해킹·디도스 공격 등 사이버 침해 범죄가 10년 만에 2배로 늘어난 것으로 나타났다. 한국 사회 특유의 교육열 속에 사교육비는 해마다 증가해 지난해 30조원에 육박했으며, 소득·지역별 격차는 뚜렷했다. 국가데이터처가 26일 발표한 ‘한국의 사회 동향 2025’에 따르면 지난해 해킹 등 사이버 침해 범죄(정보통신망 침해 범죄) 발생 건수는 4526건으로 2023년(4223건) 대비 7.2% 증가했다. 2014년(2291건)과 비교하면 10년 만에 약 2배 수준으로 늘었다. 검거율은 다른 범죄 유형에 비해 상대적으로 낮았다. 사이버 침해 범죄 검거율은 21.8%로, 사이버 성폭력 등 불법콘텐츠 범죄(80.9%)나 피싱·사이버 사기 등 정보통신망 이용 범죄(52.1%)와 큰 격차를 보였다. 사이버 침해 신고도 급증했다. 지난해 신고는 1887건으로 2023년(1277건) 대비 47.8% 늘었다. 민간 기업은 침해 사실을 인지하면 24시간 이내에 한국인터넷진흥원(KISA)이나 과학기술정보통신부에 신고해야 한다. 데이터처 관계자는 “2023년 관련 법 개정으로 정보 공유 조항이 의무화 조항으로 바뀌면서 신고 건수가 크게 늘었다”고 설명했다. 유형별로는 서버 해킹(1057건), 디도스 공격(285건), 랜섬웨어 등 악성코드(229건) 순이었다. 특히 서버 해킹은 2023년(583건) 대비 81.3% 급증했다. 초등생 1인당 사교육비 44만원, 참여율 88%지난해 사교육비 총액은 29조 2000억원으로 집계됐다. 초등학교 사교육비는 2008년 10조4000억원부터 2015년 7조 5000억원까지 줄었다가 지난해 13조 2000억원으로 반등했다. 초등학생 1인당 월평균 사교육비는 44만 2000원, 사교육 참여율은 87.7%였다. 중학교 사교육비는 2009년(6조 3000억원)부터 2016년(4조 8000억원)까지 감소한 뒤 지난해 7조 8000억원 수준까지 반등했다. 고등학교는 2007년(4조 2000억원)에서 지난해(8조 1000억원)까지 계속 늘었으며 특히 2015년 이후 빠르게 늘었다. 1인당 월평균 사교육비는 중학생 49만원, 고등학생은 52만원이다. 사교육 참여율의 경우 중학교와 고등학교 각각 78.0%, 67.3%로 나타났다. 모든 학교급에서 가구소득이 높고 대도시일수록 사교육 참여율과 지출 비중이 컸다.

쿠팡이 개인 정보 유출 사태 수사와 관련 “정부의 지시에 따라 유출자의 완전한 자백을 받아내고, 유출에 사용된 모든 기기를 회수했으며, 유출 고객 정보에 대한 중요한 사실도 확보했다”고 26일 밝혔다. 전날 쿠팡이 기습적으로 자체 조사 결과를 발표한 데 대해 정부가 ‘일방적 주장’이라며 반박하자 이를 재반박한 것이다. 쿠팡은 3370만명의 개인정보 유출에 사용돼 직접 하천에서 회수했다고 밝힌 ‘맥북 에어’ 노트북 사진도 공개했지만, 경찰은 “쿠팡과 협의가 없었다”라고 다시 반박하는 등 ‘진실 공방’으로 흐르는 양상이다. 쿠팡은 이날 보도자료를 통해 “정보 유출자로부터 알게 된 새로운 사실, 진술서, 장비 등을 받은 즉시 정부에 제출했다”면서 이같이 설명했다. 쿠팡은 “조사는 ‘자체 조사’가 아니었고, 정부의 지시에 따라, 몇 주간에 걸쳐 매일 정부와 긴밀히 협력하며 진행한 조사였다”면서 “그러나 정부의 감독 없이 독자적으로 조사했다는 잘못된 주장이 계속 제기되면서 불필요한 불안감이 조성되고 있다”고 주장했다. 이어 “쿠팡은 지난 1일 정부와 만나 전폭적으로 협력하기로 약속했다”며 “2일에는 정부로부터 유출 사고에 대한 공식적인 공문을 받았고, 이후 몇 주간 쿠팡은 거의 매일 정부와 협력해 유출자를 추적, 접촉하며 소통해왔다”고 설명했다. 그러면서 “정부는 9일 쿠팡이 유출자와 접촉할 것을 제안했고, 14일에는 정보 유출자를 처음 만났으며, 이 사실을 정부에 보고했다”고 덧붙였다. 쿠팡은 또 “16일에는 정부의 지시에 따라 정보 유출자의 데스크톱과 하드디스크 드라이브를 1차 회수해 정부에 보고하고 제공했다”며 “쿠팡은 하드 드라이브를 정부에 제출한 즉시 정부가 이에 대한 조사에 착수한 것으로 이해하고 있다”고 밝혔다. 당시 정부가 쿠팡에 정보 유출자로부터 추가로 기기를 회수해 달라고 요청했다는 게 쿠팡의 주장이다. 쿠팡은 “지난 18일에는 인근 하천에서 유출자의 맥북 에어 노트북을 회수했다”며 “쿠팡은 정부 지시에 따라 포렌식팀을 투입, 물증을 확보하고 증거를 문서에 기록한 즉시 노트북을 정부에 인계했다”고 설명했다. 이어 “정부는 21일 쿠팡이 하드 드라이브, 노트북, 그리고 세 건의 진술서(지문 날인 포함)를 경찰에 제출하도록 허가했다”며 “수사 과정의 기밀을 유지하고 세부 조사사항에 대해 공개하지 말라는 정부의 지시를 철저히 준수했다”고 말했다. 쿠팡이 그간 조사 경위와 정부 협력 여부를 밝힌 것은 전날 조사 상황을 긴급 발표한 이후 ‘증거 사진이나 영상이 없다’, ‘경찰 수사가 진행 중인데 독단적인 자체 조사에 나선 경위가 무엇이냐’는 등의 의문이 제기된 것에 대한 해명 성격이다. 쿠팡은 “정부의 요청에 따라 쿠팡은 23일 정부와의 협력 사항을 포함해 조사 세부 내용에 대해 추가 브리핑을 실시했다”며 “이후 25일 쿠팡 고객들에게 조사 진행 상황을 안내했다”고 전했다. 그러면서 “현재 진행 중인 정부 수사에 전적으로 협조하는 한편 2차 피해를 방지하기 위해 필요한 모든 조치를 취할 것”이라고 강조했다. 하지만 경찰은 이날 “노트북 등 증거를 임의 제출한 21일 이전에 피의자 접촉이나 증거 제출과 관련해 쿠팡과 사전에 연락하거나 협의한 적이 없다”고 쿠팡의 주장을 일축했다. 이어 “쿠팡의 조사 과정에 대해서도 사실관계를 면밀히 확인하고 있다”고 밝혔다.

홍국표 의원(국민의힘·도봉2)은 지난 23일 제333회 서울시의회 정례회 제5차 본회의 5분 자유발언을 통해 “학생과 학부모의 개인정보 유출이 심각한 수준”이라며 “교육청 차원의 보안 및 대응 역량 강화가 시급하다”고 촉구했다. 홍 의원은 “지난 9월 국회 김민전 의원실이 교육부로부터 확보한 자료에 따르면, 2022년부터 올해까지 대학과 교육청에서 유출된 개인정보가 573만 건에 달하며, 교육청만 315만건”이라고 밝혔다. 구체적으로 2022년 10월부터 2023년 2월까지 경기교육청에서는 27만명의 성적표가 10대 해커에게 유출된 바 있고, 인천시교육청은 2023년 12월 11만명의 정보가 해외 IP로부터 무단 접속당한 후에 한 달이 지나서야 신고된 바 있다. 서울시교육청 역시 작년 8월 고교학점제 수강신청 시스템에서 599건의 학생 개인정보가 유출된 바 있다. 홍 의원은 “지난 5년간 서울시교육청의 경우 399건의 해킹사례가 있었는데, 이 중 악성코드 감염이 전체 침해의 84%를 차지한다”며 “교육청 보안 시스템이 강력해도 일선 학교의 보안의식이 취약하면 무용지물”이라고 지적했다. 이어 “인천시교육청의 늑장 신고 같은 일이 서울에서는 절대 재발해서는 안 된다”고 강조했다. 아울러 “애초에 불필요한 정보를 수집하지 않는 것이 근본 대책”이라며 “AI 디지털 교과서 등 개인정보 활용만 강조하고 보호를 소홀히 해서는 안 된다”고 덧붙였다. 홍 의원은 “최근 쿠팡, SKT 등 개인정보 유출이 일상화되고 있다”며 “유출된 정보가 다크웹에서 거래되고, AI 음성으로 자녀 납치를 사칭하는 등 2차 피해가 심각하다”고 우려했다. 그러면서 “오늘의 유출이 내일의 범죄로 이어지지 않도록 일선 학교 보안의식 제고, 악성코드 대책, 매뉴얼 준수, 개인정보 최소 수집 원칙을 철저히 이행해야 한다”고 강조했다. 끝으로 홍 의원은 “정근식 교육감께서 이 문제에 각별한 관심을 갖고 실효성 있는 대비책을 마련해 주실 것”을 촉구하며 “학생과 학부모의 개인정보 보호는 더 이상 미룰 수 없는 과제”라고 강조했다.

