SK텔레콤이 지난해 발생한 사이버 침해사고로 실추된 기업 이미지를 쇄신하고 고객 신뢰를 회복하기 위해 ‘현장 소통’이라는 정공법을 택했다 SK텔레콤은 18일 서울 을지로 페럼타워에서 설명회를 열고 전국의 고객과 디지털 취약 계층을 최대한 직접 찾아가는 밀착형 소통 전략을 발표했다. 이혜연 SK텔레콤 고객가치혁신실장은 “고객의 신뢰는 SK텔레콤이 존재하는 이유”라며 현장에서 얻은 답을 모든 상품과 서비스 전반에 반영하겠다고 강조했다. SK텔레콤은 지난해 말 고객가치혁신실 산하에 CX(고객 경험) 전담 조직을 신설했다. 사내 공모를 통해 자발적으로 모인 구성원들로 꾸려졌으며, 현장의 아이디어를 실질적인 정책으로 연결한다. 임직원의 현장 방문도 대폭 늘어난다. 서비스 기획자나 개발자 등 현장 접점이 적었던 인력들까지 직접 고객을 만나 불편 사항을 수집하고 있다. 올해 들어 180회 이상의 현장 방문을 통해 약 2만km의 이동 거리를 기록했다. 가장 핵심적인 행보는 노령 인구가 밀집한 전국 71개 군 지역을 대상으로 하는 ‘찾아가는 서비스’다. 지난해 개인정보 유출 사고 이후 추진 중인 고객 보호 조치로, 상담원이 AS 버스를 타고 각지를 방문해 휴대폰 점검, 보이스피싱 예방 교육 등을 제공한다. 이 실장은 “현장에선 타사 가입자라도 구별 없이 상담과 점검을 돕고 있으며, 이는 통신사로서의 사회적 책임이자 보편적인 서비스 차원의 활동”이라고 설명했다. 기술적인 보안 강화 방안으로는 흩어진 고객의 요구사항을 정제하고 가공하는 ‘AI 데이터 큐레이팅’ 체계를 구축한다. 이는 인공지능이 학습하기 좋게 양질의 데이터를 선별하는 과정으로, 개인정보를 안전하게 보호하는 동시에 고객 맞춤형 서비스를 제공하기 위한 핵심 기반이다. 이 실장은 “현장의 작은 목소리도 놓치지 않고 지속 가능한 변화로 연계하는 것이 올해의 목표”라고 밝혔다.

쿠팡의 역대급 개인정보 유출 사고를 조사한 민관합동조사단이 이용자 인증부터 내부 키 관리, 법적 의무 준수 등 보안 체계 전반에서 쿠팡에 총체적인 부실이 있었다고 밝혔다. 이에 내부 직원이 ‘마스터키’를 복제했고 거대 플랫폼 쿠팡의 보안 체계가 모래성처럼 무너졌다는 것이다. 최우혁 과학기술정보통신부 정보보호네트워크정책실장은 10일 정부서울청사에서 쿠팡 침해사고 조사 결과를 발표하며 “분명한 인증 체계 관리의 문제”라며 “지능화된 공격으로 보기는 어려울 것 같다”고 밝혔다. 조사 결과에 따르면 공격자는 쿠팡 재직 당시 소프트웨어 개발자였으며 이용자 인증 체계와 서명 키 관리 체계의 취약점을 인지하고 있었다. 공격자는 퇴사 이후 위변조한 전자 출입증을 이용해 쿠팡 서비스에 무단으로 접속했지만 쿠팡 시스템에는 해당 출입증이 정상 발급된 것인지를 확인하는 절차가 전혀 없었다. 쿠팡은 공격자의 퇴사와 동시에 그의 서명 키를 막는 절차도 진행하지 않았다. 쿠팡의 서명 키 관리 규정도 유명무실했다. 내부적으로 서명 키를 전용 시스템에만 보관하고 개인 PC 저장을 금지했지만, 공격자는 재직할 때 노트북에 서명 키를 버젓이 저장했다. 서명 키의 발급 내역을 기록·관리하는 이력 체계도, 내부자의 서명 키 탈취와 같은 위협에 대한 대응 체계도 부재했다. 보안의 기본 원칙인 개발과 운영 환경의 분리도 이뤄지지 않았고, 공격자는 실제 운영 중인 키 관리 시스템에 직접 접근할 수 있었다. 비정상적인 접속을 감지하는 정보 보호 관리 체계도 작동하지 않았다. 동일한 식별번호가 반복 사용되는 등 명백한 공격 징후가 있었지만 쿠팡은 이를 탐지·차단하지 못했다. 접속 기록(로그) 관리 기준에 일관성이 없어 사고 후에도 피해 규모를 산정하는 데 어려움을 겪었다. 사후 대응 과정에서도 법 위반 사항이 다수 적발됐다. 침해사고 인지 후 24시간 이내에 신고해야 하지만 쿠팡은 이틀이 지난 뒤 신고해 과태료 처분을 받게 됐다. 또 정부의 자료 보전 명령을 받은 상태였지만 약 5개월 분량의 웹 접속 기록과 일부 앱 접속 기록이 삭제됐다. 이에 정부는 수사를 의뢰했다.

전화번호·현관비번 등 빠져나가반복적으로 배송지 정보 등 조회 쿠팡 전 직원이 유출한 개인정보 건수가 3300만건이 넘는 것으로 공식 확인됐다. 전화번호와 주소 등 민감한 정보가 포함된 ‘배송지 목록’은 약 1억 5000만회 조회된 것으로 파악됐다. 과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해 사고에 대한 민관합동조사단 조사 결과를 발표했다. 과기정통부는 지난해 11월 29일부터 쿠팡의 웹 접속기록(로그) 25.6테라바이트(TB) 분량, 총 6642억건의 데이터를 분석했다. 조사 대상에는 범행에 사용된 것으로 추정되는 PC 저장장치 4대가 포함됐고, 현재 재직 중인 쿠팡 개발자의 노트북도 포렌식 조사를 받았다. 조사 결과 지난해 4월 14일부터 11월 8일까지 ‘내 정보 수정 페이지’에서 이용자 이름과 이메일 3367만여건이 유출된 것으로 확인됐다. 또 ‘배송지 목록 페이지’에서 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보가 1억 4805만여 차례 조회된 것으로 파악됐다. 이 정보에는 쿠팡 계정 소유자 본인 외에도 물품을 대신 구매해 배송한 가족, 친구의 이름과 전화번호, 배송지 주소 등 제3자 정보도 다수 포함돼 있었다. 피해 규모가 더 커질 가능성이 있다는 의미다. 조사단은 유출자를 ‘내부 퇴직자’라고 공개했다. 중국인 여부에 대해선 “경찰이 수사할 영역”이라며 말을 아꼈다. 유출범은 재직 당시 시스템 장애 등 백업을 위한 이용자 인증 시스템을 설계하고 개발하는 업무를 담당한 소프트웨어 개발자로 확인됐다. 개발자로 근무하며 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 이용자 계정에 접속해 정보를 무단 유출한 것이다. 유출범은 성명, 전화번호, 배송지 주소 외에 공동현관 비밀번호가 포함된 ‘배송지 목록 수정 페이지’를 5만 474회 조회했고, 이용자가 최근 주문한 상품 목록이 포함된 ‘주문 목록 페이지’도 10만 2682회 살펴봤다. 지난해 11월 16일과 25일 두 차례에 걸쳐 한국어가 아닌 영어로 협박 메일을 보낸 것으로 확인됐다. 심지어 ‘내 정보 페이지’, ‘배송지 목록 페이지’, ‘주문 목록 페이지’ 등에서 유출한 정보 일부를 영어 이메일 본문에 기재하기도 했다. 조사단은 유출된 개인정보가 제3자에게 흘러갔는지에 대해선 명확히 밝히지 않았다. 조사 과정에서 유출범이 타인 계정으로 무단 접속해 유출 정보를 해외 소재 클라우드 서버로 전송할 수 있는 기능을 확인했지만, 실제 전송이 이뤄졌는지에 대해선 기록이 남지 않아 확인할 수 없다고 설명했다. 또 개인정보 유출에 따른 2차 피해는 아직 확인되지 않았다고 밝혔다. 최우혁 과기부 정보보호네트워크정책실장은 “2차 피해에 대한 부분은 현재까지 저희가 확인한 바로는 다크웹 등에서 확인하지 못했다”고 했다. 정부는 입법 미비로 쿠팡에 과징금을 부과할 수 없다는 입장을 내놨다. 최 실장은 “현행 정보통신망법에서는 재발 방지 대책 이행에 대해 적절하지 않고 문제가 있다고 하면 과태료 처분을 하는 조치만 할 수 있다. 현재 국회에서 침해사고에 대해서 과징금을 물릴 수 있도록 입법이 진행 중인데, 입법되면 관련 제도가 만들어질 것”이라고 말했다. 이날 조사단의 발표와 별도로 개인정보보호위원회(개보위)는 개인정보보호법에 따른 개인정보 유출 규모 및 법 위반 여부 등을 조사하고 있다. 경찰도 별도 수사를 진행 중이다. 쿠팡의 모회사인 쿠팡Inc는 이날 입장문을 내고 “(정보를 유출한) 전 직원이 공용현관 출입 코드에 대해 5만건의 조회를 수행했다고 기재하면서도, 해당 조회가 실제로는 2609개 계정에 대한 접근에 한정된 것이라는 검증 결과를 누락했다”고 반발했다. 조회 수가 정보 유출 규모가 아니라는 항변이다. 이어 “쿠팡 개인정보 유출에 따른 2차 피해의 어떤 증거도 확인되지 않았다”고 주장했다. 미국 하원 법사위원회는 지난 5일(현지시간) 해럴드 로저스 쿠팡 한국법인 임시대표에게 “오는 23일 하원 청문회에 출석해 증언하고, 쿠팡과 한국 정부 간 소통 기록을 제출하라”는 서한을 보냈다. 정부가 발표한 조사 결과가 미 하원이 진행할 쿠팡 청문회에도 영향을 미칠 것으로 보인다.

