사고 인지 6시간 넘어 늑장 신고 가상자산 거래소 보안 사고 반복9월까지 20건… 업비트 6건 최다‘무과실 책임’ 사업자 제외돼 있어“연내 배상·보안 강화 법제화해야” 국내 1위 가상자산 거래소 업비트에서 해킹 시도 54분 만에 1000억개가 넘는 코인이 외부로 빠져나갔던 것으로 확인됐다. 가상자산 시장이 급속도로 확대되면서 해킹·보안 사고 시 대규모 피해로 이어질 수 있지만, 현행법상 이를 직접 제재하거나 배상을 강제할 조항이 없어 ‘규제·감독 사각지대’ 우려가 커지고 있다. 업비트가 사고를 인지한 뒤 금융당국에 신고하기까지 6시간이 넘게 걸린 사실도 드러났다. 7일 국회 정무위원회 소속 강민국 의원실이 금융감독원으로부터 제출받은 자료에 따르면 이번 사고는 지난달 오전 4시 42분부터 5시 36분까지 54분간 발생했다. 업비트는 해킹 시도를 즉각 인지해 오전 5시 긴급회의를 열고 5시 27분 솔라나 계열 디지털자산 입출금을 중단했다. 이후 오전 8시 55분에는 전체 자산 입출금도 막았다. 하지만 금감원 첫 신고는 오전 10시 58분, 한국인터넷진흥원(KISA) 신고는 오전 11시 57분이었다. 경찰과 금융위원회 보고는 각각 오후 1시 16분과 오후 3시에 이뤄졌고, 비정상 출금 사실을 홈페이지에 공지한 시간도 오후 12시 33분이었다. 특히 업비트 운영사 두나무와 네이버파이낸셜의 합병 행사(오전 10시50분) 이후 신고가 이뤄진 점을 두고 ‘신고 지연’ 논란도 불거졌다. 유출된 자산은 솔라나 계열 코인 24종 1040억 6470만여개(약 445억원)로, 초당 약 3200만개(1370만원)씩 빠져나간 셈이다. 이런 가상자산 업계 보안 사고는 반복되고 있다. 이강일 의원실에 따르면 2023년부터 올해 9월까지 5대 가상자산 거래소에서 20건의 전산사고가 발생했으며, 그중 업비트가 6건(피해자 616명·피해액 31억9967만원)으로 가장 많았다. 문제는 가상자산 사업자 해킹 사고에 대한 직접 제재나 배상을 강제할 법적 근거가 없다는 점이다. 업비트는 이번 피해액을 모두 회사 자산으로 보전하겠다고 밝혔지만, 현행 전자금융거래법은 금융회사와 전자금융업자만 무과실 책임 대상에 포함하고 있어 가상자산 사업자는 제외돼 있다. 지난해 시행된 ‘가상자산 이용자 보호법(1단계법)’에도 해킹·전산 사고 관련 조항은 없다. 금감원이 업비트에 대한 현장 점검에 착수했지만, 엄중 제재로 이어질 가능성은 크지 않다는 분석이 나온다. 전문가들은 배상의 핵심 쟁점을 ‘입증 책임’으로 꼽으며, 사전·사후 관리·감독을 강화해야 한다고 지적한다. 황석진 동국대 교수는 “이번 사고는 개별 계좌가 아닌 전체 계좌에서 자산이 빠져나간 형태라, 누구에게 얼마나 피해가 발생했는지 객관적으로 입증하기가 매우 어렵다”며 “연말 전에 가상자산 사업자에게 명시적 배상 책임을 부과하고, 보안·안정성 기준을 은행 수준 이상으로 높이는 내용을 법제화할 필요가 있다”고 말했다.

국내 1위 가상자산 거래소 업비트에서 해킹 시도 54분 만에 1000억개가 넘는 코인이 외부로 빠져나갔던 것으로 확인됐다. 가상자산 시장이 급속도로 확대되면서 해킹·보안 사고 시 대규모 피해로 이어질 수 있지만, 현행법상 이를 직접 제재하거나 배상을 강제할 조항이 없어 ‘규제·감독 사각지대’ 우려가 커지고 있다. 업비트가 사고를 인지한 뒤 금융당국에 신고하기까지 6시간이 넘게 걸린 사실도 드러났다. 7일 국회 정무위원회 소속 강민국 의원실이 금융감독원으로부터 제출받은 자료에 따르면 이번 사고는 지난달 오전 4시 42분부터 5시 36분까지 54분간 발생했다. 업비트는 해킹 시도를 즉각 인지해 오전 5시 긴급회의를 열고 5시 27분 솔라나 계열 디지털자산 입출금을 중단했다. 이후 오전 8시 55분에는 전체 자산 입출금도 막았다. 하지만 금감원 첫 신고는 오전 10시 58분, 한국인터넷진흥원(KISA) 신고는 오전 11시 57분이었다. 경찰과 금융위원회 보고는 각각 오후 1시 16분과 오후 3시에 이뤄졌고, 비정상 출금 사실을 홈페이지에 공지한 시간도 오후 12시 33분이었다. 특히 업비트 운영사 두나무와 네이버파이낸셜의 합병 행사(오전 10시50분) 이후 신고가 이뤄진 점을 두고 ‘신고 지연’ 논란도 불거졌다. 유출된 자산은 솔라나 계열 코인 24종 1040억 6470만여개(약 445억원)로, 초당 약 3200만개(1370만원)씩 빠져나간 셈이다. 업비트 관계자는 “고객이 맡긴 가상자산의 80% 이상을 콜드월렛에 보관했다. 피해자산은 모두 업비트가 충당해서 이용자에겐 피해가 없도록 조치했다”며 “비정상 출금 후 추가 출금을 막는데 집중했고, 비정상 출금이 침해사고라고 최종 확인된 즉시 당국에 보고했다”고 말했다. 이런 가상자산 업계 보안 사고는 반복되고 있다. 이강일 의원실에 따르면 2023년부터 올해 9월까지 5대 가상자산 거래소에서 20건의 전산사고가 발생했으며, 그중 업비트가 6건(피해자 616명·피해액 31억9967만원)으로 가장 많았다. 문제는 가상자산 사업자 해킹 사고에 대한 직접 제재나 배상을 강제할 법적 근거가 없다는 점이다. 업비트는 이번 피해액을 모두 회사 자산으로 보전하겠다고 밝혔지만, 현행 전자금융거래법은 금융회사와 전자금융업자만 무과실 책임 대상에 포함하고 있어 가상자산 사업자는 제외돼 있다. 지난해 시행된 ‘가상자산 이용자 보호법(1단계법)’에도 해킹·전산 사고 관련 조항은 없다. 금감원이 업비트에 대한 현장 점검에 착수했지만, 엄중 제재로 이어질 가능성은 크지 않다는 분석이 나온다. 전문가들은 배상의 핵심 쟁점을 ‘입증 책임’으로 꼽으며, 사전·사후 관리·감독을 강화해야 한다고 지적한다. 황석진 동국대 교수는 “이번 사고는 개별 계좌가 아닌 전체 계좌에서 자산이 빠져나간 형태라, 누구에게 얼마나 피해가 발생했는지 객관적으로 입증하기가 매우 어렵다”며 “연말 전에 가상자산 사업자에게 명시적 배상 책임을 부과하고, 보안·안정성 기준을 은행 수준 이상으로 높이는 내용을 법제화할 필요가 있다”고 말했다.