북한이 암호화폐 탈취로 불법 수익을 내는 것의 핵심에는 북한의 ‘어둠의 은행가’들이 있었던 것으로 전해졌다. 25일(현지시간) 미 월스트리트저널(WSJ)에 따르면 미국 정부는 지난 7월 심현섭에게 700만 달러(약 100억원)의 현상금을 걸었다. WSJ에 따르면 심현섭은 해외에서 활동하는 수십 명의 북한 은행가 중 한 명으로, 대북 제재 속에서도 외화벌이를 해내고 있다. 그의 역할은 김정은 북한 정권의 자금세탁이었다. 심씨는 암호화폐를 활용한 자금세탁 과정에서 핵심 역할을 했으며, 무기를 위한 자금 조달 등에도 활동했다. 미 검찰 공소장에 따르면 심씨는 자신이 관리하던 자금을 이용해 북한에 통신 장비와 헬리콥터를 조달했으며, 가짜 담배 생산을 위한 원자재 구매에도 관여했다. 미 당국은 심씨가 움직인 자금 상당수가 미국 금융 시스템을 통과했다고 밝혔다. 미국의 주요 은행들이 북한과 연계된 사실을 인지하지 못한 채 대규모 거래를 처리했다. WSJ는 “매년 수천 명의 위장 신분 북한 노동자들과 사이버 절도범들이 수억 달러 규모의 불법 수익을 북한에 안겨주고 있다”고 전했다. 특히 심씨는 북한 대외무역은행 계열사 대표로 해외에 파견돼 아랍에미리트(UAE), 쿠웨이트 등 중동 지역에서 활동했다. 그는 이곳에서 탈북한 류현우 전 주쿠웨이트 북한대사관 대사대리와 만났다. 이때 심씨는 류 대사대리에게 자금세탁 방식을 설명했다. 심씨는 여러 국가와 위장 기업을 거쳐 자금을 이동시키고, 브로커에게 비용을 지급해 자금 출처를 은폐하는 방식이었다. 북한의 IT 노동자와 해커들이 해외에서 해킹과 불법 노동을 통해 확보한 암호화폐 수익은 여러 차례 디지털 지갑을 거쳐 해외에서 활동 중인 북한 은행가들에게 모인다. 심씨는 암호화폐를 브로커를 통해 달러로 전환한 뒤 위장회사 계좌를 이용해 자금을 운용했으며, 북한으로 직접 송금하지 않고 해외에서 김정은 정권을 위한 물품을 사들여 보내는 방식으로 제재를 우회했다. 그는 2019년 러시아 하바롭스크에서 헬기를 구매해 북한으로 보내는 데 30만 달러(약 4억 3000만원)를 사용했다. 이 거래는 짐바브웨의 한 로펌을 거쳐 이뤄졌다. 심씨는 한 건의 자금세탁 공작에서 시티은행, JP모건, 웰스파고 등 미국 은행들을 통해 310건, 약 7400만 달러(약 1072억원) 규모의 거래를 처리한 것으로 조사됐다. 암호화폐 분석업체 체이널리시스에 따르면 북한은 심씨 같은 은행가들을 통해 60억 달러(약 8조 6970억원) 이상의 암호화폐를 탈취했다. 류 전 대사대리는 심씨에 대해 “아랍 지역에서 자금세탁과 관련해 가장 유용한 인물이었다”고 회고했다.

이르면 2026년 초 한국 대통령이 9년 만에 중국을 방문할 것으로 예상된다. 비슷한 기간 연쇄회담이 될 한일 정상회담에 대해서는 이재명 대통령이 다카이치 사나에 일본 총리의 고향 나라시를 찾아 고 아베 신조 총리의 피격 장소에서 추모할 것이라는 이야기가 나온다. 하지만 최고 지도자에 대한 보도가 엄격하게 통제되는 중국의 특성상 한중 정상회담은 어떻게 이뤄질지 미리 알기 어렵다. 지난달 경주 아시아태평양경제협력체(APEC) 정상회의를 계기로 열린 한중 정상회담에서 이 대통령과 시진핑 중국 국가주석은 좋은 ‘케미’를 보여 줬다. 이 대통령은 시 주석에 대해 “의외로 농담도 잘하시더라”며 회담이 흥미진진했다고 평가했다. 그러나 이 대통령이 중국 방문을 앞두고 치기 좋은 공을 건네자 날아온 것은 견제구였다. 중국은 한국이 미국과 함께 추진하는 핵추진 잠수함에 예민한 반응을 보였다. 지난 22일 중국 외교부는 미국이 핵물질 이전을 허가하기로 한미가 합의하자 “신중하게 처리하라”고 경고했다. 중국 관영언론은 미국의 핵연료 사용 허용은 핵확산금지조약(NPT)을 약화할 것이며, 한국은 해안선이 제한적이어서 핵추진 잠수함이 필요 없다고 지적했다. 이 대통령은 앞서 19일 열린 외교부 업무보고에서 “중국 동포, 재미 동포, 재일 교포를 차별하지 않아야 한다”면서 중국 동포(조선족)에 대한 공정한 대우를 주문했다. 시 주석은 이 대통령을 처음 만나 샤오미 휴대전화를 선물하면서 백도어(해킹 프로그램)가 없는지 살펴보라는 ‘위험한’ 농담을 할 정도로 파격적인 장면을 연출했다. 두 정상의 두 번째 만남에서 가장 민감한 이슈 가운데 하나는 중국이 서해 잠정조치수역(PMZ)에 설치한 구조물 문제일 것이다. 중국은 연어 양식장이라고 하지만, 서해 구조물은 평택기지 등 미국의 군사력을 정찰하고 감시하기 위한 용도라고 의심할 수밖에 없다. 평택기지와 인천항, 수도권 방위선과 맞닿아 있는 서해에서 중국이 구조물을 설치하고 장기간 운영하는 것은 한국의 해양 주권을 침해할 뿐 아니라 미국과의 안보 협력에도 영향을 미칠 수 있다. 중국은 서해에 모두 16개의 부이와 구조물을 설치했다. 이 가운데 1개의 부이와 선란 1, 2호로 불리는 철제양식장 그리고 양식장을 관리한다는 명목으로 세운 해상 석유 시추 설비를 개조한 고정 시설 등 모두 4개의 구조물이 한중이 공동 관리하는 PMZ 내부에 있다. 일본과 중국이 영유권 다툼을 벌이는 센카쿠열도(중국명 댜오위다오) 부근에서도 중국이 설치한 부이와 같은 해상 구조물이 많이 발견된다고 한다. 일본은 중국의 시설이 보이는 즉시 제거하는 것으로 알려졌다. 서해 구조물에 대한 원칙 있는 대응과 함께 2015년 체결된 한중 자유무역협정(FTA) 개정과 한한령도 이번 정상회담에서 논의될 것으로 보인다. FTA 체결 당시 중국 측은 개방도가 기대에 미치지 못한다며 불만을 나타냈지만, 한국은 FTA 시행 8년 만인 2023년 대중국 무역에서 적자를 기록한 뒤 계속 손실을 보고 있다. 제조업 현대화 전략인 ‘중국제조 2025’가 완결된 지난 10년 동안 중국은 반도체, 배터리 등 핵심산업의 기술 수준을 대폭 끌어올렸다. ‘대륙의 실수’가 ‘대륙의 실력’이 되는 과정에서 한국의 대중 수출은 급감했고, 메모리 반도체를 제외한 모든 산업 분야에서 중국에 추월당했다. 중국은 한류를 제한하는 한한령을 시행한 적이 없다는 입장을 고수해 왔다. 한중 정상회담을 기회로 중국에서 대규모 K팝 콘서트가 열릴 수 있겠지만, 예전만큼의 인기를 재현하기는 쉽지 않다. 이미 중국산 콘텐츠의 경쟁력이 강화됐고 공산당의 한류에 대한 경계심도 상당하다. 2026년 한중 정상회담이 과거 한류의 영광을 되살리는 자리이기보다 미래 협력의 분수령이 되길 바란다. 윤창수 국제부 전문기자