청주시는 개인정보 보호 등을 전담할 ‘정보보호팀’이 23일 출범한다고 22일 밝혔다. 이는 지난해 청주랜드 누리집 개인정보 유출 사건과 국내 대형 통신사들의 잇따른 개인정보 유출 사고로 인해 정보보호의 중요성이 부각된 데 따른 조치다. 정보보호팀은 팀장을 포함해 총 3명이다. 전산직 2명, 통신직 1명이다. 이들은 앞으로 △정보보안 및 개인정보 보호 정책 수립 △사이버 침해사고 예방·대응 및 사고 처리 △정보보안 관리 실태 점검 △개인정보 취급 실태 관리 △개인정보보호 및 보안 교육 등 정보보호 업무를 총괄 수행하게 된다. 그동안은 전담 부서 없이 부서별로 자체적으로 정보를 보호해왔다. 조성용 정보보호팀장은 “청주랜드 유출 사건과 통신사 해킹 사고 등으로 시민들의 불안이 커지고 있다”며 “정보보호팀 출범을 계기로 보안 취약 요소를 사전에 점검하고, 침해사고 발생 시 신속하고 체계적으로 대응할 수 있는 기반을 마련하겠다”고 말했다.

패션 플랫폼 무신사가 새해를 맞아 회원들에게 5만원 상당의 쿠폰팩을 조건 없이 제공한다고 밝혀 화제를 모으고 있다. 5만원이라는 쿠폰 지급액과 지급 조건, 쿠폰의 색상 등이 쿠팡이 제시했다 뭇매를 맞고 있는 ‘5만원 보상안’을 겨냥한 것으로 해석되면서다. 1일 업계에 따르면 무신사는 공식 홈페이지와 애플리케이션(앱)을 통해 “기존 회원과 신규 회원 모두에게 즉시 할인되는 5만원 쿠폰팩과 5000원 상당의 무신사머니 페이백(환급)까지 모두 드린다”라고 공지했다. 5만원 쿠폰팩은 무신사 스토어에서 사용할 수 있는 2만원을 비롯해 아웃도어 의류와 신발 카테고리인 ‘무신사 슈즈 앤 플레이어’에서 사용할 수 있는 2만원, 화장품 카테고리인 ‘무신사 뷰티’에 적용되는 5000원과 중고 의류 카테고리인 ‘무신사 유즈드’에서 쓸 수 있는 5000원 등 4종으로 구성돼 있다. 이들 쿠폰은 이날부터 오는 14일까지 2주간 각 카테고리의 ‘쿠폰 적용 상품’을 결제할 때 사용할 수 있다. 카테고리별로 쿠폰을 적용할 수 있는 상품의 최저 가격이 설정돼 있다. 신규 회원은 ‘회원 가입 축하’ 20% 할인 쿠폰 외에 5만원 쿠폰팩을 추가로 받을 수 있다. 또한 무신사머니를 충전한 뒤 1만원 이상을 구매하고 이를 확정하면 5000원을 돌려준다. 이는 쿠팡이 개인정보 유출 사고에 대한 보상책으로 제시한 ‘5만원 쿠폰’과 대비된다. 쿠팡은 지난달 29일 “개인정보 유출 사고에 대한 책임을 통감하고 고객 신뢰를 복원하려 한다”면서 오는 15일부터 1인당 5만원 상당의 구매 이용권을 고객에게 지급하겠다고 밝혔다. 보상 대상은 지난달 말 개인정보 유출 통지를 받은 3370만개 계정의 고객이다. 그러나 구매 이용권은 쿠팡 전 상품(5000원), 배달 플랫폼 쿠팡이츠(5000원), 여행 플랫폼 쿠팡트래블(2만원), 럭셔리 뷰티·패션 플랫폼인 알럭스(2만원) 등 일종의 할인 쿠폰 4종으로 구성돼 ‘쪼개기’라는 논란이 불거졌다. 특히 5만원을 모두 쓰려면 고가의 명품을 구매하거나 최소 수십만원의 여행 서비스를 예약해야 한다. 정보유출 피해를 본 이용자들이 실질적으로 이용할 만한 쿠폰은 1만원 상당에 그쳐, 사실상 보상 쿠폰을 미끼로 자사의 플랫폼을 홍보하고 고가의 소비를 유도하는 게 아니냐는 비판이 나온다. 무신사가 제시한 쿠폰은 쿠폰팩 이미지에 활용한 색깔로도 쿠팡을 겨냥한 것이라는 추측이 나온다. 무신사는 쿠폰팩 4종을 각각 순서대로 빨간색과 귤색, 연두색, 청록색으로 디자인했는데, 이는 쿠팡 로고인 ‘COUPANG’ 가운데 ‘PANG’에 해당하는 알파벳의 색상과 유사하다. 한편 쿠팡 측은 이용자들에게 추가 보상을 제공할 방침이 없음을 시사했다. 해롤드 로저스 쿠팡 임시대표는 지난달 30일 국회에서 열린 ‘쿠팡 침해사고 및 개인정보 유출, 불공정 거래, 노동환경 실태 파악과 재발 방지 대책 마련을 위한 청문회’에서 더 나은 보상안을 제시할지 묻는 질의에 “보상안은 1조 7000억원에 달한다. 전례가 없는 보상안”이라고 선을 그었다.