쿠팡에서 벌어진 대규모 개인정보 유출 사태를 틈타 허위로 배송 지연이나 카드 발급을 사칭하는 문자메시지 사기(스미싱) 문구가 신고돼 경찰이 주의를 당부했다. 경찰청 전기통신금융사기 통합대응단은 최근 쿠팡 개인정보 유출 상황을 악용한 새로운 유형의 스미싱·피싱 시나리오가 잇따라 접수되고 있다고 7일 밝혔다. 신고 내용에는 배송 지연을 이유로 특정 링크 접속을 유도하는 메시지와, 기존 카드 배송 사칭 방식에 쿠팡 개인정보 유출 사태를 언급한 문구를 덧붙이는 유형이 포함됐다. 통합대응단은 피해 확산을 막기 위해 통신 3사와 협력해 지난 4일부터 ‘쿠팡 사태 악용 피싱 주의’ 대국민 경보를 발령한 상태다. 스미싱 제보 실시간 점검과 의심번호 차단 등 선제적 대응도 강화하고 있다. 특히 카드 사칭 결합형 수법은 “본인 명의로 신용카드가 발급됐다”고 접근한 뒤 “쿠팡 관련 개인정보 유출로 인해 신청하지 않은 카드가 발급된 것일 수 있다”면서 피해자의 불안감을 자극하는 방식이다. 사기범이 안내한 가짜 고객센터로 전화를 걸면 악성 앱 감염 여부 점검 등을 명목으로 원격 제어 앱 설치를 요구하며, 이 악성 앱이 설치되면 진짜로 휴대전화 조작이 가능해진다. 통합대응단은 쿠팡 정보 유출로 인한 직접적인 2차 피해 사례는 아직 보고되지 않았지만, 새로운 수법이 추가 등장하거나 피해가 발생할 가능성이 있어 주의를 당부했다. 피해 예방을 위해서는 출처가 불명확한 번호에서 온 문자나 인터넷 주소(URL)를 누르지 말고 즉시 삭제해야 한다. 정부·금융기관 등은 전화나 문자로 앱 설치를 요구하지 않으며, 출처가 불분명한 앱을 설치한 경우 모바일 백신으로 삭제해야 한다. 삭제가 어려울 때는 통합대응단 신고대응센터를 통해 안내받을 수 있다. 노출된 개인정보가 악용될 경우 범죄 접근이 정교해질 수 있어 모르는 번호로 전화가 오면 보이스피싱 가능성을 의심해야 한다. 국가기관이나 금융기관을 사칭한 연락일 경우 즉시 전화를 끊고 지인에게 알리거나 112로 신고하는 것이 필요하다. 통합대응단은 쿠팡을 사칭한 스미싱·피싱 제보를 실시간 점검하며 의심 번호를 긴급 차단하고 있다. 과학기술정보통신부, 한국인터넷진흥원(KISA), 금융감독원 등과 협력해 피해 최소화 대응을 이어가는 중이다. 통합대응단 관계자는 “국민 신고는 추가 피해를 막고, 다른 사람들이 동일한 범행에 노출되는 것을 방지하는 데 큰 도움이 된다”며 “특히 신고를 통해 최신 수법을 신속하게 파악하고 탐지·대응할 수 있으므로, 쿠팡 사태를 악용한 사칭 범죄가 의심되면 적극적으로 제보해달라”고 당부했다．

3370만여명의 개인정보가 유출된 쿠팡의 주요 임원이 정보침해 사건이 발생한 시점 이후 쿠팡 보유 주식 수십억원대를 내다 판 것으로 확인됐다. 2일(현지시간) 미 증권거래위원회(SEC) 공시에 따르면 거랍 아난드 쿠팡 최고재무책임자(CFO)는 지난달 10일 자신이 쿠팡Inc 주식 7만 5350주를 주당 29.0195달러에 매도했다고 신고했다. 매도 가액은 약 218만 6000달러(약 32억원)에 달한다. 프라남 콜라리 전 부사장도 지난달 17일 쿠팡 주식 2만 7388주를 매도했다고 신고했다. 매각 가액은 77만 2000달러(약 11억 3000만원)로 신고했다. 콜라리 전 부사장은 검색 및 추천 부문을 총괄하던 핵심 기술담당 임원이었다. 그는 지난달 14일 사임했다. 아난드 CFO와 콜라리 전 부사장의 쿠팡 주식 매도 시점은 쿠팡이 개인정보 유출 침해사고 발생 사실을 인지했다고 밝힌 시점 이전이다. 회사가 정보침해 사고를 인지했다고 밝힌 시점보다 앞서서 이뤄진 거래이긴 하지만, 민감한 시점에 발생한 전현직 핵심 임원의 주식 처분은 ‘내부자 거래’ 논란을 부를 수 있는 대목이다. 쿠팡은 고객 계정 약 3370만개 정보가 유출됐다고 지난 27일 발표했다. 유출된 정보는 고객의 이름과 이메일, 전화번호, 공동현관 비밀번호 정보가 포함된 주소, 일부 주문정보 등이었다. 쿠팡이 관계당국에 피해 사실을 최초로 신고한 것은 지난달 18일이었다. 당시 쿠팡이 파악한 개인정보 유출 규모는 4500여명이었다. 과학기술정보방송통신위원장 최민희 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 침해사고 신고서에 따르면 쿠팡은 한국시간 지난달 6일 오후 6시 38분 자사 계정 정보에 대한 무단 접근이 발생했다고 보고했다. 그러나 침해 사실을 인지한 시점은 12일이 지난 11월 18일 오후 10시 52분으로 기록됐다.

올해 보안 관련 대형 사고가 잇달아 발생한 가운데 유통·플랫폼 기업들의 정보보호 투자가 미흡하다는 지적이 나온다. 쿠팡의 경우 정보보호에 연간 890억원을 투자했지만 보안 관련 기본 원칙도 지켜지지 않은 것으로 드러나면서 다른 플랫폼 기업들에 대해서도 점검이 필요하다는 목소리가 높다. 2일 한국인터넷진흥원(KISA) 정보보호 공시 현황을 보면 올해 쿠팡의 정보기술(IT) 투자(1조 9171억원) 대비 정보보호 투자(890억원) 비율은 4.6%였다. 이는 관련 공시가 처음 시작된 2022년(7.1%)보다 2.5% 포인트 낮을 것일 뿐 아니라 정보보호 현황을 공시하는 773개 기업의 평균(6.3%)에도 못 미치는 수준이다. 최근에는 대부분의 유통업체가 온라인 플랫폼을 활용해 영업하고 있지만 보안 투자 비중은 평균치를 밑돌았다. 신세계(5.6%), SSG닷컴(4.6%), CJ올리브영(4.3%), 현대백화점(4.1%), GS리테일(4.1%), 롯데쇼핑(4.0%), 이마트(4.0%) 등 유통업체 대부분이 기술 투자 대비 정보보호 투자 비중이 낮았다. 특히 정보보호와 관련한 실제 투자액이나 인력이 쿠팡이 온라인상거래(이커머스) 업계 중 가장 많다는 점을 고려하면 다른 업체들도 안심할 수 없는 상황이다. 쿠팡(890억원, 211.6명) 다음으로 많은 곳이 롯데쇼핑(72억원, 32.4명), 이마트(61억원, 21.8명) 수준으로 현격한 차이가 났다. 최근 커머스 부문을 확대하고 있는 네이버(552억원, 130.8명)와 카카오(313억원, 91.3명) 같은 IT 기업의 경우에도 정보보호 투자액 자체는 적지 않았지만 기술 투자와 비교하면 각각 4.3%, 2.9%에 그쳤다. 전문가들은 예산과 인력의 문제를 넘어 기본적인 보안 원칙과 사고 발생 시 대응 체계를 점검할 때라고 강조했다. 염흥열 순천향대 정보보호학과 교수는 “그동안 쿠팡의 개인정보 보호 수준이 높은 것으로 알려졌지만 정작 내부자의 부정행위나 불법행위를 탐지하는 기본 원칙이나 체계는 매우 허술했다”며 “이상 징후 발생 시 이를 단계별로 탐지해 최종 유출되기 전 막는 대책이 필요하다”고 말했다.