관계부처 회의중 쿠팡 “피해 없다”정부 “확인 안 된 사실” 강력 항의 쿠팡의 역대 최대 개인정보 유출 사태와 관련해 대통령실을 중심으로 범부처 긴급대책회의가 진행되는 가운데 쿠팡이 기습적으로 개인정보 외부 유출은 3000개 계정뿐이었다는 자체 조사 결과를 발표했다. 범정부 조사와 경찰 수사가 진행 중인 상황에서 개인정보 유출 기업이 일방적으로 조사 결과를 밝힌 이례적인 상황에 정부는 거친 표현으로 유감을 나타냈다. 쿠팡은 25일 보도자료를 내고 “디지털 지문 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했고, 유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다”며 “유출자는 탈취한 보안 키를 사용해 고객 계정 3300만개의 기본적인 고객 정보에 접근했으나 이중 약 3000개 계정의 고객 정보만 저장했다”고 설명했다. 이어 유출 정보에는 이름, 주소, 전화번호가 포함됐고 2609건의 공동현관 출입번호도 있었다고 했다. 결제 정보나 로그인 비밀번호 등 핵심 민감 정보는 아니라는 것이다. 쿠팡은 유출자가 언론보도를 통해 사태의 심각성을 느낀 듯 저장했던 개인정보를 모두 삭제했고, 제3자에게 전송한 데이터는 없다고 했다. 또 유출자가 범행 은폐를 위해 개인용 노트북을 하천에 투기했지만, 쿠팡은 직접 잠수부를 동원해 회수하고 포렌식을 했으며 외부 전송 흔적이 없음을 확인했다고 설명했다. 쿠팡은 조만간 고객 보상 방안을 별도로 발표하겠다고 했다. 하지만 과학기술정보통신부는 “민관합동조사단(조사단)이 조사 중인 사항을 쿠팡이 일방적으로 대외에 알린 것에 대해 쿠팡에 강력히 항의했다”면서 “현재 조사단이 정보 유출 종류 및 규모, 유출 경위 등에 대해 면밀히 조사 중이며, 쿠팡이 주장하는 사항은 조사단에 의해 확인되지 않았다”고 밝혔다. 통상 정부 조사를 받는 기업은 조사 중에는 함구하는 것이 일반적이다. 지난 4월 SK텔레콤을 시작으로 KT와 LG유플러스도 해킹으로 인한 개인 정보 유출에 대해 조사를 받았지만 해당 기업들은 조용히 사태 수습에 집중하는 모습이었다. 또 쿠팡은 지난 17일 확보된 증거와 진술서를 정부 기관에 제출했다고 주장했다. 이에 과기정통부 관계자는 “쿠팡이 공개한 내용을 조사단이 일체 보고받은 바 없다”면서 “쿠팡이 포렌식도 자체적으로 하고 유출된 고객 계정도 3300만개가 아니라 3000개라고 했는데 황당한 얘기”라고 말했다. 그는 “공식적으로 확인되지 않은 내용을 발표해 국민에게 큰 혼란을 줄 수 있다”며 “조사 대상인 민간 기업이 이렇게 언론 플레이를 하는 건 처음”이라고 덧붙였다. 다만, 해당 사안을 수사 중인 경찰 관계자는 “지난 21일 쿠팡 측으로부터 피의자가 작성했다는 진술서와 범행에 사용됐다는 노트북 등 증거물을 임의 제출 받았다”며 “범행에 사용된 증거물인지 여부 등을 면밀히 분석하고 있다”고 했다. 일각에선 쿠팡이 범정부 조사로 수세에 몰리자 여론전으로 나서는 동시에 유출 규모를 3000여건으로 한정해 법적 분쟁에 대비하는 것 아니냐는 관측도 나온다. 쿠팡은 개인정보 유출 사태 이후 창업자인 김범석 쿠팡Inc 의장의 국회 청문회 불출석과 소극적 대응으로 정부, 국회, 소비자 등의 집중포화를 받고 있다. 국내외에서 소비자와 주주 등이 쿠팡을 상대로 복수의 집단 소송을 제기한 상태다. 쿠팡은 국내는 물론 미국에서도 여론전에 나선 것으로 보인다. 미국 정계에서 쿠팡을 한국 정치권이 압박한다며 비난하는 발언이 잇따라 나왔다. 트럼프 1기 행정부 시절 국가안보보좌관을 지낸 로버트 오브라이언은 24일(현지시간) 엑스(X)에서 “도널드 트럼프 대통령이 한국과의 무역 관계 균형을 회복하기 위해 많은 노력을 기울였는데, 한국이 미국 기술 기업을 겨냥해 그의 노력을 훼손한다면 매우 유감스러운 일이 될 것”이라고 밝혔다. 트럼프 대통령의 지지자로 유명한 미 정치평론가 스티브 코르테스도 최근 엑스에서 “한국 정부는 막대한 투자를 해 온 미국 기업 쿠팡을 오히려 제재하고 있다”며 ‘한국의 미국 기업 배신 행위’라는 의견을 개진했다. 미 상원의 로비 보고서에 따르면 쿠팡은 지난해 12월 트럼프 대통령 취임준비위원회에 100만 달러를 기부하는 등 최근 5년간 미 행정부와 의회를 대상으로 1075만 달러(약 155억원)의 로비 자금을 지출했다.

중국의 동영상 플랫폼인 콰이쇼우에서 라이브 방송 도중 음란물 등이 무방비로 노출되는 사고가 발생했다. 지난 24일 홍콩 사우스차이나모닝포스트(SCMP) 등에 따르면 지난 9일 오후 10시쯤 해킹 공격으로 인해 추천 라이브 방송 중 한 시간가량 음란물이 노출됐다. 이 중 일부 방송의 시청자 수는 5만명을 넘어섰다. 콰이쇼우는 관련 영상에 대한 대규모 삭제 작업과 함께 라이브 방송 기능을 일시 중단했다. 콰이쇼우 측은 이번 사고의 배후로 이른바 사이버 범죄 조직을 지목했다. 중국 사이버보안 기업 웹레이(WebRAY)의 윌리엄 웨이 부사장은 “이번 사고는 사이버 보안이 기업의 생명줄이라는 점을 보여주는 사건”이라며 “최근 해킹의 동기가 금전적 이익에서 시스템 파괴로 이동하고 있다”고 밝혔다. 데이비드 입 홍콩 중국 네트워크보안협회 설립자 겸 회장도 “콰이쇼우는 핵심 라이브 스트리밍 시스템을 보호할 기본적인 위협 탐지·대응 체계가 부족했다”고 지적했다. 입 회장은 최근 국내에서 발생한 쿠팡 대규모 해킹 사건을 직접적으로 언급하며 AI 기술의 발전으로 대규모 계정 해킹이 훨씬 쉬워진 상황에서 데이터 전반에 대한 전면적인 보안 점검의 필요성을 강조했다. 한편 콰이쇼우는 중국 내 하루 평균 활성 이용자 수(DAU) 4억 1600만명을 보유한 숏폼 플랫폼으로, 바이트댄스의 ‘더우인’에 이어 두 번째로 규모가 크다. 이번 사고 여파로 이날 콰이쇼우의 주가는 장중 최대 6%까지 하락했다.

쿠팡 이어 신한카드 사고에 불안사용 않는 웹사이트·앱 탈퇴 러시주민등록번호 변경 신청도 급증‘털린 내 정보 찾기’ 이용 700% 증가도덕적 해이·약한 처벌이 화 키워 #. 세종시에 사는 직장인 김재민(29)씨는 24일 아침부터 걸려 온 스팸전화에 한숨부터 내쉬었다. 그는 올해 들어서만 개인정보가 유출됐다는 안내 문자를 세 번이나 받았다. 김씨는 “개인정보 유출 소식을 들은 후 스팸 전화가 하루 다섯 통씩 온다”면서 “내 번호나 주소가 어디선가 계속 떠돌고 있는 것 같아 불안하다”고 토로했다. 지난 23일 신한카드에서 19만명의 가맹점주 개인정보가 유출된 사실이 확인되면서 또다시 반복된 개인정보 유출 사고에 시민들의 불안이 커지고 있다. 정보 유출로 인한 2차 피해를 예방하기 위해 계정을 삭제하는 것은 물론 주민등록번호 변경에 나서고 있다. 심지어 개명까지 고민하는 사례도 나온다. 서울에 사는 윤지영(31)씨는 “최근 휴면계정까지 털리는 걸 보고는 사용하지 않는 웹사이트와 애플리케이션을 전부 찾아서 탈퇴하고 있다”면서 “회원가입해 둔 아이디가 이렇게 많을 줄 몰랐다”고 말했다. 경기 평택시에 사는 윤성혁(31)씨는 “정보 유출이 너무 잦다 보니 가족들과 개명까지 고민하고 있다”고 털어놨다. 주민등록번호 변경을 신청하는 사례도 늘고 있다. 대형 카드사 정보 유출을 계기로 2017년 도입된 ‘주민등록번호 변경 신청 제도’는 올해 11월까지 2026건이 접수되며, 지난해 연간 신청 건수(1986건)를 훌쩍 넘어섰다. 쿠팡 유출 사태 직후인 지난달 28일부터 이달 11일까지 한국인터넷진흥원의 ‘털린 내 정보 찾기’ 서비스 이용자는 10만 7802명으로, 지난해 같은 기간 대비 700% 이상 급증했다. 올해 초 GS리테일(158만건)을 시작으로 4월 SK텔레콤 유심 정보 해킹, 9월 KT 무단 소액결제 사태와 롯데카드(297만건), 지난달 3370만명의 회원 정보가 유출된 쿠팡 사태까지 올해 유독 대규모 유출 사태가 잇따르면서 시민들 사이에선 “이젠 놀랍지도 않다”는 반응마저 나온다. 특히 최근의 쿠팡과 신한카드 모두 내부 직원이 유출의 진원지로 지목되면서 기업 전반에 퍼진 도덕적 해이가 문제 원인으로 거론된다. 황석진 동국대 국제정보보호대학원 교수는 “관련법을 개정해 위자료 지급을 명확히 규정하고, 배상이 지연되면 지연 기간만큼 영업 정지 조치를 내리면 기업들도 안일하게 대응하지 않을 것”이라고 말했다. 느슨한 처벌 규정도 문제로 꼽힌다. 개인정보보호법 시행령에 따르면 개인정보 유출 사실과 당시 확인된 내용을 통지하지 않아도 과태료는 최대 3000만원에 그친다. 윤명 소비자시민모임 사무총장은 “개인정보 유출에 대해 기업에 더 무거운 책임을 물어야 사전에 이를 막으려는 동기가 생긴다”고 말했다.