범정부TF “모든 법적 방안 강구”김범석 탈세 검증·총수 지정 검토국회, 정보 유출 국정조사 추진도쿠팡 “접촉한 국정원 직원은 3명포렌식 ‘알아서 하라’고 했다” 주장 쿠팡 개인정보 유출 사태와 관련해 정부가 “법적으로 가능한 모든 방안을 강구해 조치하겠다”며 쿠팡을 전방위로 압박했다. 쿠팡도 ‘셀프 조사’ 후 결과를 발표한 데 대해 “국가정보원과의 협조에 따른 것”이라고 반박하며 물러서지 않았다. 쿠팡 침해사고 범정부 태스크포스(TF)는 31일 이틀 간의 국회 ‘쿠팡 청문회’를 마친 뒤 “쿠팡의 미온적이고 소극적인 해명 태도, 피해 축소 및 책임 회피적 대응이 국민적 우려와 불신을 더욱 증폭시키고 있다”며 “단 하나의 의혹도 남기지 않고 국민이 안심할 수 있도록 끝까지 철저히 대응하고, 투명하게 공개할 것이며, 어떠한 타협도 없다”고 밝혔다. 국세청은 김범석 쿠팡Inc 의장의 세금 탈루 이슈와 내부거래 적정성 여부를 철저히 검증하기로 했다. 공정거래위원회는 쿠팡의 시장지배적 지위 남용 행위를 조사하는 한편, 김 의장의 동일인(총수) 지정을 심도있게 검토하겠다고 밝혔다. 국회는 쿠팡의 침해 사건에 대한 국정조사를 추진하기로 했다. 앞서 배경훈 부총리 겸 과학기술정보통신부 장관은 청문회에서 “쿠팡의 개인정보 유출 이후 정부가 쿠팡에 자료 보전을 요구했으나 쿠팡은 5개월 치 분량의 홈페이지 접속 로그가 삭제되는 것을 방치했다는 것을 확인했다. 이는 법 위반 사항”이라고 지적했다. 김영훈 고용노동부 장관은 “2025년 6월 대선 전 5·6급 노동부·노동청 공무원 9명이 쿠팡으로 이직한 것으로 파악됐다”면서 “현직 공무원들에게 이들(쿠팡)과 접촉하면 패가망신할 줄 알라고 했다”며 쿠팡을 향해 날을 세웠다. 쿠팡의 반격도 만만치 않았다. 이재걸 쿠팡 법무 담당 부사장은 “국정원 직원 3명과 접촉했고, 국정원이 ‘직접 용의자를 만나 노트북을 수거할 수 없으니 쿠팡 직원이 중국에 가서 용의자를 만나 받아오라’고 강하게 요구했다”며 국정원과의 접촉 사실을 공개했다. 이어 중국의 한 하천에서 증거물을 회수한 과정에 대해 “노트북이 물에 빠졌다는 것은 용의자가 설명해서 알았고, 바로 국정원과 공유했다”면서 “중국에서 임의로 강에 들어가는 것이 합법인지 불법인지 몰라 망설이고 있었는데, 국정원이 강하게 ‘강에 들어가서 건지는 것을 시도해야 한다’고 했다”고 전했다. 해킹에 사용된 장비를 국정원이 포렌식을 하라고 지시했느냐는 질문에 이 부사장은 “기기가 회수됐을 때 (국정원이) ‘알아서 해도 된다’고 했다”며 국정원의 지시로 셀프 조사가 이뤄졌음을 거듭 피력했다.

‘쿠팡 사태 범정부 태스크포스(TF)’ 팀장인 배경훈 부총리 겸 과학기술정보통신부 장관이 31일 “쿠팡 측 과실로 홈페이지의 5개월 분량 접속 로그 데이터가 삭제됐음을 확인했다”고 밝혔다. 그러면서 “쿠팡은 피조사기관으로서 역할을 충실히 하라”고 경고했다. 배 부총리는 이날 국회에서 열린 쿠팡 침해사고 및 개인정보 유출 관련 청문회에서 “쿠팡은 3000건이 삭제됐다고 하는데 어딘가에 저장돼 있을지 모른다. 클라우드에 저장됐으면 찾기도 힘들다. 국가를 상대로 한 사이버 공격에 악용될 수도 있어 굉장히 심각하게 바라봐야 할 문제”라고 우려했다. 이어 “정부가 쿠팡에 자료 보전을 요구했으나 쿠팡은 홈페이지 접속 로그가 삭제되는 것을 방치했다. 이는 법 위반 사항”이라고 지적했다. 배 부총리는 또 “쿠팡이 3000건의 유출만 있었고 삭제됐다고 한 건 굉장히 위험한 발언”이라면서 “쿠팡은 용의자가 진술한 내용을 그대로 인용하고 있고, 3개 기관에 의뢰해 조사한 결과는 용의자 진술과 거의 일치한다. 굉장히 의심할 수밖에 없는 상황”이라고 말했다. 이어 “쿠팡에 160여 건 자료 요청을 했지만 50여 건만 제출받았다”면서 “지금부터라도 피조사기관으로서 역할을 충실히 할 것을 요청한다”고 날을 세웠다.

쿠팡 “셀프 조사 아냐, 포렌식도 허락”배경훈 “지시 권한 없다” 전면 부인개인정보 유출도 3300만건 재확인 공정위·국세청 등 대대적 조사 예고로저스, 불쾌감 표출·동문서답 빈축 ‘새벽 배송 사망자’ 배상은 “논의 중” 역대 최대 규모의 개인정보 유출 사건을 계기로 30일 국회에서 열린 쿠팡 침해사고 및 개인정보 유출 관련 연석 청문회에서 국가정보원장이 국회에 “로저스 대표를 위증죄로 고발해 줄 것”을 강력히 요청했다. 해롤드 로저스 쿠팡 임시대표가 자체 조사 결과에 대해 거듭 “정부 기관(국가정보원)과 협력한 것”이라고 주장한 데 대한 반박이다. 로저스 대표는 이날 ‘국정원과 소통했느냐’는 황정아 더불어민주당 의원의 질의에 “저희는 피의자와 연락하는 것을 원치 않았지만 여러 차례에 걸쳐서 그 기관(국정원)에서 피의자와 연락하기를 요청했다”며 “그 기관은 저희가 협력해야 한다고 말했고, 한국 법에 따라서 지시에 따라야 된다고 이해했다”고 말했다. 또 해킹에 사용된 노트북에 대해 “정보기관이 복사본을 가지고 있고, 원본은 경찰에 전달했다”며 “정보기관이 저희가 보유할 수 있는 별도 복사본를 만드는 것을 허락했다”고 말했다. 반면, 배경훈 부총리 겸 과학기술정보통신부 장관은 “쿠팡에 지시할 수 있는 것은 플랫폼 주무 부서인 과기정통부이지 국정원은 권한이 없다”며 “노트북 등 증거물을 국내로 반입하는 과정에서 유출이나 실수로 훼손·분실될 수 있어 국정원이 도왔던 것”이라고 말했다. 또 “범정부 TF 차원에서 쿠팡에 자체 조사를 지시한 적이 없다”고 강조했다. 배 부총리는 “3300만건 이상의 이름과 이메일 정보가 유출됐다는 것을 개인정보보호위원회와 경찰청, 민관합동조사단이 확인했다”며 “쿠팡 측이 합의되지 않은 결과를 사전에 발표한 것에 대해 심각한 우려를 표하고 싶다. 악의적인 의도가 있다고 생각한다”고 날을 세웠다. 이날 청문회에서 정부는 쿠팡에 대한 전방위적 조사와 강경 대응 등을 다짐하며 사실상 전면전을 선포했다. 주병기 공정거래위원회 위원장은 쿠팡의 시장점유율이 높아졌다며 “시장지배적 사업자 여부를 적극 검토하고 있다”고 밝혔다. 이억원 금융위원장은 당국이 쿠팡의 대출상품인 ‘쿠팡 판매자 성장 대출’의 금리 수준과 상환 방식 등이 적정한지 따져보고 있다고 전했다. 임광현 국세청장은 “(쿠팡) 세무조사를 진행 중”이라며 “철저하게 조사해 조세 정의를 확립하겠다”고 말했다. 김 의장에 대한 조사와 미국 국세청과의 공조 가능성도 내비쳤다. 송경희 개인정보보호위원장도 “(향후 과징금 등을 정할 때) 모든 요소를 엄격하게 고려해서 논의하겠다”고 답했다. 청문회에는 쿠팡 칠곡물류센터 소속 노동자 고 장덕준씨와 제주에서 ‘새벽 배송’을 하다 숨진 고 오승용씨의 유족들도 참석해 울분을 토했다. 장씨의 모친 박미숙씨는 “너무 괘씸하고 분하고 용서할 수 없다. 제발 김범석을 잡아달라”고 호소했다. 창업주인 김범석 쿠팡 Inc 이사회 의장은 결국 이번 청문회에도 참석하지 않았다. 로저스 대표는 유족들의 사과 요구에 일어서서 사과는 했으나 산업재해 인정과 배상 문제에 대해선 “업체가 논의 중”이라며 피했다. 김영훈 고용노동부 장관은 “산업재해에 해당함이 상당하다”고 지적했다. 한편, 지난 17일 첫 쿠팡 관련 국회 청문회에서 통역으로 인한 시간 지연과 오역 논란이 제기되면서 이번에는 국회가 동시통역을 준비했지만 로저스 대표는 “정상적이지 않다”며 자신이 대동한 통역사의 통역에 의지하겠다고 고집해 마찰을 빚었다. 이날 청문회에 국민의힘 등 야당은 참석하지 않았다.