2일 경남경찰청은 해킹·랜섬웨어 등 사이버 침해 범죄 대응 역량을 강화하고자 한국인터넷진흥원 동남정보보호지원센터(KISA 동남센터)와 업무협약을 체결했다. 두 기관은 ▲사이버 침해사고·범죄 상황 공유 활성화 ▲경남경찰청 수사관 역량 강화를 위한 교육·연구모임 지원 ▲랜섬웨어 신고 인식개선 캠페인 추진 등 지속 가능한 공동 대응에 함께 힘쓰기로 했다. 강필용 KISA 동남센터장은 “동남센터는 정보보호 사각지대를 해소하고자 신속한 사고 대응·선제적 예방조치를 적극적으로 지원하고 있다”며 “이번 협약을 계기로 경남경찰청에 최신 사이버 위협·사고 동향 공유와 역량 강화 교육·기술을 지원하여 지역 사이버 안전망 확충에 힘쓰겠다”고 밝혔다. 정성학 경남경찰청 수사부장은 “경남경찰청은 사이버수사과를 중심으로 랜섬웨어, 해킹 등 사이버 침해 범죄에 적극 대응 중”이라며 “이번 협약을 통해 사이버범죄 수사·대응 역량을 높여 도민이 안심할 수 있는 사이버 치안 서비스를 제공하겠다”고 강조했다.

“서버 접근권 말소 안 해 생긴 일”개인정보 문 열어 놓은 꼴… 대통령실 “징벌적 손배 필요” 쿠팡에서 인증 관련 담당자로 일하던 중국인 개발자가 고객 3370만명의 개인정보를 유출한 사태와 관련해 쿠팡 측의 안일한 대응에 대한 비판이 커지고 있다. 정부는 외부 해킹이 아닌 쿠팡 측의 방치에 따라 이번 사건이 벌어졌다고 보고 관련 책임을 엄중히 묻겠다는 입장이다. 원활한 피해자 보상을 위해 징벌적 손해배상제 개선 카드도 꺼내 들었다. 경찰도 범행에 사용된 인터넷주소(IP)를 확보하는 등 수사에 속도를 내고 있다. 1일 정부 고위 관계자는 “쿠팡이 서버 관리를 굉장히 부실하게 한 것이라 책임을 피하기 어려울 것”이라고 말했다. 이 관계자는 “인증 관리 업무를 담당하던 중국인 개발자가 퇴사한 후에도 계속 서버 접근 권한을 말소하지 않아서 생긴 일”이라며 “본질적으로 해킹을 당한 롯데카드와는 아예 다른 사건”이라고 진단했다. 그는 또 “(인증키를) 말소시키지 않으니 시스템은 정상적 접근이라고 본 것”이라며 “혹시 다른 해킹이 있을지 한국인터넷진흥원(KISA)이 들여다보고 있는데 현재까진 나온 게 없다”고 전했다. 그러면서 “피해자 숫자와 범위 등이 더 늘어날 가능성은 충분해 보인다”고도 했다. 국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원실 등에 따르면 고객 정보를 빼돌린 직원은 퇴사 이후인 지난 6월 24일부터 개인정보에 접근한 것으로 추정된다. 이 직원은 개인정보 탈취 과정에서 시스템에 로그인 없이 접근할 수 있는 ‘인증 토큰’을 이용한 것으로 보인다. 이와 관련해 강훈식 대통령실 비서실장은 “징벌적 손해배상 제도가 사실상 작동하지 않고 있는 현실은 대규모 유출 사고를 막는 데 한계가 있다”며 “기업의 책임이 명백한 경우 제도가 실효성 있게 작동할 수 있도록 개선 방안을 검토하라”고 밝혔다. 아울러 강 실장은 과학기술정보통신부 등에 “근본적인 제도 보완, 현장 점검 체계 재정비, 기업 보안 역량 강화 지원책 등을 신속히 보고해 달라”고도 지시했다. 국회는 쿠팡 및 유관 기관 관계자들을 출석시켜 긴급 현안 질의를 진행한다. 2일에는 국회 과학기술정보방송통신위원회에서, 3일에는 정무위원회에서 각각 현안 질의를 한다. 경찰도 관련 수사를 진행 중이다. 서울경찰청 관계자는 이날 “쿠팡 측으로부터 서버 로그 기록을 제출받아서 분석 중”이라며 “정보 유출 등으로 협박하는 내용이 담긴 이메일 계정 2개를 추적하고 있다”고 밝혔다. 경찰은 피의자의 국적과 함께 정보 유출 당사자가 협박성 이메일을 보낸 사람과 동일인인지 등을 파악하고 있다. 경찰 관계자는 “피의자를 특정하기 위한 수사를 진행 중”이라며 “IP 추적을 위한 해외 공조도 벌이고 있다”고 설명했다. 쿠팡은 지난달 18일 개인정보보호위원회 등에 고객 4500여명의 개인정보가 유출됐다며 신고했고, 이후 같은 달 25일 정보통신망 침입 혐의로 고소장을 제출했다. 쿠팡 측은 협박 메일이 발송된 지 이틀이 지나서야 대응에 나섰다. 경찰은 지난달 28일 쿠팡 측 관계자를 불러 조사했다. 쿠팡이 회사 외형을 키우는 데 몰두한 나머지 정보보호에는 무감각했다는 비판이 거세지고 있다. 2023년부터 매년 10조원가량 매출이 뛰며 급성장해 오는 동안 정보보호 투자 비중은 반대로 감소해서다. 2010년 출범한 쿠팡이 로켓배송에 나선 것은 2014년이었다. 2012년 이후 규제에 묶인 대형마트의 빈자리를 채우기 시작하면서 급격히 몸집을 불렸다. 쿠팡은 2023년 매출 31조 8298억원을 기록하며 이마트(연결 기준 매출 29조 4722억원)를 처음 넘어섰다. 지난해 매출 41조 2901억원을 올렸고 올해에는 50조원 달성도 가능하다는 예측이 나왔다. 반면 최근 4년간 쿠팡의 정보기술(IT) 투자 대비 정보보호 투자 비중은 꾸준히 하락했다. KISA 공시에 따르면 쿠팡은 전체 IT 부문에 1조 9171억원을 투자했으며 이 가운데 정보보호 부문에 투입한 금액은 890억원으로 전체의 4.6%에 그쳤다. 전체 정보보호 투자 공시 기업 773곳의 평균(6.28%)보다 낮은 수준이다. 쿠팡의 지난해 매출 대비 정보보호 부문 투자액은 0.2%로 같은 기간 카카오·SK텔레콤(0.7%), 네이버·KT(0.4%)보다 저조했다. 숱한 논란에도 쿠팡의 사업이 순항한 건 정치권 및 정부 출신 인사를 대거 영입해 온 점과 무관하지 않다. 올해 쿠팡 또는 그 계열사로 이직하기 위해 취업 심사를 받은 4급 보좌관은 총 9명이었다. 정부 출신 중 4급 이상 등 취업 심사 대상 퇴직자 9명이 올해 쿠팡이나 그 계열사에 취직했다.