‘패스 앱’ 안면 인증 통해 본인 확인“성형 수술한 사람은 어쩌나” 걱정도일부 대리점 얼굴 인식 안 돼 발동동과기부 “생체정보는 보관·저장 안 해” “SK텔레콤 유심 해킹에, 쿠팡 개인정보 유출까지…. 개인정보가 줄줄 새는 마당에 얼굴 인증까지 했다가 국민 얼굴 다 털리는 거 아닌가요.” 새 휴대전화 개통을 고민 중인 30대 직장인 A씨는 정부가 도입을 추진하는 ‘안면 인증 제도’를 두고 이렇게 말했다. 40대 공무원 B씨는 “개인 스마트폰에도 ‘페이스 아이디’를 사용하지 않는데 얼굴 인증을 해야 휴대전화 개통을 해 준다는 게 너무 찜찜하다”며 불안해 했다. 과학기술정보통신부는 23일부터 3개월간 ‘안면 인증제’ 시범 운영에 나섰다. 공식 도입은 내년 3월 23일부터다. 신분증 확인에 실제 얼굴 인증을 추가해 ‘대포폰’ 개통을 막겠다는 취지다. 이에 따라 이날부터 SKT·KT·LG유플러스 등 이동통신 3사에서 휴대전화를 새로 개통하려면 모바일 인증 플랫폼 ‘패스(PASS)’ 앱을 통해 얼굴 인증 절차를 거쳐야 한다. 그런데 소비자의 시선은 곱지 않다. 정보 유출에 대한 공포가 전 국민을 덮친 상황에서 추진되는 ‘정보수집’이어서다. 앞서 지난 9월 롯데카드와 KT, 11월에는 쿠팡의 대규모 개인정보 유출 사고가 연이어 발생했다. 20대 직장인 C씨는 “얼굴 인증을 도입했을 때 대포폰 개통이 실제로 줄어든다는 근거 없이는 못 믿을 것 같다”고 했다. 불편을 걱정하는 목소리도 나온다. 성형수술을 했거나 고령자·화상 환자처럼 신분증 사진과 현재 얼굴이 많이 다른 사람은 얼굴 인증 자체가 어려울 수 있어서다. 실제 이날 서울 곳곳의 통신사 대리점에선 얼굴 인증이 제대로 되지 않아 고객의 불만이 터져나왔다. 서울 노원구의 한 통신사 대리점 관계자는 “얼굴 인식이 제대로 안 돼 그냥 인증 절차 없이 개통했다”면서 “얼굴 미인식 문제가 제대로 개선되지 않으면 혼란이 불가피할 것 같다”고 말했다. 정부가 국민의 얼굴 정보를 대규모로 활용한다는 점에서 ‘얼굴 인증제’가 중국의 ‘빅브라더’ 감시 시스템 ‘천망(天網)’을 연상케 한다는 반응도 나온다. 30대 직장인 D씨는 “범죄 예방 조치라고 해도 국민의 사적인 부분까지 들여다보고 통제하는 느낌이 든다”고 했다. 정부는 과도한 해석이라고 선을 그었다. 과기정통부 관계자는 “얼굴 인증은 이용자가 제시한 신분증 사진과 실제 얼굴을 실시간으로 대조하는 방식”이라면서 “본인 확인이 되면 결과값만 저장하고, 인증에 사용된 생체 정보는 별도로 보관하거나 저장하지 않는다”고 밝혔다.

신한카드는 가맹점 대표자의 휴대전화번호 등을 포함한 개인정보 약 19만건이 유출된 것으로 추정돼 개인정보보호위원회에 신고했다고 23일 밝혔다. 이날 신한카드에 따르면 유출된 정보는 가맹점 대표자의 휴대전화번호 18만 1585건, 휴대전화번호·성명 8120건, 휴대전화번호·성명·생년·성별 2310건, 휴대전화번호·성명·생년월일 73건 등 총 19만 2088건이다. 유출은 2022년 3월부터 올해 5월까지 약 3년간 이어진 것으로 확인됐다. 신한카드 관계자는 “영업점을 관리하는 내부 직원이 가맹점 대표자를 대상으로 신규 카드 모집 실적을 올리기 위해 정보를 설계사에게 제공하는 과정에서 유출이 발생했다”며 “가맹점 대표자 외 일반 고객정보는 유출되지 않았고, 해킹 등 외부 침투에 따른 사고도 아니다”라고 밝혔다. 이 과정에는 최소 5개 영업소 소속 직원 12명이 연루된 것으로 파악됐다. 신한카드는 해당 직원들을 업무에서 배제하고 형사 고발 등 추가 조치를 검토 중이다. 이번 유출은 공익 제보를 통해 드러났다. 신한카드는 이날 홈페이지에 사과문을 게시하고, 정보가 유출된 가맹점 대표자들에게 개별 안내를 시작했다.

신한카드가 가맹점 대표자의 휴대전화번호 등 약 19만건의 개인정보가 유출된 것으로 추정돼 개인정보보호위원회(개인정보위)에 신고했다. 다만 주민등록번호나 카드번호, 계좌번호 등 민감한 신용정보는 유출되지 않은 것으로 파악됐다. 23일 신한카드에 따르면 이번에 유출된 정보는 가맹점 대표자의 휴대전화번호 18만 1585건, 휴대전화번호와 성명 8120건, 휴대전화번호·성명·생년·성별 2310건, 휴대전화번호·성명·생년월일 73건 등 총 19만 2088건이다. 해당 정보는 신규 카드 모집 영업 과정에서 이용된 것으로 확인됐다. 현재까지 조사 결과 일반 고객 정보 유출과는 관련이 없고, 해킹 등 외부 침투에 따른 사고도 아닌 것으로 나타났다. 신한카드는 “일부 내부 직원이 카드 모집 영업을 위해 정보를 목적 외로 이용한 정황이 확인됐다”고 설명했다. 이번 유출은 공익 제보자가 가맹점 대표자의 개인정보가 외부로 유출됐다는 증거를 개인정보위에 신고하면서 드러났다. 개인정보위는 지난달 12일 신한카드에 관련 자료 제출을 요청했고, 신한카드는 이튿날부터 제보 자료와 내부 자료를 대조하며 사실관계 확인에 착수했다. 이날 신한카드는 현재까지 확인된 조사 결과를 홈페이지에 공지하고 사과문을 게시했다. 또 해당 가맹점 대표자들에게 개별적으로 안내하고, 본인의 정보가 포함됐는지 확인할 수 있는 전용 조회 페이지도 운영하고 있다. 신한카드 관계자는 “이번 사안으로 인한 피해는 현재까지 확인되지 않았지만, 향후 피해가 발생할 경우 적극적인 보상에 나설 계획”이라고 밝혔다. 아울러 “개인정보위의 추가 조사에 성실히 협조하고, 내부 통제 강화와 재발 방지 대책을 마련하겠다”고 설명했다.

에스원이 삼성전자와 함께 택배 분실 감지부터 방문자 확인, 긴급 출동까지 지원하는 지능형 주거 보안 상품 ‘삼성 AI 도어캠’을 출시했다고 22일 밝혔다. 에스원은 “삼성 AI 도어캠은 에스원의 출동 인프라와 인공지능(AI) 영상 분석 기술, 삼성전자의 ‘스마트싱스’ 플랫폼이 결합된 지능형 홈 보안 상품”이라며 “40여년간 축적된 에스원의 보안 운영 노하우와 삼성전자의 사물인터넷(IoT) 기술력이 만나 주거 공간의 안전을 한층 강화할 전망”이라고 소개했다. 삼성 AI 도어캠은 상·하 듀얼카메라 구조로 상단 카메라는 방문자 얼굴을, 하단 카메라는 바닥에 놓인 택배를 각각 촬영해 택배 도난이나 분실에 대비할 수 있다. 하단 카메라로 촬영된 이미지는 AI로 분석해 택배물의 도착과 위치 이동 알림을 사용자에게 전달한다. 삼성전자의 스마트홈 플랫폼인 ‘스마트싱스’와도 연동돼, 도어캠으로 촬영된 영상을 앱을 통해 볼 수 있다. 삼성 스마트TV와 비스포크 AI 패밀리허브 냉장고 등 가전제품과 연동돼 요리, 세탁 등 집안일을 하다가도 방문자가 벨을 누르면 실시간 확인이 가능하다. 이용자가 별도 서비스 신청을 하면 위급상황 때 전국 100여개의 에스원 출동 인프라에서 즉각 현장 대응에 나서도록 할 수 있다. 또 삼성전자의 보안 기준을 통과해 국내에서 제조된 기기인 만큼 해킹이나 영상 유출의 위험이 적고 프라이버시 마스킹 기능을 탑재해 이웃 현관문이나 공용 공간 등을 수동으로 가릴 수 있다. 에스원 관계자는 “글로벌 기업 삼성전자와 협업을 통해 보안 서비스가 TV, 냉장고 등 일상 속 가전기기와 자연스럽게 연결되는 사용 환경을 구현했다”며 “보안이 생활 전반에 자연스럽게 녹아드는 시대를 만들어가겠다”고 말했다.