쿠팡 “셀프 조사 아냐, 포렌식도 허락”배경훈 “지시 권한 없다” 전면 부인개인정보 유출도 3300만건 재확인 공정위·국세청 등 대대적 조사 예고로저스, 불쾌감 표출·동문서답 빈축 ‘새벽 배송 사망자’ 배상은 “논의 중” 역대 최대 규모의 개인정보 유출 사건을 계기로 30일 국회에서 열린 쿠팡 침해사고 및 개인정보 유출 관련 연석 청문회에서 국가정보원장이 국회에 “로저스 대표를 위증죄로 고발해 줄 것”을 강력히 요청했다. 해롤드 로저스 쿠팡 임시대표가 자체 조사 결과에 대해 거듭 “정부 기관(국가정보원)과 협력한 것”이라고 주장한 데 대한 반박이다. 로저스 대표는 이날 ‘국정원과 소통했느냐’는 황정아 더불어민주당 의원의 질의에 “저희는 피의자와 연락하는 것을 원치 않았지만 여러 차례에 걸쳐서 그 기관(국정원)에서 피의자와 연락하기를 요청했다”며 “그 기관은 저희가 협력해야 한다고 말했고, 한국 법에 따라서 지시에 따라야 된다고 이해했다”고 말했다. 또 해킹에 사용된 노트북에 대해 “정보기관이 복사본을 가지고 있고, 원본은 경찰에 전달했다”며 “정보기관이 저희가 보유할 수 있는 별도 복사본를 만드는 것을 허락했다”고 말했다. 반면, 배경훈 부총리 겸 과학기술정보통신부 장관은 “쿠팡에 지시할 수 있는 것은 플랫폼 주무 부서인 과기정통부이지 국정원은 권한이 없다”며 “노트북 등 증거물을 국내로 반입하는 과정에서 유출이나 실수로 훼손·분실될 수 있어 국정원이 도왔던 것”이라고 말했다. 또 “범정부 TF 차원에서 쿠팡에 자체 조사를 지시한 적이 없다”고 강조했다. 배 부총리는 “3300만건 이상의 이름과 이메일 정보가 유출됐다는 것을 개인정보보호위원회와 경찰청, 민관합동조사단이 확인했다”며 “쿠팡 측이 합의되지 않은 결과를 사전에 발표한 것에 대해 심각한 우려를 표하고 싶다. 악의적인 의도가 있다고 생각한다”고 날을 세웠다. 이날 청문회에서 정부는 쿠팡에 대한 전방위적 조사와 강경 대응 등을 다짐하며 사실상 전면전을 선포했다. 주병기 공정거래위원회 위원장은 쿠팡의 시장점유율이 높아졌다며 “시장지배적 사업자 여부를 적극 검토하고 있다”고 밝혔다. 이억원 금융위원장은 당국이 쿠팡의 대출상품인 ‘쿠팡 판매자 성장 대출’의 금리 수준과 상환 방식 등이 적정한지 따져보고 있다고 전했다. 임광현 국세청장은 “(쿠팡) 세무조사를 진행 중”이라며 “철저하게 조사해 조세 정의를 확립하겠다”고 말했다. 김 의장에 대한 조사와 미국 국세청과의 공조 가능성도 내비쳤다. 송경희 개인정보보호위원장도 “(향후 과징금 등을 정할 때) 모든 요소를 엄격하게 고려해서 논의하겠다”고 답했다. 청문회에는 쿠팡 칠곡물류센터 소속 노동자 고 장덕준씨와 제주에서 ‘새벽 배송’을 하다 숨진 고 오승용씨의 유족들도 참석해 울분을 토했다. 장씨의 모친 박미숙씨는 “너무 괘씸하고 분하고 용서할 수 없다. 제발 김범석을 잡아달라”고 호소했다. 창업주인 김범석 쿠팡 Inc 이사회 의장은 결국 이번 청문회에도 참석하지 않았다. 로저스 대표는 유족들의 사과 요구에 일어서서 사과는 했으나 산업재해 인정과 배상 문제에 대해선 “업체가 논의 중”이라며 피했다. 김영훈 고용노동부 장관은 “산업재해에 해당함이 상당하다”고 지적했다. 한편, 지난 17일 첫 쿠팡 관련 국회 청문회에서 통역으로 인한 시간 지연과 오역 논란이 제기되면서 이번에는 국회가 동시통역을 준비했지만 로저스 대표는 “정상적이지 않다”며 자신이 대동한 통역사의 통역에 의지하겠다고 고집해 마찰을 빚었다. 이날 청문회에 국민의힘 등 야당은 참석하지 않았다.

