장이다. 그러나 쿠팡은 지난 20일 개인정보보호위원회에 처음 신고할 당시 피해 계정을 4500여개로 보고했다가 9일 만에 사실상 전 회원 규모로 피해 범위를 대폭 수정했다. 앞으로 조사 결과에 따라 피해 규모가 더 늘어날 가능성도 배제할 수 없다. 정부는 민관 합동조사단을 꾸려 사고 원인 분석과 재발 방지 대책 마련에 나섰다. 유출 정보를 악용한 스미싱·보이스피싱 등 2차 피해에 대한 불안이 큰 만큼 이를 차단하기 위한 다각적 대응이 무엇보다 시급하다. 쿠팡은 이번 사태를 외부 해킹이 아닌 내부 직원의 소행으로 보고 경찰에 고소장을 제출했다. 만일 내부자 범죄가 맞다면 조직 관리 부실 책임은 더욱 무거울 수밖에 없다. 기업의 안이한 보안 의식 탓에 국민 전체가 잠재적 범죄 위험에 노출된 만큼 그에 상응하는 책임을 져야 한다. 쿠팡은 박대준 대표의 사과문을 통해 합동조사단과 긴밀히 협력하고 추가 피해 예방에 최선을 다하겠다고 했다. 정부가 “쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 고객 정보가 유출됐다”고 확인한 만큼 실질적인 피해 보상과 재발 방지 대책이 뒤따라야 한다. 정부 역시 이번 사태를 엄중하게 받아들여야 한다. 쿠팡은 국가가 인증한 ‘정보보호 및 개인정보보호 관리체계 인증’(ISMS-P)을 취득하고도 대규모 유출 사고를 냈다. 정부와 기업 모두 보안 의식을 획기적으로 개선하지 않는다면 유사 사고는 언제든 되풀이될 수밖에 없다.