북한이 지난 3월 이후 유럽의 무인기(드론) 관련 기업 3개 사를 상대로 사이버 공격을 한 것으로 전해졌다. 교도통신은 22일 슬로바키아의 IT보안업체 이셋(ESET)을 인용해 북한의 사이버 공격 표적은 우크라이나군이 무기로 사용하는 무인기의 부품 제조와 소프트웨어 관련 기업들이었다고 밝혔다. 통신은 공격에 사용된 악성 프로그램을 분석한 결과 과거 북한 정찰총국 산하 해킹그룹으로 알려진 라자루스가 사용한 공격 기법과 유사했다고 덧붙였다. 교도통신은 “드론 개발에 관한 기밀 정보를 훔치는 것이 목적이었을 가능성이 크다”고 전했다. 이와 관련해 군사 기술에 정통한 사토 헤이고 일본 다쿠쇼쿠대 교수는 “북한이 무인기 중요성을 인식하고 무기 현대화를 서두르는 것으로 보인다”고 말했다. 이런 가운데 북한이 러시아의 드론 생산 현장에 군 기술병과 군수 공장 숙련공을 대규모로 파견하기 위한 작업을 진행 중인 것으로 전해졌다. 앞서 우크라이나 국방부 정보총국은 지난달 14일(현지시간) 텔레그램 메시지를 통해 러시아가 자폭형 드론을 생산하기 위해 올해 연말까지 북한 인력 1만 2000명을 모스크바 동쪽 타타르스탄의 알라부에가 경제 특구에 유치할 계획이라고 밝혔다. 한편, 북한은 올해 전 세계를 상대로 가상자산(코인) 해킹으로만 약 15억 달러(약 2조 2100억원) 상당을 탈취한 것으로 전해졌다.

위기가 닥쳤을 때 전사적 대응 필요쿠팡, 소비자 신뢰 회복 조치 낙제점대표이사, 국회 나와 모르쇠로 일관김범석 의장도 책임 있는 행동 없어내부 지지도 외부 지지도 모두 잃어로켓배송으로 소비자에 ‘록인 효과’JP모건 “잠재적 고객 이탈은 제한적”정부·소비자 ‘록인’ 풀 방법 찾을 수도쿠팡이 대규모 개인 정보 유출 사고를 확인하고 사과의 뜻을 밝힌 지 한 달이 지났지만 파장이 잦아들지 않고 있다. 대중의 공분은 더 커지고 있다. 큰 사고지만 특별하고 놀라운 건 아니다. 통신사, 카드사, e커머스 회사에서 개인 정보 유출은 다반사다. 그런데 유독 쿠팡에 대한 반응이 나쁘다. 정부, 여야 정치권, 논조를 막론한 거의 모든 언론이 질타하고 있다. 본연의 보안 역량의 문제뿐 아니라 리스크의 예방, 확산 방지, 재발 방지책 마련과 신뢰 회복으로 이어지는 대응 역량 전반에서 나타난 총체적 문제점 때문이다. ●대규모 ‘대관 조직’도 맥 못 춰 지난 2010년 자본금 30억원으로 창업한 쿠팡은 지난해 41조 2901억원의 매출을 올렸다. 테크플랫폼인 네이버(10조 7377억원)와 카카오(7조 8738억원)는 물론 이마트와 백화점을 아우르는 신세계그룹(35조 5913억원)도 멀리 따돌렸다. 오전에 주문하면 당일 배달해 주고 19시부터 24시 사이 야간 주문엔 다음날 아침 7시 이전에 배달하는 ‘로켓배송’을 앞세워 로켓성장했다. 자사 홈페이지를 통해 주문을 받고 자회사인 쿠팡풀필먼트서비스, 쿠팡로지스틱스서비스가 보관과 배송을 전담하는 일관 시스템과 기존 유통업체에 쏠린 비대칭적 규제의 힘이었다. 쿠팡은 올 초 기준으로 전국 30개 지역에 100여개의 물류 인프라를 구축해 전국 시군구 260곳 가운데 182곳을 로켓배송으로 커버하고 있다. 이른바 ‘쿠세권’은 청년과 신혼부부의 주거지 선택에 강력한 영향을 미친다. 영호남과 강원의 인구감소지역에서는 ‘쿠세권’ 편입이 큰 소식이다. 기존 유통망에서 소외된 주민들이 배달을 받고 지역 중소기업들이 쿠팡에 올라타 판로를 넓힐 수 있기 때문이다. 주력 사업뿐 아니라 음식배달앱 쿠팡이츠, 영국 프리미어리그와 독일 분데스리가 및 미프로농구(NBA) 등의 독점 중계권을 보유하고 자체 제작 프로그램도 늘리고 있는 온라인동영상서비스(OTT) 플랫폼 쿠팡플레이의 성장세도 뚜렷하다. 얼마 전 쿠팡의 새벽배송 찬반 논란이 벌어졌을 때 찬성 여론이 훨씬 높았다. 특히 여성들의 지지세가 강했다. 반대 측은 “‘새벽배송’을 금지하자는 게 아니라 ‘초심야노동’을 막자는 것”이라고 물러섰다. 쿠팡 배송 노동환경에 대한 논란도 오래됐지만 “그래도 관심과 견제를 받는 쿠팡이 열악한 중소기업보다는 훨씬 낫다”, “새벽배송 일하는 게 주간배송보다 더 편하고 수입도 많다”는 주장의 힘이 셌다. 대규모 물류센터인 풀필먼트센터를 비롯해 전국에 산재한 다양한 물류시설에서 특별한 기술이 없는 사람들을 상시적으로, 대규모로 고용하고 ‘법대로’ 임금을 주는 기업도 없다. 쿠팡은 이른바 ‘대관’이라 불리는 CR(Corporate Relations) 조직도 크게 갖췄다. 숫자만 많은 것이 아니라 입법부의 여야 정당, 공정거래위·고용노동부 등 행정부, 경찰·검찰, 법원, 언론 출신 등으로 곳곳을 다 커버할 수 있는 라인업이다. 하지만 이번 사태 앞에서 쿠팡 경영진과 대관조직은 맥을 못 추고 있다. 위기 대응 면에서 낙제점이다. ●전통적 대기업과 신흥 대기업의 차이 리스크 예방과 대응은 기업과 기업인, 정치인, 스포츠스타와 대중연예인, 인플루언서 등 대중과의 접점을 통해 영향력을 주고받는 모든 조직과 개인이 늘 직면하는 문제다. 전자보안 문제뿐 아니라 산업재해, 자연재해와 사건 사고, 내부 폭로, 사생활 문제 등을 망라한다. 리스크 발생 시 대기업의 내부 대응과 대외 대응은 톱니바퀴처럼 맞물려 돌아간다. 내부적으로는 무엇보다 리크스 확산을 막기 위한 방화벽 설치, 사건의 원인과 책임소재 파악, 피해 규모 예측, 법적·사회적 타격을 최소화하기 위한 방안 강구, 경제적 보·배상과 문책 범위 옵션 마련, 정부 처벌과 송사에 대비한 법적 대응책 마련 등이 전사적으로 진행된다. 이런 내부적 대응과 맞물려 대외적으로는 여론의 질타에 책임을 통감하고 맞을 매는 맞으며 대응 기조를 정한 후 큰 사고의 경우엔 최고 책임자가 직접 사과하는 수순이다. 지난 4월 발생한 SK텔레콤 고객 유심 정보 유출 사고에 대한 대응이 전형적인 예다. 최태원 회장은 사고 발생 19일 만에 “고객과 국민께 불안과 불편을 끼쳐 드렸다. SK그룹을 대표해 깊이 사과드린다”고 공개적으로 고개를 숙였다. 최 회장은 “보안 문제를 넘어 국방이라고 생각해야 할 상황이며, 생명의 문제라고 여기고 해결에 임하겠다”고 ‘진정성’을 보였다. 외부 전문가 중심의 ‘정보보호 혁신위원회’를 구성해 전 계열사의 보안 체계를 재점검하고 근본적인 보안 시스템 혁신에 나서겠다는 방침도 발표됐다. 언론은 ‘최태원 회장, 대국민 직접 사과’, ‘뼈아프게 반성’ 등의 제목으로 허리를 깊숙이 굽힌 최 회장의 사진을 크게 실었다. 대중들은 이 장면을 사태의 일단락으로 수용했다. 하지만 그날 최 회장은 해킹 사고로 인한 해지 위약금 면제 여부 등에 대해선 “이용자 간 형평성과 법적 문제를 함께 검토해야 한다”며 “좋은 해결 방안이 나오길 기대하지만, 이사회 멤버가 아니어서 더이상의 답변은 어렵다”고 피해 나갔다. 10년 전 삼성서울병원이 중동호흡기증후군(MERS·메르스) 감염과 확산의 온상으로 질타받았을 당시 “저희 삼성서울병원이 메르스 감염과 확산을 막지 못해 국민 여러분께 너무 큰 고통과 걱정을 끼쳐 드렸습니다. 머리 숙여 사죄합니다”로 시작하는 이재용 당시 삼성 부회장의 사과문은 아직도 위기관리의 모범으로 꼽힌다. 이 사과문은 당시 와병 중이던 이건희 회장이 아니라 이재용 부회장이 삼성의 실질적 1인자임을 각인시키는 효과를 낳았다. 업력이 길고 풍파를 많이 겪어 본 대기업들은 매를 맞을 때 어떻게 해야 덜 아프고 때리는 사람의 화도 빨리 풀리는지에 대한 ‘암묵지’를 갖고 있지만 신흥 대기업들은 대체로 우왕좌왕하는 모습을 보였다. 이번 쿠팡의 경우엔 오히려 매를 벌었다. ●쿠팡 ‘정규직 직원’ 근속 연수 짧아 보안 사고도 문제지만 그 이후 대처가 더 큰 문제다. e커머스 회사에서 이런 유형의 사고는 충분히 예상 가능한 것이다. 기술적인 면 외에도 사회적 책임(Corporate Responsibility)과 기업 이미지 제고(Public Relations)에서도 일종의 매뉴얼을 만들어 놓고 있었음 직하다. 하지만 대표이사는 국회에 나와서 모르쇠로 일관하다가 창업자이자 실제 지배력을 행사하는 김범석 쿠팡 Inc 이사회 의장을 불러오라고 하니 “어디 있는지 모른다”고 답했다. 대통령이 “‘무슨 팡’인가 하는 그 사람들은 처벌이 전혀 두렵지 않은 것”이라고 말하고 여론이 질타해도 대응에 변화가 없다. 정당이나 기업 같은 조직, 정치인과 기업인이 리스크에 대응하고 극복하는 힘은 평소에 쌓은 ‘내부적 지지’와 ‘외부적 지지’의 결합이다. 내부적 지지는 구성원의 역량, 조직에 대한 충성도, 업무와 보상에 대한 만족도 등이고 외부적 지지는 상품과 서비스에 대한 소비자(유권자)의 평가, 브랜드 가치, 평판, 호감도의 총합이다. 쿠팡은 양면 모두 취약하다. 물류센터 비정규직 종사자나 자영업자 신분인 배송 종사자 말고 ‘정규직 직원’의 근속연수도 동종업계 내에서 유독 짧다. 대관 조직 구성원은 그 면면이나 규모가 전통 있는 대기업에 뒤지지 않지만 체계가 어수선하고 핵심 목표가 불분명하다. 무엇보다 이른바 오너의 위상과 책임이 일치하지 않는 것이 가장 큰 문제다. 업력이 긴 대기업 임직원들에게 회장(오너)은 대체로 애증적 존재이지만 구심이자 최종적 책임의 상징이다. 하지만 쿠팡에서 김 의장은 지배하지만 얼굴도, 대외적 책임도 없는 존재로 보인다. 김 의장을 대신하는 2인자도 모호하다. 쿠팡 오너는 내부 지지를 크게 떨어뜨리고 있다. 쿠팡의 외부 지지도 실은 허약하다. 한국 기업에 가장 강한 방패 두 가지는 ‘수출’과 ‘고용’이다. 박정희 정부 이래로 수출을 많이 하는 회사가 1진이고 내수기업은 2진이다. 같이 사고 쳐도 공부 잘하는 학생은 덜 때리는 옛 학교처럼 한국 사회에선 1, 2진 기업에 대한 차별 대우가 존재한다. 그런데 쿠팡은 전형적 내수 기업인데 정작 ‘오너’는 미국인이다. 상장도 미국에 돼 있어서 시어머니이자 방패막이가 될 개미 주주도 없다. ‘배민’도 독일계 회사 소유지만 이름은 ‘배달의 민족’이다. 소비자편익을 높이고 돈 잘 버는 게 기업의 가장 중요한 책무지만, 그 책무를 잘하기 위해선 외부 지지를 높여야 한다. 오래된 회사들이 별 필요 없어 보이는 광고를 하고 사회공헌사업을 벌이는 것이나 김범석보다 더 바쁠 젠슨 황, 이재용, 정의선이 삼성역 치킨집에서 맥주잔을 기울이는 건 다 이유가 있다. 대중들이 정붙이고 감 놔라 배 놔라 하는 건 귀찮게 여겨지겠지만 외부 지지가 높아지는 과정이다. 고용도 그렇다. 고용은 비용이자 때로는 짐이지만 쿠팡 서비스의 근원인 동시에 위기 상황에서 가장 강력한 방어무기다. ●“상당한 규모 일회성 손실” 분석도 이번 사태로 쿠팡이 당장 큰 타격을 받진 않을 것이라는 분석이 많다. 쇼핑·배송·콘텐츠·배달 서비스를 묶어 쿠팡 생태계에 대한 소비자 의존도를 높인 ‘록인(lock-in) 효과’가 강력히 작동한다는 것. 쿠팡 사고가 터진 직후 글로벌투자은행 JP모건은 보고서를 통해 쿠팡이 소비자들에게 보상하고 정부가 벌금을 부과할 가능성이 높기 때문에 “상당한 규모의 일회성 손실”이 있을 것이라 분석했다. 하지만 대체 불가능한 시장 지위, 한국 소비자들의 낮은 데이터 유출 민감도로 인해 “잠재적 고객 이탈은 제한적일 것”이라는 전망이 그 보고서의 핵심이었다. 동종업계 경쟁업체들이 ‘탈팡’(쿠팡 이탈) 고객들을 유인하기 위한 당근을 잇달아 내놓고 있지만 본질적 편익의 차이가 크다. 대통령이 질타하고 과학기술부총리가 “공정위와 쿠팡 영업정지 여부를 논의 중”이라고 했지만 쉽지 않아 보인다. 편익과 고용 면에서 한국 사회가 쿠팡에 강력하게 ‘록인’돼 있기 때문이다. 하지만 쿠팡이 이번에 맞을 매를 잘 맞지 못하고 억지로 피해 나가면 ‘내부 지지’와 ‘외부 지지’는 더 떨어질 수밖에 없다. 그리고 정부와 사회, 소비자들이 모두 그 ‘록인’을 풀 방법을 강구할 것이다. 윤태곤 공공전략컨설턴트