해롤드 로저스 쿠팡 임시대표는 30일 최근 쿠팡의 개인정보유출 조사 결과 발표를 놓고 ‘셀프 조사’ 논란이 인 데 대해, 정부 기관과 협력한 것이라고 부인했다. 로저스 대표는 이날 국회에서 열린 쿠팡 연석 청문회에서 ‘국가정보원과 소통했느냐’는 황정아 더불어민주당 의원의 질의에 “저희는 피의자와 연락하는 것을 원치 않았지만, 여러 차례에 걸쳐서 그 기관(국가정보원)에서 피의자와 연락하기를 요청했다”고 말했다. 로저스 대표는 “그 기관(국정원)은 저희가 협력해야 한다고 말을 했고, 한국 법에 따라서 사실 협조 요청은 구속력이 있고 지시에 따라야 한다고 이해했다”고 설명했다. 로저스 대표는 “지시 명령이었다”고 주장한 뒤 용의자를 만난 장소에 대해서는 “중국에서 만났다”고 답했다. 그는 ‘국정원 누구와 소통했느냐’는 질의에는 “지금 이름에 대한 정보는 없는데 해당하는 이름을 전달하겠다”고 답했다. 로저스 대표는 용의자를 접촉하라고 지시한 회사 내부자에 대해서는 “한국 정부가 우리에게 지시를 내렸다”며 “왜 이 정보를 한국민과 공유하지 않고, 감추고 있나. 회사 내에서 누구도 지시하지 않고 정부 기관이 팀에 직접 지시했고 따랐을 뿐이다”라고 말했다. 그러자 김영배 더불어민주당 의원은 “범죄 행위라서 본인의 역할을 감추기 위한 것”이라고 비판했다. 이와 관련해 이재걸 법무 담당 부사장은 “(국정원이) 내부에서도 일부에만 공유하고, 다른 정부 기관에도 절대로 알리지 말라고 했다”며 “정부 기관으로부터 계속 지시를 받아서 그 직원이 한 것”이라며 “범행이라고 생각지 않는다”고 반박했다. 로저스 대표는 해킹에 사용된 장비의 포렌식 결과에 대해서도 “정보기관이 복사본을 가지고 있고, 원본은 경찰에 전달했다”며 “그 정보기관이 저희가 보유할 수 있도록 별도의 카피를 또 만드는 것을 허락했다”고 말했다. 국정원 “유출자 접촉·포렌식이미지 등도 지시한 바 없어” 로저스 대표의 ‘한국 정부 지시’ 발언에 국정원은 “명백한 허위”라며 국회 과방위에 로저스 대표에 대한 위증 혐의 고발을 요청했다. 국정원은 이날 배포한 보도자료에서 “고발권을 가지고 있는 국회 쿠팡 청문회가 (해롤드 로저스) 쿠팡 대표를 ‘국회에서의 증언·감정 등에 관한 법률’ 제14조 제1항에 따른 위증죄로 고발해 주시라고 요청했다”고 밝혔다. 국정원은 이날 국회에서 열린 ‘쿠팡 침해사고 및 개인정보 유출, 불공정 거래, 노동환경 실태 파악과 재발 방지 대책 마련을 위한 청문회’에 출석한 로저스 대표의 발언들을 조목조목 반박했다. 먼저 ‘국정원의 지시·명령에 따라 (개인정보 유출 사고를) 조사했다’는 발언에 대해 “전혀 사실이 아니다”라며 “국정원은 자료 요청 외에 쿠팡사에 어떠한 지시·명령·허가를 한 사실이 없으며 그럴 위치에 있지도 않다”고 부인했다. 쿠팡이 개인정보 유출 행위자와 연락하도록 국정원이 지시했다는 로저스 대표의 주장에 대해서도 “국정원은 오히려 쿠팡사의 유출자 접촉 관련 의견 문의에 대해 ‘최종 판단은 쿠팡사가 하는 것이 맞다’고 여러 차례 강조했다”고 했다. ‘정부 기관의 지시에 따라 하드 드라이브에서 포렌식 이미지를 채취했다’는 주장에 대해서도 국정원이 쿠팡과 접촉(12월 17일)하기 이전인 지난 15일 이미 쿠팡이 이미지 사본을 복제한 상태였다고 국정원은 밝혔다. 쿠팡과 접촉하기 전까지 이미지가 복제됐다는 사실을 알지 못했다고 국정원은 덧붙였다. 정부 기관이 복사본을 보유하고 있고, 원본은 경찰에 전달됐으며, 쿠팡이 복사본을 보유할 수 있도록 정부기관이 별도의 복사본 제작을 허용했다는 로저스 대표의 주장도 사실이 아니라고 국정원은 밝혔다. 다만 국정원은 지시·명령은 전혀 사실이 아니라면서도 유출자 접촉이나 하드 드라이브 포렌식 이미지 확보 등에 대해 쿠팡에 어떤 견해나 조언을 제시했는지는 구체적으로 설명하지 않았다. 국정원은 “쿠팡사 대표의 허위발언이 국가기관의 신뢰를 저하시키는 중대한 사안임을 쿠팡사에 엄중 경고”한다고 덧붙였다.

3370만개 계정의 개인정보가 유출된 쿠팡을 상대로 한 국회 청문회에서 시작부터 고성이 오갔다. 쿠팡 측은 “국회의 통역 시스템을 사용하라”는 요구를 거절하다 의원들의 질타를 받았고, 피해자들에 대한 추가 보상 요구를 사실상 거절했다. 해롤드 로저스 쿠팡 임시대표는 30일 국회에서 열린 ‘쿠팡 침해사고 및 개인정보 유출, 불공정 거래, 노동환경 실태 파악과 재발 방지 대책 마련을 위한 청문회’에 자신의 통역사를 대동한 채 참석했다. 이에 진행을 맡은 최민희 국회 과학기술통신방송위원회 위원장이 이전 청문회에서 로저스 임시 대표 측이 대동한 통역사가 의원들의 질의를 윤색해 전달했다며 “국회의 동시통역시스템을 이용해야 한다. 동시통역기를 착용하라”고 요구했다. 이에 로저스 임시 대표는 “저는 제 통역사를 쓰겠다. 제 통역사의 대동을 허용받았다. 유엔에서도 통역했고 유능하다”고 주장했다. 이에 노종면 더불어민주당 의원은 “대단히 착각하고 있다”면서 “당신은 국회에서 하는 말을 그대로 들어야 할 의무가 있다. 국회가 동시통역시스템을 통해 의사를 전달하기로 결정했으므로 따라야 한다”고 목소리를 높였다. 노 의원은 “통역사를 대동해서 다른 서비스를 받든 말든 알아서 하시고, 대한민국 법체계를 존중한다면 통역기를 착용하라”고 지적했고, 최 위원장도 “예외 통역을 허용한 것은 한국인 변호인의 조력을 받는 권리를 보장하기 위한 것”이라고 부연했다. 이에 로저스 임시 대표는 “정상적이지 않다. 이의제기하겠다”라고 맞섰지만 최 위원장이 “적절하지 않다”며 받아들이지 않았고, 로저스 임시 대표는 통역기를 착용했다. 청문회에서 의원들은 쿠팡 측의 자료 제출 미협조와 터무니없는 보상안 등을 강한 어조로 질타했다. 김영배 더불어민주당 의원은 “참담함을 느낀다. 국민도 비슷한 모욕감을 느낄 것”이라며 쿠팡을 향해 “거짓말로 일관하고 있다. 몽둥이가 모자란다”라고 맹공했다. 정일영 민주당 의원은 쿠팡의 보상안에 대해 “국민 염장 지르는 식의 무능력 무공감 대책”이라며 “까면 깔수록 문제가 커지기만 하고 있다”라고 지적했다. 한편 쿠팡 측은 전날 내놓은 ‘5만원’ 보상안에 대해 “미국 법에 저촉되지 않는 전례가 없는 보상안”이라며 두둔했다. 로저스 임시 대표는 쿠폰을 통한 피해 보상이 미국 집단소송 공정화법에 저촉된다는 김우영 민주당 의원의 질의에 “(의원의 지적은) 집단소송에 대한 것이고, 저희는 자발적 보상안에 대한 것”이라고 답했다. 이어 더 나은 보상안을 제시할지 묻는 김현정 민주당 의원의 질의에는 “보상안은 1조 7000억원에 달한다. 전례가 없는 보상안”이라고 선을 그었다.

