SK텔레콤이 개인정보 유출 사고와 관련해 1인당 10만원 상당을 지급하라는 한국소비자원 소비자분쟁조정위원회의 조정안을 받아들이지 않겠다는 입장을 밝혔다. 30일 업계에 따르면 SK텔레콤은 소비자원 분쟁조정위 조정안을 수용하지 않는다는 입장을 소비자원에 제출했다. 이에 따라 조정안은 ‘불성립’으로 종결되며, 신청인은 법원에 별도의 민사소송을 제기해 절차를 이어가야 한다. SK텔레콤은 “분쟁조정위 결정을 심도 있게 검토했으나 자발적 보상 노력과 보안 강화 조치를 선제적으로 이행한 점, 조정안 수용 시 미칠 파급효과가 매우 큰 점을 고려했다”고 말했다. 이어 “조정안 수용이 어려울 수밖에 없음을 양해해 주길 바라고, 향후 고객 신뢰 회복과 추가 피해 예방을 위한 조치를 지속해 강화하겠다”고 덧붙였다. 앞서 소비자위는 SK텔레콤의 개인정보 유출로 소비자 피해가 발생한 사실이 인정된다며 조정 신청인 58명에게 1인당 통신요금 5만원 할인과 제휴사에서 현금처럼 사용할 수 있는 티플러스포인트 5만 포인트 지급을 결정했다. 조정안을 수락할 경우 조정에 참여하지 않은 다른 피해자에게도 동일한 보상이 이뤄져 전체 보상 규모는 약 2조 3000억원에 달할 것으로 추산됐다.

2026년에는 실험단계였던 첨단기술이 일상 속에서 공존할 전망이다. 인공지능(AI)은 기존의 모델 경쟁을 넘어 인프라 전쟁으로 확대하고, 스마트폰 영역에선 글로벌 ‘접기 대전’이 예상된다. 연이은 개인정보유출 사태로 위기감이 커진 보안 분야에서는 ‘AI 창’ 대 ‘AI 방패’의 승부가 펼쳐질 전망이다. 이런 변화를 감지할 첫 무대는 오는 6일(현지시간) 미국 라스베이거스에서 열리는 CES다. AI 인프라 전쟁뭉쳐라!… 전력부터 칩까지 AI 한꺼번에글로벌 빅테크의 AI 경쟁은 더 이상 모델 성능 향상에만 머물지 않는다. 실제 서비스를 얼마나 안정적으로, 장기간 운영할 수 있냐가 경쟁의 새로운 축이다. 따라서 전력·데이터센터·반도체 등 기초 인프라 구축이 핵심으로 떠오르고 있다. 월스트리트저널(WSJ)은 “AI 투자 경쟁은 소프트웨어를 넘어 데이터센터와 반도체, 전력 인프라로 옮겨가고 있다”며 “추론 비용을 낮추지 못하는 기업은 장기 경쟁에서 밀릴 수밖에 없다”고 짚었다. 영상 생성, 로봇 제어 등 연산량과 전력 소모가 큰 서비스가 상용화 단계에 접어들면서 기존의 전력망과 범용 서버 등으로는 수요를 감당하기 어렵다는 것이다. 이에 구글은 최근 약 7조원을 투입해 에너지 인프라 기업 ‘인터섹트’를 인수했다. 데이터센터 전력을 외부망에만 의존하지 않고, 발전 설비와 데이터센터를 한 부지에 통합해 장기적으로 전력 수급 안정성을 꾀하려는 것이다. 오픈AI 진영이 공공 전력망과 분리된 초대형 데이터센터 프로젝트 ‘스타게이트’를 추진하고, 아마존웹서비스(AWS)가 원전 및 소형모듈원자(SMR) 협력으로 독자적인 전력 공급망 구축에 나선 것도 같은 맥락이다. 삼성전자와 SK하이닉스는 글로벌 AI 인프라 경쟁의 핵심 축으로 부상하고 있다. 양사는 올해 6세대 고대역폭 메모리(HBM4) 양산에 본격 돌입하며, AI 서버의 연산 병목을 해소할 핵심 공급사로 주목받고 있다. 업계에서는 HBM을 포함한 AI 특화 메모리 수요가 가파르게 늘어나면서 범용 D램 중심이던 메모리 시장의 수익 구조가 재편될 것으로 보고 있다. 피지컬 AI붙여라!