국내 1위 가상자산(암호화폐) 거래소 업비트가 445억원 규모의 해킹 사고 이후 내놓은 재발 방지책을 두고 실효성 논란이 일고 있다. 핵심 대책으로 내세운 ‘가상자산 콜드월렛 99% 보관’이 사고 이전에도 이미 유지되던 수준이어서다. 특히 정작 해킹이 발생한 ‘핫월렛’에 대한 구체적 대응책은 빠져 있다는 지적도 나온다. 콜드월렛은 온라인과 연결되지 않아 안전한 가상자산 금고이고, 핫월렛은 언제든 편하게 거래하기 위해 온라인에 연결한 가상지산 지갑을 뜻한다. 21일 서울신문이 이헌승 국민의힘 의원실을 통해 금융감독원에서 확보한 ‘5대 가상자산 거래소 콜드·핫월렛 보관 비율 및 금액’ 자료에 따르면 업비트는 올해 9월과 사고가 발생한 지난달 콜드월렛 비중을 99%로 끌어올렸다. 콜드월렛 비중을 80% 이상 유지하도록 한 ‘가상자산이용자보호법’이 시행된 지난해 7월 이후 98% 수준을 유지해 왔다. 가상자산 업계에 정통한 한 관계자는 “온라인에 연결된 자산을 줄여 안전성을 강화하겠다는 업비트의 의도는 알겠지만 콜드월렛 비중을 늘리고 핫월렛 비중을 지나치게 낮추면 단기간에 출금 수요가 몰릴 경우 대응 속도가 떨어질 수도 있다”고 말했다. 사고가 직접적으로 발생한 핫월렛 해킹 대책이 부실하다는 우려도 나온다. 사고의 본질로 지목되는 개인키 관리 구조와 관련해 구체적 설명이 부족하다는 지적이다. 이헌승 의원실이 5대 거래소에 개인키 관리 체계를 질의한 결과 고팍스를 제외한 4개 거래소는 개인키 접근 인원 규모, 권한 분리 여부, 다중 승인 적용 여부, 이상 접근 탐지 방식 등에 대해 “보안상 이유로 공개할 수 없다”고 답했다. 이와 관련해 업비트 관계자는 “보안 세부 사항을 공개할 경우 공격 설계 단서가 될 수 있는 한계가 있다”고 설명했다. 제도적 공백도 불안을 키우는 한 요인이다. 가상자산 거래소는 전자금융거래법 적용 대상이 아니어서 해킹 사고와 관련한 직접적인 제재나 무과실 책임을 묻기 어렵다. 금융당국도 현행 가상자산이용자보호법을 근거로 위반 여부를 들여다보는 수준에 머물러 있다. 이 법은 콜드월렛 보관 비율 등 최소한의 자산 보호 기준을 담고 있지만, 해킹 사고 발생 시 사업자의 책임 범위와 배상 방식까지 포괄적으로 규정하진 않았다. 황석진 동국대 국제정보보호대학원 교수는 “콜드월렛 비중을 높이는 것만으로는 내부자 위험이나 개인키 통제 문제를 해결할 수 없다”며 “핵심은 개인키 접근 권한 관리와 내부 통제, 다중 승인 같은 구조적 통제 체계 마련”이라고 말했다.