국내 1위 가상자산 거래소 업비트에서 해킹 시도 54분 만에 1000억개가 넘는 코인이 외부로 빠져나갔던 것으로 확인됐다. 가상자산 시장이 급속도로 확대되면서 해킹·보안 사고 시 대규모 피해로 이어질 수 있지만, 현행법상 이를 직접 제재하거나 배상을 강제할 조항이 없어 ‘규제·감독 사각지대’ 우려가 커지고 있다. 업비트가 사고를 인지한 뒤 금융당국에 신고하기까지 6시간이 넘게 걸린 사실도 드러났다. 7일 국회 정무위원회 소속 강민국 의원실이 금융감독원으로부터 제출받은 자료에 따르면 이번 사고는 지난달 오전 4시 42분부터 5시 36분까지 54분간 발생했다. 업비트는 해킹 시도를 즉각 인지해 오전 5시 긴급회의를 열고 5시 27분 솔라나 계열 디지털자산 입출금을 중단했다. 이후 오전 8시 55분에는 전체 자산 입출금도 막았다. 하지만 금감원 첫 신고는 오전 10시 58분, 한국인터넷진흥원(KISA) 신고는 오전 11시 57분이었다. 경찰과 금융위원회 보고는 각각 오후 1시 16분과 오후 3시에 이뤄졌고, 비정상 출금 사실을 홈페이지에 공지한 시간도 오후 12시 33분이었다. 특히 업비트 운영사 두나무와 네이버파이낸셜의 합병 행사(오전 10시50분) 이후 신고가 이뤄진 점을 두고 ‘신고 지연’ 논란도 불거졌다. 유출된 자산은 솔라나 계열 코인 24종 1040억 6470만여개(약 445억원)로, 초당 약 3200만개(1370만원)씩 빠져나간 셈이다. 업비트 관계자는 “고객이 맡긴 가상자산의 80% 이상을 콜드월렛에 보관했다. 피해자산은 모두 업비트가 충당해서 이용자에겐 피해가 없도록 조치했다”며 “비정상 출금 후 추가 출금을 막는데 집중했고, 비정상 출금이 침해사고라고 최종 확인된 즉시 당국에 보고했다”고 말했다. 이런 가상자산 업계 보안 사고는 반복되고 있다. 이강일 의원실에 따르면 2023년부터 올해 9월까지 5대 가상자산 거래소에서 20건의 전산사고가 발생했으며, 그중 업비트가 6건(피해자 616명·피해액 31억9967만원)으로 가장 많았다. 문제는 가상자산 사업자 해킹 사고에 대한 직접 제재나 배상을 강제할 법적 근거가 없다는 점이다. 업비트는 이번 피해액을 모두 회사 자산으로 보전하겠다고 밝혔지만, 현행 전자금융거래법은 금융회사와 전자금융업자만 무과실 책임 대상에 포함하고 있어 가상자산 사업자는 제외돼 있다. 지난해 시행된 ‘가상자산 이용자 보호법(1단계법)’에도 해킹·전산 사고 관련 조항은 없다. 금감원이 업비트에 대한 현장 점검에 착수했지만, 엄중 제재로 이어질 가능성은 크지 않다는 분석이 나온다. 전문가들은 배상의 핵심 쟁점을 ‘입증 책임’으로 꼽으며, 사전·사후 관리·감독을 강화해야 한다고 지적한다. 황석진 동국대 교수는 “이번 사고는 개별 계좌가 아닌 전체 계좌에서 자산이 빠져나간 형태라, 누구에게 얼마나 피해가 발생했는지 객관적으로 입증하기가 매우 어렵다”며 “연말 전에 가상자산 사업자에게 명시적 배상 책임을 부과하고, 보안·안정성 기준을 은행 수준 이상으로 높이는 내용을 법제화할 필요가 있다”고 말했다.

3370만여명의 개인정보가 유출된 쿠팡의 주요 임원이 정보침해 사건이 발생한 시점 이후 쿠팡 보유 주식 수십억원대를 내다 판 것으로 확인됐다. 2일(현지시간) 미 증권거래위원회(SEC) 공시에 따르면 거랍 아난드 쿠팡 최고재무책임자(CFO)는 지난달 10일 자신이 쿠팡Inc 주식 7만 5350주를 주당 29.0195달러에 매도했다고 신고했다. 매도 가액은 약 218만 6000달러(약 32억원)에 달한다. 프라남 콜라리 전 부사장도 지난달 17일 쿠팡 주식 2만 7388주를 매도했다고 신고했다. 매각 가액은 77만 2000달러(약 11억 3000만원)로 신고했다. 콜라리 전 부사장은 검색 및 추천 부문을 총괄하던 핵심 기술담당 임원이었다. 그는 지난달 14일 사임했다. 아난드 CFO와 콜라리 전 부사장의 쿠팡 주식 매도 시점은 쿠팡이 개인정보 유출 침해사고 발생 사실을 인지했다고 밝힌 시점 이전이다. 회사가 정보침해 사고를 인지했다고 밝힌 시점보다 앞서서 이뤄진 거래이긴 하지만, 민감한 시점에 발생한 전현직 핵심 임원의 주식 처분은 ‘내부자 거래’ 논란을 부를 수 있는 대목이다. 쿠팡은 고객 계정 약 3370만개 정보가 유출됐다고 지난 27일 발표했다. 유출된 정보는 고객의 이름과 이메일, 전화번호, 공동현관 비밀번호 정보가 포함된 주소, 일부 주문정보 등이었다. 쿠팡이 관계당국에 피해 사실을 최초로 신고한 것은 지난달 18일이었다. 당시 쿠팡이 파악한 개인정보 유출 규모는 4500여명이었다. 과학기술정보방송통신위원장 최민희 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 침해사고 신고서에 따르면 쿠팡은 한국시간 지난달 6일 오후 6시 38분 자사 계정 정보에 대한 무단 접근이 발생했다고 보고했다. 그러나 침해 사실을 인지한 시점은 12일이 지난 11월 18일 오후 10시 52분으로 기록됐다.

2일 경남경찰청은 해킹·랜섬웨어 등 사이버 침해 범죄 대응 역량을 강화하고자 한국인터넷진흥원 동남정보보호지원센터(KISA 동남센터)와 업무협약을 체결했다. 두 기관은 ▲사이버 침해사고·범죄 상황 공유 활성화 ▲경남경찰청 수사관 역량 강화를 위한 교육·연구모임 지원 ▲랜섬웨어 신고 인식개선 캠페인 추진 등 지속 가능한 공동 대응에 함께 힘쓰기로 했다. 강필용 KISA 동남센터장은 “동남센터는 정보보호 사각지대를 해소하고자 신속한 사고 대응·선제적 예방조치를 적극적으로 지원하고 있다”며 “이번 협약을 계기로 경남경찰청에 최신 사이버 위협·사고 동향 공유와 역량 강화 교육·기술을 지원하여 지역 사이버 안전망 확충에 힘쓰겠다”고 밝혔다. 정성학 경남경찰청 수사부장은 “경남경찰청은 사이버수사과를 중심으로 랜섬웨어, 해킹 등 사이버 침해 범죄에 적극 대응 중”이라며 “이번 협약을 통해 사이버범죄 수사·대응 역량을 높여 도민이 안심할 수 있는 사이버 치안 서비스를 제공하겠다”고 강조했다.