쿠팡에서 국민 4명 중 3명에 해당하는 대규모 정보 유출 사고가 발생한 것을 두고 회사 외형을 키우는 데 몰두한 나머지 정보보호에는 무감각했다는 비판이 거세지고 있다. 2023년부터 매년 10조원가량 매출이 뛰며 급속 성장을 해오는 동안 정보보호 투자 비중은 반대로 감소한 것으로 나타났다. 2010년 파격적인 할인 가격에 상품을 파는 ‘소셜커머스’로 출발했던 쿠팡이 로켓배송에 나선 것은 2014년이었다. 2012년 전통시장 활성화와 소상공인 보호라는 목적으로 개정된 유통산업발전법이 시행된 후였다. 개정법에 따라 대형 마트는 월 2회의 의무휴업일을 두고 밤 12시부터 오전 10시까지 영업을 할 수 없게 됐다. 점포 영업뿐 아니라 점포를 활용해 물건을 배송하는 새벽 배송에도 대형 마트가 나서지 못했던 이유다. 대형 마트가 규제를 받는 사이 빈자리를 쿠팡이 채우기 시작하면서 급속한 성장을 이뤘다. 지난 10년간 6조 2000억원을 들여 전국에 100여개의 물류 인프라를 구축했다. 쿠팡은 2023년 매출 31조 8298억원을 기록하며 이마트(연결 기준 매출 29조 4722억원)를 처음 넘어섰다. 지난해엔 매출 41조 2901억원을 기록했고 올해는 50조원 달성도 가능하단 예측이 나왔다. 반면 최근 4년간 쿠팡의 정보기술(IT) 투자 대비 정보보호 투자 비중은 꾸준히 하락했다. 한국인터넷진흥원(KISA)의 올해 공시에 따르면 쿠팡은 전체 IT 부문에 1조 9171억원을 투자했으며, 이 가운데 정보보호 부문에 투입한 금액은 890억원으로 전체의 4.6%에 그쳤다. 전체 정보보호 투자 공시 기업 773곳의 평균(6.28%)보다 낮은 수준이다. 정보보호 투자 비중을 연도별로 보면 2022년 7.1%(535억원), 2023년 6.9%(639억원), 지난해 5.6%(660억원)로 해마다 감소했다. 절대 규모만 놓고 보면 삼성전자, KT에 이어 세 번째로 많은 수준이지만 전체 IT 투자 증가 속도를 따라가지 못해 비중이 떨어진 셈이다. 매출 대비로 정보보호 투자 비중은 더 낮다. 쿠팡의 지난해 매출 대비 정보보호 부문 투자액은 0.2%로 같은 기간 카카오·SK텔레콤(0.7%), 네이버· KT(0.4%)보다 저조했다. 이를 두고 업계에선 “보안 투자에 상대적으로 소홀했던 것 아니냐”는 지적이 제기된다. 시장 지배자로 성장한 쿠팡은 구설에도 많이 올랐다. 지난해 검색 순위와 상품 후기를 조작했단 혐의로 공정거래위원회로부터 유통업계 사상 최대인 1682억원의 과징금을 부과받았다. 올해 국회 국정감사에선 물류 자회사인 쿠팡풀필먼트서비스의 퇴직금 미지급 사건과 관련해 검찰 내에서 불기소 압력이 있었단 의혹이 제기됐다. 최근엔 쿠팡이츠의 불공정한 약관에 대해서 공정위가 시정 조치를 내리기도 했다. 숱한 논란에도 쿠팡의 사업이 순항한 건 정치권과 정부 출신 인사를 대거 영입해온 것과 무관하지 않다. 올해 쿠팡 또는 그 계열사로 이직하기 위해 취업 심사를 받은 4급 보좌관은 총 9명이었다. 정부 출신 중에서 4급 이상 등 취업 심사 대상 퇴직자 9명이 올해 쿠팡이나 그 계열사에 취직했다. 일각에서는 쿠팡이 대관과 로비에만 집중하고 정작 보안이나 내부 근로환경 개선에는 소극적이었다는 비판이 제기된다. 한편 국회는 쿠팡 및 유관 기관 관계자들을 출석시켜 긴급 현안 질의를 진행한다. 2일에는 국회 과학기술정보방송통신위원회에서, 3일에는 정무위원회에서 각각 현안 질의를 한다.

쿠팡의 대규모 개인정보 유출로 보이스피싱·스미싱(문자로 악성 링크 클릭을 유도하는 피싱 공격) 등 2차 범죄에 대한 경계가 필요한 상황이다. 30일 한국인터넷진흥원(KISA)과 전문가 조언 등을 토대로 상황별 행동 요령을 정리했다. Q. 문자메시지로 ‘피해 보상 신청’ 혹은 ‘환불’ 링크를 받았다면. A. 정보 유출 시 가장 흔한 2차 피해는 피해 보상 신청이나 환불 등을 빌미로 악성 링크를 보내는 스미싱이다. 출처가 불분명한 사이트 주소(링크)가 포함된 문자메시지를 받은 경우 클릭하지 말고 즉시 삭제해야 한다. 카카오톡 채널 ‘보호나라’를 활용하면 스미싱·피싱 의심 사이트를 조회하고 신고할 수 있다. 유출 사실 통보나 보상·환불 절차 안내를 가장해 전화로 원격 제어 앱을 설치하라고 하는 식의 보이스피싱 수법도 조심해야 한다. 기관이나 금융회사는 전화나 문자로 앱 설치나 사이트 접속을 요구하지 않는다. Q. 모바일 결제 피해를 막으려면. A. 유출된 개인정보가 모바일 결제나 휴대전화 개통·계좌 개설에 무단으로 사용될 위험도 있다. 이동통신사 고객센터를 통해 소액결제 내역을 수시로 확인하고 이상이 있으면 경찰에 신고해야 한다. 아울러 명의도용 방지 서비스나 비대면 계좌 개설 안심 차단 서비스 등을 신청하면 추가 피해를 줄일 수 있다. Q. 해외 직구를 자주 한다면. A. 쿠팡이 유출된 개인정보 항목에 ‘일부 주문 정보’가 있었다고 밝히면서 관세청 전자통관시스템을 통해 개인통관고유부호를 재발급받는 소비자들도 있다. 누군가 자신의 고유부호를 이용해 해외에서 사기 주문을 할 수 있다는 우려 때문이다. 개인통관고유부호는 세관 통관절차를 위해 사용되는 개인 식별번호로, 한 사람당 하나의 부호가 부여된다. 쿠팡 측은 “현재까지 확인된 사항에 따르면 개인통관부호는 노출되지 않았다”고 밝혔다. Q. 내 정보가 다크웹에서 유통되는지 확인하려면. A. 개인정보보호위원회가 운영하는 ‘개인정보포털’을 이용하면 ‘다크웹’ 등 음성화 사이트에서 자신의 정보가 유통되고 있는지 확인할 수 있다.