… 자율주행 등 AI 제품 결합 가속지난해까지 AI가 모니터 속 학습·추론 경쟁에 몰두했다면 올해는 자동차·로봇·생활용품 등과 결합하는 ‘피지컬 AI’가 구체화할 전망이다. 삼정KPMG 경제연구원은 세계 최대 가전·정보기술(IT) 박람회 ‘CES 2026’의 첫 번째 키워드로 ‘피지컬 AI’를 꼽으며 “단순 자동화를 넘어 물리적 환경을 이해·판단·조작하는 AI 디바이스가 다수 공개되고, 제조·건설·물류·서비스 등 다양한 분야에서의 실질적 적용 가능성이 구체적으로 제시될 것”이라고 예상했다. 대표적으로 모빌리티에선 실험 단계였던 자율주행 시장이 올해 크게 확대될 전망이다. 지난해 미국에서 무인 로보택시를 운영한 구글의 자율주행 자회사 ‘웨이모’는 올해 차량 호출 앱 ‘웨이모 원’을 내놓으며 대중을 상대로 서비스를 확대할 예정이다. 중국에선 바이두의 자율주행 자회사 ‘아폴로 고’가 자율주행 레벨4(고도자동화) 수준의 로보택시를 상용화하며 웨이모를 바짝 추격하고 있다. 우리나라의 경우 현대차그룹의 자회사 ‘포티투닷’이 오는 8월 첫 자율주행 실험차 ‘SDV 페이스카’를 공개할 예정이다. 지난해 스마트홈 각축전을 벌였던 가전 분야와 단순 자동화 극복이 과제인 산업 분야에서 기업들은 올해 AI를 탑재한 휴머노이드를 앞다퉈 내놓을 예정이다. LG전자는 CES 2026에서 다섯 손가락을 갖춰 집안일에 최적화된 가전용 휴머노이드 ‘클로이드’를 공개한다. 보스턴다이내믹스도 휴머노이드 ‘아틀라스’를 처음 선보인다. AI가 접목된 웨어러블 기기도 경쟁이 치열할 전망이다. 메타가 지난해 선보인 스마트 안경 ‘레이밴 메타’로 시장을 선점하는 가운데 구글은 올해 중 자사 AI인 ‘제미나이’가 탑재된 스마트 안경을 출시한다. 스마트폰접어라!… 몇 번이든, 차세대 폴더블폰 전쟁스마트폰 시장에서는 대형 화면을 접는 ‘폴더블폰’이 주류 프리미엄 폼팩터(기기 형태)로 자리매김하며 글로벌 싸움이 치열해질 것으로 보인다. 지난해 삼성전자는 두 번 접히는 ‘갤럭시 트라이폴드’를 선보이며 중국 화웨이가 독점하던 트라이폴드 경쟁에 뛰어들었다. 갤럭시 트라이폴드는 360만원이라는 초고가에다 한정된 물량만 시중에 푸는 ‘플래그십’을 펼쳤지만 연일 완판 행진을 했다. 올해는 중국 샤오미와 미국 애플이 트라이폴드 시장에 진입할 것으로 보인다. 샤오미타임 등 외신에 따르면 샤오미는 지난해 세계이동통신사업자연합회(GSMA)에 신제품을 등록했는데, 태블릿 사이즈로 펼쳐지는 트라이폴드형일 가능성이 거론된다. 애플 역시 아이폰18 시리즈와 함께 자사 첫 폴더블폰인 ‘아이폰 폴드’ 모델을 준비 중이다. 양산 막바지인 세부 디자인 조정 단계에 진입한 것으로 전해지면서 출시가 임박한 것으로 예측된다. 아이폰 팬층의 탄탄한 수요를 고려하면 아이폰 폴드 출시와 함께 폴더블폰 시장이 요동칠 수 있다. 시장 조사 기관인 IDC는 아이폰 폴드의 출시로 세계 폴더블폰 시장이 올해 30% 성장할 것으로 예측했다. 해킹막아라!… 뚫리면 끝장, 보안 단속에 사활안랩은 지난해 말 발간한 ‘2025년 사이버 위협 동향 및 2026년 전망’ 보고서에서 첫 번째 보안 위협으로 ‘AI 기반 공격의 전방위 확산’을 꼽았다. 안랩은 “AI가 피해자의 환경을 분석하고 표적을 정확하게 타격할 수 있는 ‘적응형 공격’이 확대될 것”이라고 분석했다. 