3370만개에 달하는 쿠팡 고객 계정의 개인정보 유출은 외부 해킹이 아닌 내부자 소행으로 보이는 정황이 있는 것으로 전해졌다. 30일 연합뉴스 등에 따르면 서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아 개인정보 유출 사태에 대한 수사에 착수했다. 쿠팡의 고소장에 피고소인이 특정되지 않고 ‘성명불상자’로 기재됐지만, 내부에서 고객 정보를 비인가 조회한 주체가 쿠팡에 근무했던 중국 국적자로 추정된다고 연합뉴스는 보도했다. 이 직원이 외국 국적자인 데다 이미 쿠팡을 퇴사해 한국을 떠난 것으로 전해지면서 수사가 쉽지 않은 것 아니냐는 우려도 나온다. 쿠팡은 앞서 이번 정보 유출 사고가 해킹 등 외부 요인에 따른 것이 아님을 시사한 바 있다. 쿠팡은 정보 유출 피해 고객 계정이 4500여개라고 발표했던 지난 20일 당시 입장문에서 “고객 개인정보가 비인가 조회된 것으로 확인됐다. 쿠팡 시스템과 내부 네트워크망의 외부 침입 흔적은 없는 것으로 확인했다”고 밝혔다. 쿠팡은 현재까지 고객 계정 약 3370만개가 유출된 것을 확인했다. 이는 국내 성인 4명 중 3명의 정보에 해당하며 사실상 쿠팡 전체 계정에 맞먹을 것으로 추정되는 규모다. 유출 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보 등이다. 또 쿠팡은 정보 침탈 시도가 이미 5개월 전인 지난 6월 24일 시작된 것으로 보고 있다. SK텔레콤과 KT 등 최근 발생한 대규모 정보 유출 사건은 주로 외부 해킹에 의한 것이었으나, 이번 사태는 내부 직원의 소행으로 추정되면서 쿠팡의 내부 관리 허점이 드러났다는 지적이 나온다. 쿠팡의 이번 고객 정보 유출 규모는 지난 2011년 약 3500만명이 정보 유출 사태를 겪은 싸이월드·네이트 사례와 맞먹는다. 당시 이 사고는 해킹으로 인한 것이었다. 개인정보 보호 위반으로 개인정보보호위원회로부터 역대 최대 과징금(1348억원) 처분을 받은 SK텔레콤의 개인정보 유출 역시 해킹 사고였다. 한편 경찰 수사와 별개로 정부는 민간과 합동조사단을 꾸려 사고 원인 분석에 나선 상황이다. 과학기술정보통신부는 쿠팡 침해사고 및 개인정보 대규모 유출 사고와 관련해 민관합동조사단을 꾸려 사고 원인 분석 및 재발 방지 대책을 마련할 계획이다.

최근 공공과 민간을 가리지 않고 해킹이 빈발하면서 관련 업무가 폭증하는 가운데 과학기술정보통신부가 추진하던 ‘정보보호정책관’ 신설이 암초에 부딪혔습니다. 정책 수요는 어느 때보다 커졌지만, 조직은 제자리를 벗어나지 못할 수 있다는 우려가 나옵니다. 20일 관가에 따르면 행정안전부는 최근 과기정통부의 정보보호국 분리·신설 요청을 허용하지 않고, 해킹 업무를 담당하던 사이버침해대응 심사 인력을 일부 보강해 침해사고조사팀만 신설하는 방안을 비중 있게 검토 중인 것으로 알려졌습니다. 앞서 과기정통부는 기존 네트워크정책실의 이름을 정보보호·네트워크정책실로 바꾸고 산하에 정보보호정책관을 신설하는 조직 개편안을 행안부에 제출했습니다. 국 단위인 정보보호네트워크정책관을 정보보호정책국과 네트워크정책국으로 나누고, 정보보호정책국 아래 사이버 침해 업무를 전담하는 별도 조직까지 만드는 구상이었습니다. 반복되는 해킹 사태를 고려해 정보보호를 전면에 세우겠다는 의지를 담은 것입니다. 하지만 행안부의 반대로 제동이 걸릴 가능성이 커졌습니다. 문제는 현장 대응 여력이 이미 포화 상태라는 점입니다. 사이버침해대응과에서 해킹 관련 업무를 전담하는 인력은 사무관 1명, 주무관 1명뿐입니다. 과기정통부 관계자는 “별도 조직이 생기면 대응이 수월해질 것”이라고 말했습니다. 이와 관련해 행안부는 네트워크정책실이 신설된 지 얼마 안 됐고 최근 몇 년 사이 기능이 이미 세분됐다는 이유로 조직 신설의 필요성에 의문을 제기하는 것으로 알려졌습니다. 해킹 사고가 터질 때마다 국회와 업계는 “정부의 보안 대응 체계가 시대 변화에 뒤처졌다”고 지적합니다. 이런 상황에서 조직 신설이 좌초된다면 과기정통부가 구상했던 정보보호 역량 강화도 원점으로 돌아갈 수 있습니다. 정보보호는 더이상 선택이 아닌 필수 정책 영역입니다. 행안부의 최종 판단이 주목됩니다.

KT가 무단 소액결제와 개인정보 유출 피해자에 대한 보상으로 5개월간 무료 데이터 100기가바이트(GB)를 제공하고, 15만원 상당의 통신비 할인 또는 휴대전화 교체 비용을 지원한다. KT는 29일 이런 내용의 보상 계획을 발표했다. 우선, 무단 소액결제와 정보 유출이 확인된 피해 고객들은 5개월간 100GB 상당의 무료 데이터를 제공한다. 또 고객들은 15만원 상당의 통신 요금 할인 또는 휴대전화 교체 비용 중 하나를 선택해 지원받을 수 있다. 통신 요금 할인은 월 휴대전화 요금에서 차감되며 기기 교체 할인은 KT에서 구매한 신규 기기로 변경 시 약정할인 금액에 추가 할인을 적용하는 방식이다. KT는 보상 대상 고객들에게 다음주 중 문자 안내를 진행할 계획이다. 아울러 KT는 고객 신뢰 회복과 유사 침해사고 재발 방지를 위해 전국 2000여개 매장을 ‘안전 안심 전문 매장’으로 전환한다고 밝혔다. 

국내 대표 보안 기업인 SK쉴더스의 해킹 사고로 인해 SK텔레콤을 포함한 민간 기업 120곳과 다수의 공공기관 정보가 외부로 유출된 것으로 파악됐다. 27일 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원실이 과학기술정보통신부로부터 제출받은 ‘SK쉴더스 침해사고 대응 현황’에 따르면, 해커는 총 15.1기가바이트(GB) 분량의 자료를 빼돌린 것으로 확인됐다. 유출된 정보에는 주요 금융기관 15곳의 정보도 포함된 것으로 나타났다. 당초 다크웹 기반 해커 그룹 ‘블랙 슈란탁’은 24GB의 데이터를 해킹했다고 주장했으나, 당국이 파악한 유출 규모는 이보다 적었다. 이번 침해 사고의 원인은 SK쉴더스가 운영하던 해커 유인 시스템 ‘허니팟’(Honeypot)의 관리 부실에서 비롯했다. 해당 시스템에 내부 직원 2명의 개인 메일 계정이 자동 로그인 상태로 연동돼 있었다. 해커는 이 취약점을 이용해 직원 메일에 저장된 고객사 정보를 탈취, 다크웹에 게시한 것으로 조사됐다. SK쉴더스는 임직원 약 7000명, 매출액 2조 47억원 규모의 대형 보안 기업으로, 공공 230개, 금융 185개, 민간기업 786개 등 1200여개의 고객사를 두고 있다. 유출된 자료에는 고객사의 보안관제시스템 구축 자료, 솔루션 검증 자료, 그리고 시범 적용 테스트 결과 등이 담겨 있다. 고객사의 보안 시스템 허점을 노린 2차 피해 발생 우려가 커지고 있다. 사고 인지 후 SK쉴더스는 지난 18일 과기정통부 산하 한국인터넷진흥원(KISA)에 신고했다. 현재 과기정통부는 SK쉴더스에 침해 사고 원인 분석을 위한 자료 보전 및 제출을 요구하고 현장 조사를 진행 중이다. 개인정보보호위원회도 조사에 착수했다.