배상 한도 설정하는 방식도 논의통신사 배상 책임은 포함 안 될 듯보이스피싱 피해가 발생하면 금융사가 잘못이 없더라도 피해액을 원칙적으로 전액 배상하게 될 전망이다. 은행 등 금융권은 보이스피싱 예방 책임 주체인만큼 이동통신사도 포함돼야 한다고 주장했지만, 통신사의 배상 책임은 제외된 것으로 알려졌다. 21일 금융권에 따르면 금융위원회가 마련 중인 통신사기피해환급법 개정안에는 은행 등 금융사가 보이스피싱 피해액의 최대 100%를 배상하도록 하는 내용이 담겼다. 이른바 ‘무과실 배상책임제’로, 금융회사의 과실이 입증되지 않더라도 피해액을 배상하도록 의무화하는 제도다. 금융당국은 은행권이 충분히 감내할 수 있는 수준이라는 입장이다. 금융감독원에 따르면 보이스피싱 건당 평균 피해액은 2023년 2366만원, 2024년 4100만원, 올해 약 5290만원으로 늘었지만, 개별 피해 규모가 수천만원 수준인 점을 고려하면 제도 도입에 따른 부담이 과도하지 않다는 판단이다. 반면 금융권은 무과실 책임 원칙이 과도하게 적용될 경우 범죄 피해에 대한 책임을 금융사가 떠안는 구조가 될 수 있다며 반발해 왔다. 금융위는 무과실 배상 책임의 근거로 카드사 배상 책임과 해외 사례를 들고 있다. 여신전문금융업법 제16조는 소비자 과실이 없는 경우 카드사가 부정 사용 피해를 전액 부담하도록 규정하고 있다. 다만 전액 배상이 일괄 적용되는 것은 아니다. 은행이 거래 과정에서 충분한 사전 경고를 했거나, 피해자의 중대한 과실이 명확히 입증되는 경우에는 면책 대상이 된다. 배상 한도 역시 법제화될 예정이다. 한 금융권 관계자는 “전액 배상이 원칙이지만 건당 일정 금액 이하로 배상 한도를 설정하는 방식도 함께 논의되는 것으로 안다”고 전했다. 핵심 쟁점으로 떠올랐던 통신사 배상 책임은 이번 개정안에 반영되지 않는 쪽으로 결론이 났다. 금융당국 관계자는 “통신사 책임은 권리관계가 복잡해 이번 개정안에서는 제외됐다”고 설명했다. 소비자 보호책임을 금융사에 먼저 묻는 기조는 다른 금융 영역에서도 이어지고 있다. 내년 시행을 목표로 한 디지털자산기본법(2단계 입법)에도 무과실 손해배상책임 규정이 포함될 예정이다. 해킹이나 전산 장애가 발생하면 코인거래소 등 디지털자산 사업자가 책임을 지도록 하는 내용이다.

한국소비자원 소비자분쟁조정위원회가 SK텔레콤에 개인정보 유출 사고와 관련해 1인당 10만원 상당을 보상하라는 조정안을 내놨다. 총 2조 3000억원으로 추산되는 보상안에 대해 SK텔레콤은 향후 15일간 수용 여부를 결정할 수 있는데, 일단 ‘신중히 검토하겠다’는 입장을 보였다. 조정위는 21일 “7월 민관합동조사단의 조사 결과와 8월 개인정보보호위원회의 처분 내용 등을 볼 때 SK텔레콤 해킹 사고로 개인정보가 유출돼 소비자 피해가 발생한 사실이 인정된다”며 “소비자 개인의 피해 회복을 위해 SK텔레콤에 보상 책임이 있음을 확인했다”고 밝혔다. 이어 조정위는 지난 18일 집단분쟁조정회의를 통해 개인정보 유출 사고 피해자들에게 1인당 5만원의 통신요금 할인과 ‘티플러스포인트’ 5만 포인트를 지급하는 내용의 조정안을 결정했다고 설명했다. 티플러스포인트는 SK텔레콤의 제휴 업체에서 현금처럼 사용할 수 있는 포인트여서, 1인당 10만원 상당의 보상안을 내놓은 셈이다. 이에 대해 SK텔레콤은 “조정위의 조정안 내용을 면밀히 검토한 후 신중히 결정할 것”이라며 조정안 수용 여부를 숙고하겠다는 공식 입장을 내놨다. 다만 SK텔레콤은 아직 조정 결정서를 공식적으로 전달받지는 않은 것으로 알려졌다. 지난 5월 SK텔레콤 이용자 58명은 ‘홈 가입자 서버’ 해킹 사고로 개인정보가 유출되는 피해를 입었다며 한국소비자원에 피해 보상 및 재발 방지를 요구하는 집단분쟁조정을 신청했다. 조정위가 결정서를 양측에 공식 통지한 후 15일 기한 내에 별도 의사 표시가 없으면 조정안을 수락한 것으로 취급하고 재판상 화해의 효력이 발생한다. 조정위는 이 경우 조정을 신청하지 않은 피해자들도 같은 보상을 받을 수 있도록 관련 절차를 진행하겠다는 입장이다. SK텔레콤의 해킹 사고 피해자가 약 2300만명에 달한다는 점을 감안하고 1인당 10만원씩 계산하면 보상 규모는 2조 3000억원에 이를 것으로 추산된다. 이는 올해 1~3분기 SK텔레콤 매출액(12조 771억원)의 19%, 영업이익(953억원)의 24배에 달하는 규모다. 다만 조정위는 SK텔레콤이 지난 8월 선제적으로 제공한 고객감사패키지의 50% 요금 할인은 보상안에서 공제하기로 했다. 예를 들어 피해 고객이 8월 4만원의 요금 할인을 받았다면 SK텔레콤은 해당 고객에게 나머지 1만원의 보상액과 5만원 상당의 티플러스포인트만 추가 지급하면 된다. 이를 반영하면 SK텔레콤이 실제로 추가 부담해야 할 보상액은 약 1조 8000억원 규모로 추산된다. 이는 지난해 SK텔레콤의 영업이익(1조 8234억원)과 맞먹는 규모다. 그러나 업계에서는 SK텔레콤이 비용 부담으로 인해 해당 조정안을 수용하기 어려울 것으로 보고 있다. SK텔레콤은 이번 해킹 사태와 관련해 이미 1조원 이상을 고객 보상 및 정보보호 투자 비용으로 지출했고 개인정보보호위원회로부터 역대 최고 규모인 1348억원의 과징금을 부과받은 상태다. 앞서 개인정보위 산하 분쟁조정위원회가 피해자들에게 30만원씩 배상하라고 결정한 조정안에 대해서도 SK텔레콤은 “사고 이후 회사가 취한 선제적 보상 및 재발방지 조치가 조정안에 충분히 반영되지 않았다”며 불수용한 바 있다. 또 연말까지 위약금 면제 조치를 연장하라는 방송통신위원회 통신분쟁조정위원회의 직권 조정 역시 수용하지 않았다. SK텔레콤이 조정안을 받아들이지 않는다면 피해자들은 민사소송 등을 통해 분쟁 절차로 넘어가야 한다. 그간 관련 재판 결과는 상이했다. 해킹으로 1080만명의 명의가 유출돼 2008년 소비자원 분쟁조정위가 5만~10만원을 배상하라고 했지만 조정이 무산됐던 옥션 사건의 경우, 2015년 대법원은 합리적 수준에서 기업이 개인정보 보호 조처를 시행했다며 소비자 배상 책임이 없다고 판단했다. 반면 법원은 2016년 전산망 해킹으로 1030만명의 회원 개인정보가 유출된 인터파크 사안에 대해서는 소송을 제기한 2400여명에게 1인당 10만원씩 배상 판결을 내렸다.