3370만명 고객정보 무단 노출 확인중국 국적 전 직원이 정보 빼돌린 듯카드·통신 사고 이어 불안감 확산 국내 1위 온라인 유통 기업인 쿠팡에서 우리나라 국민의 절반이 넘는 약 3370만명의 고객 계정 정보가 무단으로 노출되는 초유의 사고가 벌어지면서 국민 불안이 소위 포비아(공포증) 수준으로 치닫고 있다. 역대 최대 규모의 고객 정보 유출인 데다 쿠팡이 5개월간 지속된 개인정보 탈취 시도조차 인지하지 못했기 때문이다. 이번 사고가 중국 국적의 내부자 소행이라는 언급도 나온다. 전문가들은 이 사태가 스미싱(문자로 악성 링크 클릭을 유도하는 피싱 공격)이나 보이스피싱 등 추가 피해로 연결될 가능성을 경고했다. 쿠팡이 고객 계정의 이름, 이메일, 배송지 주소록(입력한 이름·전화번호·주소), 일부 주문 정보가 노출된 사실을 지난 29일 확인한 가운데 박대준 쿠팡 대표는 30일 정부서울청사에서 “국민 여러분께 불편을 끼쳐 드려 진심으로 사과드린다”며 첫 사과에 나섰다. 쿠팡은 지난 18일 약 4500개 계정의 개인정보가 노출된 사실을 인지했다고 밝혔지만 후속 조사에서 7500배나 많은 3370만개가 유출된 것으로 확인됐다. 쿠팡 구매 이력이 있는 고객 수(2470만명)보다 900만명이나 많고, 역대 최대 과징금인 1348억원 처분을 받은 SK텔레콤의 개인정보 유출 규모(2324만명)도 크게 웃돈다. 쿠팡은 지난 6월 24일부터 5개월 동안 지속된 개인정보 탈취 시도를 전혀 파악하지 못했다는 점에서도 책임을 피하기 어려워 보인다. 여기에 중국 국적의 전 쿠팡 직원이 고객 정보를 유출했다는 의혹도 제기됐다.  경찰은 쿠팡으로부터 서버 기록 등 이번 사건과 관련한 자료를 임의 제출받아 분석 중이다. 경찰은 “모든 가능성을 열어 두고 절차에 따라 수사하고 있다”고 전했다. 다만 쿠팡 측은 내부 직원 소행 가능성에 대해선 확인이 어렵다는 입장이다. 쿠팡은 이날 오후 웹사이트와 애플리케이션에 게재한 사과문에서 “결제 정보, 신용카드 번호, 로그인 정보는 노출되지 않아 고객이 계정 관련해 조치를 취할 필요는 없다”고 밝혔다. 하지만 전문가들은 이번 사고가 스미싱이나 보이스피싱 등 추가 피해로 연결될 가능성을 경고한다. 한국인터넷진흥원(KISA)은 ‘피해 보상’이나 ‘피해 사실 조회’, ‘환불’ 등의 키워드로 피해 기업(쿠팡)을 사칭하는 스미싱이나 보이스피싱 등에 주의할 것을 권고했다. 김기형 아주대 사이버보안학과 교수는 “최근 주문 건에 문제가 있다며 주소나 연락처를 다시 확인하라는 식의 피싱이 대표적”이라면서 “문자, 전화, 카카오톡 등 어떤 채널에서도 모르는 링크는 클릭하지 않는 것이 중요하다”고 말했다. 정보 유출 경로가 오리무중인 상황에서 피해를 본 소비자들은 분통을 터뜨리고 있다. 빠른 배송 때문에 쿠팡을 애용했다는 구정순(62)씨는 이번 사태가 터지자마자 쿠팡을 탈퇴했다. 구씨는 “회사가 정확한 진단이나 대책을 내놓지 못해 정보가 유출된 피해자만 발을 동동 구르고 있다”며 “‘전화번호는 노출됐는데 카드 정보와 비밀번호는 노출되지 않았다’는 회사의 설명을 어떻게 믿겠느냐”고 말했다. 일부 고객 사이에서는 공동 현관 비밀번호도 털렸을 수 있다는 불안감이 높은 상황이다. 쿠팡의 경우 음식이나 택배 배송 요청란에 아파트 공동 현관 비밀번호를 쓰는 경우가 많고 이를 배송 정보로 관리하기 때문이다.

쿠팡에서 국내 인구 4분의 3에 이르는 약 3370만개의 고객 계정 정보가 유출되는 사고가 발생하자, 앞선 SK텔레콤 유심(USIM·가입자 식별 모듈) 정보 노출과 KT의 무단 소액결제 및 해킹 사태 때보다 피해가 훨씬 심각할 수 있다는 우려가 나왔다. 염흥열 순천향대 정보보호학과 교수는 30일 서울신문과의 통화에서 “통신 3사는 시장을 나눠갖기에 한 기업에서 고객 정보 유출 사고가 발생해도 전체 국민이 피해를 보는 건 아니지만 쿠팡은 국민 대다수가 이용하고 있어서 정보 유출 사고로서는 역대급일 것”이라고 설명했다. 염 교수는 특히 2차, 3차 피해 가능성이 통신사의 개인정보 유출 사고보다 심각하다고 설명했다. SK텔레콤의 해킹 사건은 탈취된 유심 정보로 복제폰을 만드는데 악용될 가능성이 있어 유심을 교체하는 조치가 필요했다면, 쿠팡에서 유출된 정보의 경우 온라인 범죄는 물론 실제 범죄에도 대비해야 한다는 것이다. 염 교수는 “전화번호와 주소가 같은 데이터베이스 안에 매핑돼있어 전화번호만 알면 주소를 알 수 있다. 주소에 접근해 물리적 범행을 할 가능성도 존재하기에 추가 범행을 막을 조치가 필요하다”고 했다. 김명주 서울여대 지능정보보호학부 교수는 “국내 소비자가 알리바바나 테무 등 중국 이커머스를 사용하지 않고 쿠팡을 택한 가장 큰 이유가 중국에 개인정보가 넘어갈까봐였는데, 이번 사태로 개인이 식별되는 정보가 넘어가게 될 경우 중국 이커머스가 고객 타겟팅을 더 정교화하는데 쓰일 수 있다”고 말했다. 김 교수는 “다크웹을 이용해 다른 사이트에서 유출된 정보와 결합하면 새로운 범죄 가능성이 커진다”면서 “3차 피해는 쿠팡 때문인지 특정할 수도 없고 피해 규모를 규명하기도 어려워 소비자 피해가 더 커질 수 있다”고 경고했다. 특히 배송지 정보는 유출된 고객 계정 수인 3370만개보다 더 많이 유출됐을 가능성도 제기된다. 쿠팡에서는 주문을 하고 본인이 수령하는 경우뿐 아니라 지인·가족에게 보내기 위해 1인당 2~3개의 배송지 정보를 입력했을 가능성이 높기 때문이다. 이 경우 정보가 유출되고도 통지를 받지 못한 사람이 상당할 것이란 전망도 나온다. 전문가들은 피해를 본 소비자라면 보이스피싱, 스미싱 등에 유의할 것을 당부했다. 한국인터넷진흥원(KISA)은 출처가 불분명한 사이트 주소(링크)가 포함된 문자 메시지를 받은 경우 클릭하지 말고 바로 삭제하라고 권고한다. 의심되는 사이트 주소는 정상 사이트와 일치하는지 확인하는 편이 좋다. 카카오톡 채널 ‘보호나라’를 활용해 스미싱·피싱 사이트 여부를 확인하고 신고할 수 있다. 번호 도용 가능성이 의심된다면 이동통신사에서 제공하는 ‘번호도용문자 차단서비스’를 신청할 수 있다. 개인정보보호위원회가 운영하는 ‘개인정보포털’은 개인정보의 다크웹 유출 여부, 분쟁 조정 등의 서비스를 제공한다.