해킹 사고가 발생한 롯데카드가 롯데 계열사로 오인돼 브랜드 가치가 심각하게 훼손됐다며 롯데그룹이 강력히 항의하고 나섰다. 21일 롯데는 “롯데카드 해킹 사태로 인한 브랜드 가치 훼손과 고객 신뢰도 추락 등 막대한 피해를 보았다”며 “롯데카드에 강력히 항의하고 고객 피해 최소화를 위한 신속한 조치를 요구했다”고 밝혔다. 롯데카드의 대주주는 MBK파트너스로, ‘롯데’ 브랜드를 사용하고 있지만 그룹과는 별도로 운영되고 있다. 롯데는 2017년 지주사 체제 전환 이후 금융·보험업 지분 보유가 불가능해져 2019년 롯데카드를 MBK파트너스에 매각했다. 다만 상당수 고객이 여전히 롯데카드를 그룹 계열사로 인식하고 있어 롯데는 회복이 어려운 유무형의 피해를 보고 있다고 주장했다. 롯데는 “롯데카드 고객 이탈이 늘어나게 되면 협력 관계를 맺고 있는 롯데 사업장에서의 매출 감소도 불가피하며 무엇보다 롯데카드를 롯데 계열사로 오인하는 고객들이 느끼는 신뢰 하락이 뼈아프다”고 지적했다. 롯데카드가 그룹 임직원 전용 카드 발급도 맡아와 이번 사고로 일부 임직원 개인정보도 유출됐다. 롯데카드는 지난 18일 ‘사이버 침해사고에 대한 대표이사 사과’라는 제목의 공문을 그룹에 전달하며 사과의 뜻을 밝혔다. 조좌진 롯데카드 대표이사는 공문에서 “롯데그룹과 임직원들에게 심려를 끼쳐드린 점에 대해 깊이 사과드린다”며 “사고로 인한 혼잡이 종료될 때까지 대표이사로서 끝까지 직접 챙기겠다”고 약속했다.

무단 소액결제 사건에 연루된 KT의 서버 침해 정황이 확인됐다. 피해 규모와 개인정보 유출 범위가 확대되는 것 아니냐는 우려가 커지는 가운데 정부는 과학기술정보통신부와 금융위원회 합동 브리핑을 통해 해킹 방지 대책을 내놨지만 선언적 수준에 그쳤다는 지적도 제기된다. KT는 19일 전날 밤 11시 57분 한국인터넷진흥원(KISA)에 서버 침해 정황을 신고했다고 밝혔다. 회사 측은 서버 침해 흔적 4건과 의심 정황 2건을 확인해 신고했으며, 이번 사실은 지난 4월 SK텔레콤 해킹 사건 이후 외부 보안 전문 기업에 의뢰해 약 4개월간 전사 서버를 조사하는 과정에서 드러났다고 설명했다. 다만 어떤 정보가 유출됐는지는 정확히 알 수 없다고 전했다. KT는 조사 범위와 방식을 넓히고 있기 때문에 추가 피해가 드러난 것이라고 해명하지만, 피해 규모와 유출 범위가 점차 확대되면서 연일 사건 축소에만 급급한 것 아니냐는 비판이 제기된다. 특히 서버 침해 사실을 지난 15일 인지하고도 전날 기자회견에서는 이를 밝히지 않고 당국에 신고도 늦게 했다는 점도 도마에 오른다. 국회 과학기술정보방송통신위 소속 최수진 의원(국민의힘)이 확보한 KT의 KISA 침해사고 신고 내용에 따르면 KT는 서버 침해 인지 시점을 9월15일 14시로 명시했다. 관련법은 기업이 해킹 피해를 최초로 확인한 시점에서 24시간 이내 신고를 의무화하고 있는데 사흘 뒤에야 당국에 신고한 것이다. 구재형 KT 네트워크기술본부장은 “소액결제 사건은 네트워크와 마케팅 쪽 부서가 진행하고 있고 서버 점검은 최고보안책임자(CISO) 쪽에서 별도로 진행해 상호 연결성이 없었다”며 사내 소통 부족을 이유로 들었다. KT는 소액결제 사태가 불거진 지난 4일부터 ‘개인정보 유출은 없다’고 강조했지만 11일 기자회견에서 불법 기지국을 통해 5561명의 가입자식별정보(IMSI)가 유출된 정황을 인정했다. 이어 전날에는 IMSI뿐 아니라 국제단말기식별번호(IMEI)와 휴대전화 번호까지 유출 사실을 추가로 발표했다. 1차 발표 후 소액결제 이용 고객 전체의 통화기록을 분석해 추가 불법 기지국 ID를 확인했고 이를 가입자 전체 통화기록과 비교해 추가 피해자를 식별했다는 설명이었다. 이날은 외부 점검에서 서버 침해 사실까지 드러나며 또다시 말을 바꾼 셈이 됐다. 피해 규모도 커지고 있다. 실제 결제가 이뤄진 피해자는 278명에서 362명으로, 피해 금액은 1억7000만원에서 2억4000만원으로 확대됐다. 불법 펨토셀에 노출된 것으로 확인된 고객은 2만 명을 넘어섰다. 무엇보다 서버 침해가 확인되면서 IMSI·IMEI와 함께 복제폰 생성에 필요한 인증키 유출 가능성도 제기된다. 구 본부장은 이날 브리핑 후 복제폰 가능성은 여전히 없느냐는 질문에 “그렇다”면서도 서버에서 유출된 정보에 대해선 “어제 밤 신고해서 합동조사단 결과가 나와봐야 알 수 있다”고 말했다. KT는 최근 미국 보안 전문지 ‘프랙’이 제기한 해킹 의혹, 무단 소액결제 사건, 서버 침해 신고까지 겹치며 다수의 공격 가능성에 노출된 상황이다. 특히 소액결제 조사는 6월까지만 이뤄져 추가 피해가 있거나 피해 기간이 확대될 가능성도 배제할 수 없다. 류제명 과기정통부 2차관은 “추가 피해 가능성을 낮게 본다”면서도 “전혀 없다고 단정하긴 어렵다”고 말했다. 한편 과기부와 금융위는 이날 합동 브리핑을 열고 사태의 엄중함을 강조하며 해킹 사고의 근본 대책을 마련하겠다고 밝혔다. 류제명 과기부 2차관은 “민관합동조사단이 KT 무단 소액결제 사태의 원인을 신속·철저히 규명하고 결과를 투명하게 공개하겠다”고 밝혔다. 조사단은 해커가 불법 초소형 기지국을 통해 KT 내부망에 어떻게 접속했는지, 개인정보는 어떤 경로로 확보했는지를 집중 조사 중이다. 류 차관은 “과기부는 현행 보안 체계를 원점에서 재검토해 임시방편 대응이 아닌 근본적 대책을 마련할 것”이라며 “기업이 침해 사실을 고의 지연 신고하거나 미신고할 경우 과태료를 부과하고, 정부가 직접 정황을 확보하면 기업 신고 없이도 철저히 조사할 수 있도록 제도를 개선하겠다”고 강조했다. 금융위도 금융권 해킹 대응 체계를 전면 강화하겠다고 밝혔다. 권대영 금융위 부위원장은 “롯데카드 조사 과정에서 당초 신고보다 큰 규모의 유출이 확인됐다”며 “소비자 보호 조치가 차질없이 이뤄지도록 면밀히 관리하겠다”고 말했다. 그는 “보안 투자를 불필요한 비용으로 여기는 금융권의 안이한 자세를 반성해야 한다”며 “금융사 CEO 책임 하에 전산 시스템과 보안 체계를 긴급 점검하고, 징벌적 과징금과 CISO 권한 강화 등 제도 개선에 즉시 착수하겠다”고 밝혔다. 그러나 잇단 대규모 정보 유출 사태 속에서 이날 브리핑은 구체적 실행 방안보다는 원칙적 선언에 머물렀다는 지적도 나온다. 해킹이 금융·비금융을 가리지 않고 전방위로 발생하는 상황에서, 과기정통부와 금융위로 나뉜 대응 체계가 한계라는 점도 과제로 꼽힌다. 류 차관은 “국가안보실 중심으로 두 부처 외에도 국정원, 개인정보보호위원회 등 관련 부서들이 함께 논의 중”이라며 “종합 정부 대책은 국가안보실 중심으로 한 관계부처 회의를 통해 종합대책 또는 분야별 대책을 강구하고 있다”고 했다.