또 개인이 AI를 식별하기 어려울 정도로 기술이 발전하면서 딥페이크 등 AI를 악용한 정교한 피싱이 증가하고, AI를 활용한 해킹 신기술이 급속도로 발전하며 해킹의 진입 장벽을 낮출 것이라고 우려했다. 다만 AI에 따른 보안 위협에 대응하는 도구로도 AI가 부상할 전망이다. 보안업체 ‘시큐아이’는 ‘2026년 보안 트렌드’ 보고서에서 “공격과 방어 전반에 AI가 확산하며 사이버 보안이 본격적인 ‘AI 대 AI’의 경쟁 구도로 전환 될 것”이라고 분석했다. 김명주 AI안전연구소장은 “지난해보다 올해 생성형 AI로 만든 사진·영상을 식별하기가 훨씬 어려워졌고, 지방선거 등 큰 행사가 있는 만큼 AI 악용이 본격화될 것”이라며 “AI기본법이 시행되면 정부 차원에서도 AI 부작용에 대비하는 체계를 마련해야 한다”고 지적했다.

서버 94대·악성코드 103종 감염문자·통화 내용까지 유출될 위험정부, 전 이용자 위약금 면제 요구KT, 오늘 고객 보상안 논의 예정‘서버 폐기 정황’ LGU+ 경찰 수사 정부가 지난 9월 공개된 KT 해킹 사건의 최종 조사 결과를 29일 발표하며 전 이용자를 대상으로 중도 해지 위약금을 전액 면제하라고 요구했다. KT는 “고객 보상안을 조속히 발표하겠다”고 밝혔다. 과학기술정보통신부가 이날 발표한 ‘KT 침해 사고 최종 조사 결과’에 따르면 KT 서버 3만 3000대를 점검한 결과 서버 94대가 BPF도어, 루트킷, 분산 서비스 거부(디도스) 공격형 코드 등 악성코드 103종에 감염된 것으로 확인됐다. 앞서 역대급 통신사 해킹 사건이 일어났다던 SK텔레콤은 28대 서버에서 BPF도어 계열 27종을 포함해 모두 33종의 악성코드 감염이 확인됐다. SKT보다 KT의 감염 범위가 더 광범위했던 것이다. 다만 개인정보 유출 규모 측면에선 SKT 2300만명, KT 2만 2000여명으로 SKT가 압도적으로 컸다. 서버 감염과 별도로 불법 초소형 기지국(펨토셀)이 통신망에 무단 접속해 국제이동가입자식별정보(IMSI), 국제단말기식별번호(IMEI), 전화번호가 유출된 이용자는 2만 2227명, 무단 소액결제 피해자는 368명, 피해액은 2억 4300만원으로 중간 조사 결과와 같았다. 민관합동조사단은 경찰이 무단 소액결제범들로부터 확보한 불법 펨토셀을 포렌식 분석한 결과 결제 인증 정보가 탈취된 사실을 파악하는 한편 이용자의 문자메시지와 통화 내용까지 빼내는 것이 가능하다는 점을 확인했다. 조사단은 “KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 언제 어디서든 접속할 수 있었다”면서 “인증 서버 IP의 주기적 변경과 대외비 관리 등 보안 관리 개선책을 마련하라”고 요구했다. 과기정통부는 문자메시지와 음성 통화가 제삼자에게 새 나갈 위험성은 소액결제 피해를 본 일부 이용자에 국한된 것이 아닌 전체 이용자에 해당한다고 판단하고, KT 측에 모든 이용자를 대상으로 위약금을 면제할 것을 주문했다. KT는 30일 이사회를 열고 위약금 면제 범위와 고객 보상안을 논의해 발표할 예정이다. 한편 LG유플러스는 허위 자료 제출과 서버 폐기 정황이 드러나 경찰 수사를 받게 됐다. 조사단은 통합 서버 접근제어 솔루션(APPM)과 연결된 정보가 유출된 것을 확인했으나, 익명 제보자가 제공한 자료와 회사가 제출한 자료가 서로 달랐다. 여기에 서버 운영체계(OS)를 폐기한 정황까지 드러나 조사단은 LG유플러스를 공무집행방해 혐의로 경찰에 수사를 의뢰했다.