최근 해킹으로 611만여명의 고객 및 임직원의 개인정보가 유출된 국내 대형 게임사 넷마블이 이른바 3N(넥슨·넷마블·엔씨소프트)으로 불리는 게임업체 중 정보보호 투자 규모는 가장 적은 것으로 나타났다. 28일 한국인터넷진흥원(KISA)의 ‘정보보호 공시현황’에 따르면 넷마블이 지난해 지출한 정보보호 부문 투자액은 약 57억원으로 전체 정보기술 부문 투자액 1100억원의 5.2% 수준이다. 엔씨소프트는 182억원, 넥슨코리아는 228억원을 보안에 투자했고, 국내 상장 게임사 중 시가총액 1위인 크래프톤은 97억원을 투자했다. 정보보호 지출 규모도 최근 점점 줄인 것으로 나타났다. 넷마블은 2021년 정보보호 분야에 73억원을 썼지만, 2022년엔 66억원, 2023년 52억원으로 줄었다. 반면 엔씨소프트는 2022년 이후 게임 매출 감소에도 불구하고 2021년 162억원에서 지난해 투자 규모를 약 12% 늘렸다. 같은 기간 넥슨코리아는 67%, 크래프톤은 138% 늘렸다. 넷마블은 지난 22일 바둑·장기 등 PC 게임 포털사이트에서 발생한 고객 및 일부 임직원 정보 유출 건에 대한 자체 조사 결과, 휴면 계정을 포함해 611만여명의 회원 정보가 유출된 것으로 집계됐다고 전날 밝혔다. 주민등록번호와 같은 고유식별정보나 민감정보 유출은 없었지만 이름과 생년월일, 암호화된 비밀번호 등이 유출된 것으로 조사됐다. 또 휴면 처리된 채 남아 있던 ID와 비밀번호 3100만여개, 2015년 이전 PC방 가맹점 6만 6000여곳의 사업주 이름과 이메일 정보 등이 함께 유출됐다고 밝혔다.

가상자산 거래소 업비트가 27일 새벽 약 445억 원 규모의 디지털 자산 해킹 피해를 입었다. 이 사고는 두나무와 네이버파이낸셜의 합병 기자간담회가 열린 당일에 발생했다. 새벽 4시 42분, ‘비정상 이체’ 포착…540억→445억 정정 업비트 운영사 두나무는 즉시 솔라나 네트워크 기반 입출금 서비스를 전면 중단하고 긴급 보안 점검에 들어갔다. 두나무는 “이날 오전 4시 42분쯤 내부에서 지정하지 않은 외부 지갑 주소로 약 540억 원 상당의 솔라나 네트워크 계열 자산 일부가 전송된 정황을 확인했다”며 “회원 자산 피해는 없도록 전액 업비트 자산으로 충당할 예정”이라고 밝혔다. 이후 오후 3시쯤 해킹 규모를 약 445억 원으로 정정하고 “비정상 출금 시점의 시세를 기준으로 환산했다”고 설명했다. 유출된 자산 20여 종…솔라나 생태계 전반 타격 이어 “핫월렛(Hot Wallet·인터넷 연결 지갑)에서 해킹이 발생했으며, 자산이 분리 보관되는 콜드월렛(Cold Wallet·오프라인 지갑)은 어떠한 침해나 탈취도 없었다”고 덧붙였다. 유출된 자산은 ▲솔라나(SOL) ▲유에스디코인(USDC) ▲렌더(RENDER) ▲웜홀(W) ▲피스네트워크(PYTH) ▲지토(JTO) ▲주피터(JUP) ▲봉크(BONK) ▲아이오넷(IO) ▲드리프트(DRIFT) ▲레이디움(RAY) ▲오르카(ORCA) 등 주요 토큰을 비롯해 ▲액세스프로토콜(ACS) ▲매직에덴(ME) ▲오피셜트럼프(TRUMP) ▲두들즈(DOOD) ▲펏지펭귄(PENGU) ▲솔레이어(LAYER) ▲후마파이낸스(HUMA) ▲소닉SVM(SONIC) 등 신규 프로젝트 토큰까지 포함됐다. 두나무는 해킹 직후 모든 자산을 콜드월렛으로 옮기고 블록체인(온체인) 상에서 자산 이동을 차단하는 조치를 취했다. 약 23억 원 규모의 솔레이어(LAYER) 토큰은 동결에 성공했으며, 나머지 자산도 추적 중이다. 금융당국·KISA 동시 대응…FIU 제재 여파 속 또 악재보안업계는 “솔라나 네트워크 계열 자산을 관리하던 직원 PC가 악성코드에 감염됐을 가능성”을 주요 원인으로 보고 있다. 금융감독원과 한국인터넷진흥원(KISA)은 해킹 사실 통보 직후 현장 점검에 착수했다. 금융당국 관계자는 “사태 파악을 위해 현장 점검에 바로 돌입했다”며 “피해 경위와 시스템 취약점을 조사 중”이라고 밝혔다. 한편 해외 커뮤니티에서도 반응이 이어졌다. 암호화폐 커뮤니티 레딧닷컴에서는 “업비트가 또 털렸다니 믿기 어렵다”는 반응부터 “솔라나 지갑 결함 가능성이 크다”, “중앙화 거래소(CeFi)가 더 안전하다는 말은 농담일 뿐”이라는 비판까지 다양한 의견이 쏟아졌다. 일부는 “직원 내부 해킹 가능성도 배제할 수 없다”고 지적했다. 이번 사고는 업비트에서 6년 만에 발생한 대규모 해킹이다. 지난 2019년 11월 27일에도 약 580억 원 규모의 이더리움(34만 2000ETH)이 익명 지갑으로 유출됐으며, 당시 북한 해커조직 ‘라자루스’와 ‘안다리엘’이 배후로 지목됐다. ‘합병 잔칫날’ 불참한 김형년 부회장 이달 초 업비트는 금융정보분석원(FIU)으로부터 고객확인(KYC) 및 자금세탁방지(AML) 의무 위반으로 352억 원의 과징금과 신규 고객 자산이체 3개월 제한 제재를 받았다. FIU는 당시 현장 점검에서 KYC 미이행 사례 약 530만 건과 의심거래 보고 누락 15건을 적발했다고 밝혔다. 이날 경기 성남시 분당구 네이버 1784 사옥에서 열린 두나무-네이버파이낸셜 합병 기자간담회에는 이해진 네이버 의장, 송치형 두나무 회장, 최수연 네이버 대표, 오경석 두나무 대표, 박상진 네이버파이낸셜 대표 등 양사 고위 인사가 총출동했지만 김형년 두나무 부회장은 불참했다. “전액 보상, 순차적 서비스 재개”최근 ‘디콘(D-CON) 2025’ 콘퍼런스에서 대외 행보를 재개한 김 부회장이 돌연 자리를 비운 이유를 두고, 업계는 “해킹 대응 컨트롤타워 역할을 맡은 것 아니냐”는 관측을 제기했다. 두나무는 “행사 전 해킹 정황을 인지했으나 상황 파악 후 공지하는 과정에서 발표가 늦어졌을 뿐 간담회 일정과는 무관하다”고 설명했다. 두나무는 “회원 자산 피해는 없으며, 회사 자산으로 전액 보상할 계획”이라며 “안전성이 확보되는 대로 입출금 서비스를 차례대로 재개할 예정”이라고 밝혔다. 이번 피해액은 두나무의 3분기 순이익(2390억 원)의 약 18.6%에 해당한다.