과실 없어도 보이스피싱 피해 ‘전액 배상’ 가닥 “은행권 감내 가능”…면책·한도는 둘 듯 통신사 책임은 일단 제외 보이스피싱 피해가 발생하면 금융사가 잘못이 없더라도 피해액을 원칙적으로 전액 배상하게 될 전망이다. 은행 등 금융권은 보이스피싱 예방 책임 주체인만큼 이동통신사도 포함돼야 한다고 주장했지만, 통신사의 배상 책임은 제외된 것으로 알려졌다. 21일 금융권에 따르면 금융위원회가 마련 중인 통신사기피해환급법 개정안에는 은행 등 금융사가 보이스피싱 피해액의 최대 100%를 배상하도록 하는 내용이 담겼다. 이른바 ‘무과실 배상책임제’로, 금융회사의 과실이 입증되지 않더라도 피해액을 배상하도록 의무화하는 제도다. 금융당국은 은행권이 충분히 감내할 수 있는 수준이라는 입장이다. 금융감독원에 따르면 보이스피싱 건당 평균 피해액은 2023년 2366만원, 2024년 4100만원, 올해 약 5290만원으로 늘었지만, 개별 피해 규모가 수천만원 수준인 점을 고려하면 제도 도입에 따른 부담이 과도하지 않다는 판단이다. 반면 금융권은 무과실 책임 원칙이 과도하게 적용될 경우 범죄 피해에 대한 책임을 금융사가 떠안는 구조가 될 수 있다며 반발해 왔다. 금융위는 무과실 배상 책임의 근거로 카드사 배상 책임과 해외 사례를 들고 있다. 여신전문금융업법 제16조는 소비자 과실이 없는 경우 카드사가 부정 사용 피해를 전액 부담하도록 규정하고 있다. 다만 전액 배상이 일괄 적용되는 것은 아니다. 은행이 거래 과정에서 충분한 사전 경고를 했거나, 피해자의 중대한 과실이 명확히 입증되는 경우에는 면책 대상이 된다. 배상 한도 역시 법제화될 예정이다. 한 금융권 관계자는 “전액 배상이 원칙이지만 건당 일정 금액 이하로 배상 한도를 설정하는 방식도 함께 논의되는 것으로 안다”고 전했다. 핵심 쟁점으로 떠올랐던 통신사 배상 책임은 이번 개정안에 반영되지 않는 쪽으로 결론이 났다. 금융당국 관계자는 “통신사 책임은 권리관계가 복잡해 이번 개정안에서는 제외됐다”고 설명했다. 소비자 보호책임을 금융사에 먼저 묻는 기조는 다른 금융 영역에서도 이어지고 있다. 내년 시행을 목표로 한 디지털자산기본법(2단계 입법)에도 무과실 손해배상책임 규정이 포함될 예정이다. 해킹이나 전산 장애가 발생하면 코인거래소 등 디지털자산 사업자가 책임을 지도록 하는 내용이다.

사고 전과 비슷한 콜드월렛 비중핫월렛·개인키 관리 대책은 공백책임·배상 규정 부재로 불안 지속국내 1위 가상자산(암호화폐) 거래소 업비트가 445억원 규모의 해킹 사고 이후 내놓은 재발 방지책을 두고 실효성 논란이 일고 있다. 핵심 대책으로 내세운 ‘가상자산 콜드월렛 99% 보관’이 사고 이전에도 이미 유지되던 수준이어서다. 특히 정작 해킹이 발생한 ‘핫월렛’에 대한 구체적 대응책은 빠져 있다는 지적도 나온다. 콜드월렛은 온라인과 연결되지 않아 안전한 가상자산 금고이고, 핫월렛은 언제든 편하게 거래하기 위해 온라인에 연결한 가상지산 지갑을 뜻한다. 21일 서울신문이 이헌승 국민의힘 의원실을 통해 금융감독원에서 확보한 ‘5대 가상자산 거래소 콜드·핫월렛 보관 비율 및 금액’ 자료에 따르면 업비트는 올해 9월과 사고가 발생한 지난달 콜드월렛 비중을 99%로 끌어올렸다. 콜드월렛 비중을 80% 이상 유지하도록 한 ‘가상자산이용자보호법’이 시행된 지난해 7월 이후 98% 수준을 유지해 왔다. 다른 거래소들과 비교해도 업비트의 보관 비율은 이미 최상위권이다. 같은 기간 콜드월렛 비중은 빗썸(88~95%), 코인원(82~84%), 코빗(83~85%), 고팍스(81~83%) 수준이었다. 가상자산 업계에 정통한 한 관계자는 “온라인에 연결된 자산을 줄여 안전성을 강화하겠다는 업비트의 의도는 알겠지만 콜드월렛 비중을 늘리고 핫월렛 비중을 지나치게 낮추면 단기간에 출금 수요가 몰릴 경우 대응 속도가 떨어질 수도 있다”고 말했다. 사고가 직접적으로 발생한 핫월렛 해킹 대책이 부실하다는 우려도 나온다. 사고의 본질은 자산 접근 권한을 좌우하는 ‘개인키’ 관리 구조에 있는데 누가, 어떤 절차로 접근 권한을 갖는지에 대한 설명이 빠져 있다는 지적이다. 이헌승 의원실이 5대 거래소에 개인키 관리 체계를 질의한 결과 고팍스를 제외한 4개 거래소는 개인키 접근 인원 규모, 권한 분리 여부, 다중 승인 적용 여부, 이상 접근 탐지 방식 등에 대해 “보안상 이유로 공개할 수 없다”고 답했다. 이와 관련해 업비트 관계자는 업비트 관계자는 “개인키 관리 등 구체적인 보안 대책을 공개할 경우 오히려 공격 설계의 단서가 될 수 있어 세부 사항을 밝히 어렵다”며 “어떤 보안 체계도 100% 완벽할 수 없다는 전제 아래, 만일의 상황에서도 피해 확산을 최소화하기 위해 콜드월렛 중심의 자산 운용 구조를 선택했다”고 설명했다. 이어 “이용자의 입·출금 편의성과 실시간 거래 안정성을 유지해야 하는 거래소 운영 측면에서 상당한 시스템 설계와 운영 리소스를 감수해야 하는 결정”이라며 “앞으로 핫월렛 비율을 더 낮춰서 상시적으로 0%대를 유지한다는 데 의미가 있다”고 밝혔다. 다만 제도적 공백은 여전히 불안을 키우는 요인이다. 가상자산 거래소는 전자금융거래법 적용 대상이 아니어서 해킹 사고와 관련한 직접적인 제재나 무과실 책임을 묻기 어렵다. 금융당국도 현행 가상자산이용자보호법을 근거로 위반 여부를 들여다보는 수준에 머물러 있다. 이 법은 콜드월렛 보관 비율 등 최소한의 자산 보호 기준을 담고 있지만, 해킹 사고 발생 시 사업자의 책임 범위와 배상 방식까지 포괄적으로 규정하진 않았다. 황석진 동국대 국제정보보호대학원 교수는 “콜드월렛 비중을 높이는 것만으로는 내부자 위험이나 개인키 통제 문제를 해결할 수 없다”며 “핵심은 개인키 접근 권한 관리와 내부 통제, 다중 승인 같은 구조적 통제 체계 마련”이라고 말했다. 이어 “사고가 반복될 경우를 대비해 책임 주체와 피해 보상 원칙을 명확히 하는 제도 정비가 필요하다”고 지적했다.

한국소비자원 소비자분쟁조정위원회가 지난 4월 개인정보 유출 사고를 빚은 SK텔레콤에 피해자 1인당 10만원 상당을 지급하라고 결정했다. 이에 대해 SK텔레콤은 21일 “내용을 면밀히 검토한 뒤 신중히 결정하겠다”고 밝혔다. 소비자위는 지난 18일 집단분쟁조정회의를 열고 “지난 7월 민관합동조사단의 조사 결과와 8월 개인정보보호위원회의 처분 내용 등을 볼 때 SK텔레콤 해킹 사고로 개인정보가 유출돼 소비자 피해가 발생한 사실이 인정된다”며 SK텔레콤에 보상 책임이 있음을 확인했다. 이어 각 신청인에게 1인당 5만원의 통신요금 할인과 제휴 업체에서 현금처럼 사용할 수 있는 티플러스포인트 5만 포인트를 지급하도록 했다. 이는 지난 5월 소비자 58명이 해킹 사고로 개인정보 유출 피해를 봤다며 피해 보상과 재발 방지를 요구하는 집단분쟁조정을 신청한 데 따른 것이다. 위원회는 SK텔레콤이 조정 결정을 수락하면 조정 절차에 참여하지 않은 피해자에게도 동일한 보상이 이뤄질 수 있도록 보상계획서 제출을 포함한 관련 절차를 진행하기로 했다. 이럴 경우 해킹 사고 피해자가 2300만명에 달해 보상 규모는 총 2조 3000억원에 이를 것으로 예상된다. SK텔레콤은 조정 결정서를 받은 날로부터 15일 이내에 수락 여부를 위원회에 통보해야 한다. 이와 관련 SK텔레콤 안팎에서는 막대한 비용 부담을 고려할 때 조정안을 수락하기 어려울 것이라는 전망이 나온다. SK텔레콤은 이번 해킹 사태로 이미 1조원 이상을 고객 보상과 정보보호 투자에 지출했고 개인정보보호위원회로부터 1348억원의 과징금도 부과받았다. 올해 실적도 급감했다. 지난 3분기 SK텔레콤 영업이익은 484억원으로 지난해 같은 기간보다 90.9% 감소했다. 매출은 3조 9781억원으로 전년 동기 대비 12.2% 감소했다. 앞서 SK텔레콤은 개인정보보호위원회로부터 1인당 30만원의 배상 결정을 받았지만 수락하지 않았다. 또 연말까지 위약금 면제 조치를 연장하고, 결합상품 가입자에게 위약금을 절반 수준으로 보상하라는 방송통신위원회의 직권 조정 역시 받아들이지 않았다.