가상자산 거래소 업비트가 27일 새벽 약 445억 원 규모의 디지털 자산 해킹 피해를 입었다. 이 사고는 두나무와 네이버파이낸셜의 합병 기자간담회가 열린 당일에 발생했다. 새벽 4시 42분, ‘비정상 이체’ 포착…540억→445억 정정 업비트 운영사 두나무는 즉시 솔라나 네트워크 기반 입출금 서비스를 전면 중단하고 긴급 보안 점검에 들어갔다. 두나무는 “이날 오전 4시 42분쯤 내부에서 지정하지 않은 외부 지갑 주소로 약 540억 원 상당의 솔라나 네트워크 계열 자산 일부가 전송된 정황을 확인했다”며 “회원 자산 피해는 없도록 전액 업비트 자산으로 충당할 예정”이라고 밝혔다. 이후 오후 3시쯤 해킹 규모를 약 445억 원으로 정정하고 “비정상 출금 시점의 시세를 기준으로 환산했다”고 설명했다. 유출된 자산 20여 종…솔라나 생태계 전반 타격 이어 “핫월렛(Hot Wallet·인터넷 연결 지갑)에서 해킹이 발생했으며, 자산이 분리 보관되는 콜드월렛(Cold Wallet·오프라인 지갑)은 어떠한 침해나 탈취도 없었다”고 덧붙였다. 유출된 자산은 ▲솔라나(SOL) ▲유에스디코인(USDC) ▲렌더(RENDER) ▲웜홀(W) ▲피스네트워크(PYTH) ▲지토(JTO) ▲주피터(JUP) ▲봉크(BONK) ▲아이오넷(IO) ▲드리프트(DRIFT) ▲레이디움(RAY) ▲오르카(ORCA) 등 주요 토큰을 비롯해 ▲액세스프로토콜(ACS) ▲매직에덴(ME) ▲오피셜트럼프(TRUMP) ▲두들즈(DOOD) ▲펏지펭귄(PENGU) ▲솔레이어(LAYER) ▲후마파이낸스(HUMA) ▲소닉SVM(SONIC) 등 신규 프로젝트 토큰까지 포함됐다. 두나무는 해킹 직후 모든 자산을 콜드월렛으로 옮기고 블록체인(온체인) 상에서 자산 이동을 차단하는 조치를 취했다. 약 23억 원 규모의 솔레이어(LAYER) 토큰은 동결에 성공했으며, 나머지 자산도 추적 중이다. 금융당국·KISA 동시 대응…FIU 제재 여파 속 또 악재보안업계는 “솔라나 네트워크 계열 자산을 관리하던 직원 PC가 악성코드에 감염됐을 가능성”을 주요 원인으로 보고 있다. 금융감독원과 한국인터넷진흥원(KISA)은 해킹 사실 통보 직후 현장 점검에 착수했다. 금융당국 관계자는 “사태 파악을 위해 현장 점검에 바로 돌입했다”며 “피해 경위와 시스템 취약점을 조사 중”이라고 밝혔다. 한편 해외 커뮤니티에서도 반응이 이어졌다. 암호화폐 커뮤니티 레딧닷컴에서는 “업비트가 또 털렸다니 믿기 어렵다”는 반응부터 “솔라나 지갑 결함 가능성이 크다”, “중앙화 거래소(CeFi)가 더 안전하다는 말은 농담일 뿐”이라는 비판까지 다양한 의견이 쏟아졌다. 일부는 “직원 내부 해킹 가능성도 배제할 수 없다”고 지적했다. 이번 사고는 업비트에서 6년 만에 발생한 대규모 해킹이다. 지난 2019년 11월 27일에도 약 580억 원 규모의 이더리움(34만 2000ETH)이 익명 지갑으로 유출됐으며, 당시 북한 해커조직 ‘라자루스’와 ‘안다리엘’이 배후로 지목됐다. ‘합병 잔칫날’ 불참한 김형년 부회장 이달 초 업비트는 금융정보분석원(FIU)으로부터 고객확인(KYC) 및 자금세탁방지(AML) 의무 위반으로 352억 원의 과징금과 신규 고객 자산이체 3개월 제한 제재를 받았다. FIU는 당시 현장 점검에서 KYC 미이행 사례 약 530만 건과 의심거래 보고 누락 15건을 적발했다고 밝혔다. 이날 경기 성남시 분당구 네이버 1784 사옥에서 열린 두나무-네이버파이낸셜 합병 기자간담회에는 이해진 네이버 의장, 송치형 두나무 회장, 최수연 네이버 대표, 오경석 두나무 대표, 박상진 네이버파이낸셜 대표 등 양사 고위 인사가 총출동했지만 김형년 두나무 부회장은 불참했다. “전액 보상, 순차적 서비스 재개”최근 ‘디콘(D-CON) 2025’ 콘퍼런스에서 대외 행보를 재개한 김 부회장이 돌연 자리를 비운 이유를 두고, 업계는 “해킹 대응 컨트롤타워 역할을 맡은 것 아니냐”는 관측을 제기했다. 두나무는 “행사 전 해킹 정황을 인지했으나 상황 파악 후 공지하는 과정에서 발표가 늦어졌을 뿐 간담회 일정과는 무관하다”고 설명했다. 두나무는 “회원 자산 피해는 없으며, 회사 자산으로 전액 보상할 계획”이라며 “안전성이 확보되는 대로 입출금 서비스를 차례대로 재개할 예정”이라고 밝혔다. 이번 피해액은 두나무의 3분기 순이익(2390억 원)의 약 18.6%에 해당한다.

올해 상반기 국민 1인당 휴대전화 문자스팸이 한 달에 약 3통꼴로 수신돼 1년 전의 4분의 1 수준으로 급감한 것으로 나타났다. 최근 5년 새 가장 적은 수준이다. 방송미디어통신위원회와 한국인터넷진흥원(KISA)은 7일 이런 내용의 ‘2025년 상반기 스팸 유통현황’을 발표했다. 방미통위와 KISA는 전국 만 12~69세 휴대전화·이메일 이용자 3000명을 대상으로 실제 수신한 문자·음성·이메일 스팸량을 조사했다. 올 상반기 1인당 월평균 문자스팸 수신량은 3.04통으로 지난해 상반기(11.59통)보다 74% 감소했다. 이는 최근 5년 사이 반기별 최저 수치다. 휴대전화 문자와 음성, 이메일을 모두 합한 스팸 수신량은 1인당 월평균 7.91통이었다. 이 역시 지난해 상반기보다는 51.6%, 지난해 하반기보다는 31.8% 각각 줄어든 수치다. 다만 음성 스팸은 올해 상반기 월평균 2.13통으로 39.2% 증가했다. 문자스팸은 도박(로또) 1.22통, 금융(투자 유도) 0.61통 순이었고, 음성스팸은 금융(투자 유도)·불법 대출이 각각 0.61통, 통신 가입이 0.30통이었다. 전체 문자스팸 신고·탐지 결과 건수는 3193만건으로 1억 7957만건 줄었다. 음성·이메일을 포함한 전체 스팸 신고·탐지 건수는 3883만건으로 82.9% 감소했다. 정부는 부적격 사업자의 대량 문자 발송 진입을 제한하고, 문제 사업자를 퇴출하기 위한 법령 개정을 추진 중이다. 아울러 전송 자격 인증제 도입을 위한 전기통신사업법 시행령 개정과, 불법 스팸으로 얻은 부당이익 환수를 위한 정보통신망법 개정안도 조속히 마무리할 계획이다.

KT가 ‘BPF도어’(BPFDoor)라는 악성코드에 서버가 감염된 사실을 지난해 3월부터 파악하고도 당국에 신고하지 않은 채 1년 6개월가량 은폐한 것으로 드러났다. BPF도어는 올해 초 SK텔레콤 해킹 사태 때도 피해를 준 은닉성이 강한 악성코드다. KT 해킹 사고를 조사 중인 민관 합동 조사단은 6일 중간 조사결과 브리핑에서 “서버 포렌식 분석 결과 KT는 지난해 3~7월 BPF도어, 웹셸 등 악성코드에 감염된 서버 43대를 발견하고도 당국에 신고하지 않은 사실을 확인했다”고 밝혔다. 앞서 KT는 지난 9월 18일 한국인터넷진흥원(KISA)에 해킹 사실을 신고했다. 과학기술정보통신부는 해킹 은폐 사실이 고객 위약금 면제 사유에 해당하는지를 검토해 발표하기로 했다. 다만 SKT처럼 가입자 정보가 저장된 HSS 서버의 피해 여부와 개인정보 유출 규모는 아직 파악되지 않았다. 최우혁 조사단장은 “휴대전화 불법 복제에 필요한 유심키 유출은 확인되지 않았다”고 밝혔다. KT는 “조사 결과를 엄중하게 받아들인다”면서 “서버 침해 사실을 신고하지 않았던 것과 지연 신고한 데 대해 송구하다”고 밝혔다.

KT가 ‘BPF도어’(BPFDoor)라는 악성코드에 서버가 감염된 사실을 지난해 3월부터 파악하고도 당국에 신고하지 않은 채 1년 6개월가량 은폐한 것으로 드러났다. BPF도어는 올해 초 SK텔레콤 해킹 사태 때도 피해를 준 은닉성이 강한 악성코드다. KT 해킹 사고를 조사 중인 민관 합동 조사단은 6일 중간 조사결과 브리핑에서 “서버 포렌식 분석 결과 KT는 지난해 3~7월 BPF도어, 웹셸 등 악성코드에 감염된 서버 43대를 발견하고도 당국에 신고하지 않은 사실을 확인했다”고 밝혔다. 앞서 KT는 지난 9월 18일 한국인터넷진흥원(KISA)에 해킹 사실을 신고했다. 과학기술정보통신부는 해킹 은폐 사실이 고객 위약금 면제 사유에 해당하는지를 검토해 발표하기로 했다. 다만 SKT처럼 가입자 정보가 저장된 HSS 서버의 피해 여부와 개인정보 유출 규모는 아직 파악되지 않았다. 최우혁 조사단장은 “휴대전화 불법 복제에 필요한 유심키 유출은 확인되지 않았다”고 밝혔다. 과기정통부는 KT 유심 교체 과정에서 수급 대란이 일어나 가입자에게 피해가 발생하면 SKT처럼 영업 중단 조치를 내릴 방침이다. KT는 “조사 결과를 엄중하게 받아들인다”면서 “서버 침해 사실을 신고하지 않았던 것과 지연 신고한 데 대해 송구하다”고 밝혔다.

국내 대표 보안 기업인 SK쉴더스의 해킹 사고로 인해 SK텔레콤을 포함한 민간 기업 120곳과 다수의 공공기관 정보가 외부로 유출된 것으로 파악됐다. 27일 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원실이 과학기술정보통신부로부터 제출받은 ‘SK쉴더스 침해사고 대응 현황’에 따르면, 해커는 총 15.1기가바이트(GB) 분량의 자료를 빼돌린 것으로 확인됐다. 유출된 정보에는 주요 금융기관 15곳의 정보도 포함된 것으로 나타났다. 당초 다크웹 기반 해커 그룹 ‘블랙 슈란탁’은 24GB의 데이터를 해킹했다고 주장했으나, 당국이 파악한 유출 규모는 이보다 적었다. 이번 침해 사고의 원인은 SK쉴더스가 운영하던 해커 유인 시스템 ‘허니팟’(Honeypot)의 관리 부실에서 비롯했다. 해당 시스템에 내부 직원 2명의 개인 메일 계정이 자동 로그인 상태로 연동돼 있었다. 해커는 이 취약점을 이용해 직원 메일에 저장된 고객사 정보를 탈취, 다크웹에 게시한 것으로 조사됐다. SK쉴더스는 임직원 약 7000명, 매출액 2조 47억원 규모의 대형 보안 기업으로, 공공 230개, 금융 185개, 민간기업 786개 등 1200여개의 고객사를 두고 있다. 유출된 자료에는 고객사의 보안관제시스템 구축 자료, 솔루션 검증 자료, 그리고 시범 적용 테스트 결과 등이 담겨 있다. 고객사의 보안 시스템 허점을 노린 2차 피해 발생 우려가 커지고 있다. 사고 인지 후 SK쉴더스는 지난 18일 과기정통부 산하 한국인터넷진흥원(KISA)에 신고했다. 현재 과기정통부는 SK쉴더스에 침해 사고 원인 분석을 위한 자료 보전 및 제출을 요구하고 현장 조사를 진행 중이다. 개인정보보호위원회도 조사에 착수했다.

LG유플러스가 서버 해킹 정황을 사이버 보안 당국에 공식 신고했다. 이로써 SK텔레콤, KT에 이어 LG유플러스마저 서버 해킹 피해를 인정하며, 올해 국내 이동통신 3사가 모두 사이버 침해 피해를 당국에 공식 신고하는 상황이 벌어졌다. LG유플러스는 23일 한국인터넷진흥원(KISA)에 서버 해킹 피해 관련 신고서를 제출했다. 이는 지난 21일 국회 과학기술정보방송통신위원회 국정감사에서 홍범식 LG유플러스 대표가 신고 의향을 밝힌 데 따른 조치다. 당시 홍 대표는 “사이버 침해 사실을 확인한 이후에 신고하는 것으로 이해하고 있었는데 여러 혼란과 오해가 발생하고 있어 조금 더 적극적으로 검토할 예정”이라며 KISA에 침해 사실을 신고하겠다는 의사를 밝힌 바 있다. 다만 LG유플러스는 현재까지 자체 조사에서는 침해 사실이 발견되지 않았다는 입장이다. 해킹 정황은 지난 7월 화이트해커의 제보를 통해 처음 알려졌다. 미국 보안 전문 매체 프랙(Phrack) 보도에 따르면 해커 집단이 외주 보안업체 시큐어키 해킹으로 확보한 계정 정보로 LG유플러스 내부망에 침투해 서버 정보 8938대, 계정 4만 2256개, 직원 정보 167명을 빼돌린 것으로 전해졌다. LG유플러스는 지난 8월 자체 점검 후 사이버 침해 정황이 없다고 과기정통부에 보고한 바 있다. 국감에서는 LG유플러스가 초기 해킹 정황 인지 후 계정 관리 시스템(APPM) 서버 OS 업데이트와 서버 폐기 등으로 흔적을 지우려 했다는 비판이 제기되기도 했다. 또 비밀번호 평문 노출, 관리자 페이지 백도어 등 8개의 심각한 보안 취약점이 드러냈다. 당국은 LG유플러스의 공식 신고에 따라 해킹 경로와 실제 피해 규모 확인을 위한 정밀 조사에 착수할 예정이다.

SK텔레콤과 KT에 이어 LG유플러스까지 해킹 피해를 당한 것으로 확인됐다. 23일 통신업계에 따르면 LG유플러스는 이날 한국인터넷진흥원(KISA)에 서버 해킹 피해 관련 신고서를 제출했다. 앞서 KISA는 지난 7월 화이트해커로부터 LG유플러스의 내부자 계정을 관리하는 APPM 서버 해킹이 있었다는 제보를 받고 관련 내용을 LG유플러스에 전달했다. 서버 8938대의 정보와 계정 4만 2256개, 직원 167명의 정보가 유출됐다는 제보로, 미국 보안 전문지 ‘프랙’도 지난 8월 이같은 내용을 보도했다. 이에 LG유플러스는 자체 점검을 벌이고 8월 “사이버 침해 정황이 없다”고 과학기술정보통신부에 통보했다. 그러나 LG유플러스가 지난 7월 31일 계정 관리 서버 1대를 폐기한 것을 둘러싸고 국정감사에서 해킹 흔적을 은폐하려 한 게 아니냐는 의혹이 제기됐다. 이에 대해 LG유플러스는 “시스템 재구축에 따라 1년 전 계획했던 조치로, 사이버 침해와 무관하다”고 밝혔다.