KT 무단 소액결제 사건을 수사해 온 경찰이 범인들이 지난해 같은 범죄를 시도한 정황을 포착했다. 경기남부경찰청 사이버수사과는 29일 오후 서울 정부종합청사에서 KT 무단 소액결제 사건 수사 결과를 발표하며 “범인들이 지난해 5월 불법 기지국(펨토셀)을 운영한 정황이 나왔다”고 밝혔다. 경찰에 따르면 지난 8~9월 차량에 불법 펨토셀 장비를 싣고 수도권 특정 지역 아파트를 돌아다니며 불상의 방법으로 해당 지역 KT 가입자들의 휴대전화를 해킹해 소액결제를 한 혐의로 구속된 한국계 중국인(중국동포) A(48) 씨에 앞서 다른 공범들이 동일한 범죄를 시도했다가 실패했다. A 씨가 범행에 사용한 불법 펨토셀 장비는 지난해 4월 50대 한국인 B 씨가 평소 텔레그램을 통해 알고 지내던 상선으로부터 처음 전달받은 것으로 확인됐다. B 씨는 500만 원을 받는 대가로 상선(신원 불상)의 지시에 따라 경기 남부 모처로 가서 불법 펨토셀을 수령한 뒤 운용에 나섰다. 그는 이후 지인을 통해 일당 8만 원에 20대 남성 1명을 섭외한 뒤 같은 해 5월 2일부터 9일까지 8일간 불법 펨토셀을 차에 싣고 서울 전역을 돌아다니도록 했다. 이는 A 씨의 범행 방식과 동일한 이른바 ‘워 드라이빙’ 수법을 쓴 것으로 두 사건이 비슷했다. 그러나 당시 범행은 펨토셀이 정상 작동하지 않아 실패로 돌아갔다. B 씨는 불법 펨토셀 장비 중 일부를 중국으로 보내고, 나머지는 갖고 있다가 올해 6월 상선의 지시를 받아 중국동포 30대 C 씨에게 보관 중이던 장비를 전달했다. C 씨는 이와 더불어 중국인 상선(인터폴 적색수배)이 보내준 펨토셀, 그리고 자신이 중국으로 가서 받은 노트북과 휴대전화를 지난 7월 19일 A 씨에게 건넸다. 이후 A 씨는 펨토셀 2점, 라우터(통신장비) 5점, 지향성 안테나, 부속품 등 총 31점으로 구성된 불법 펨토셀 장비를 가지고 범행한 것으로 밝혀졌다. 한편, ‘KT 무단 소액결제 사건’ 당시 사용된 인증서가 과거 군부대에 설치됐다 유실됐던 KT 펨토셀(초소형 기지국) 인증서였던 것으로 확인됐다. 경찰은 “KT 무단 소액결제 범행 일당이 사용한 KT 인증서는 2019년 7월 경기 북부에 위치한 군부대에 설치됐던 KT 펨토셀 인증서로 확인됐다”며 “상선이 유실된 소형기지국을 불상의 방법으로 입수해 저장된 인증서를 사용한 것으로 추정된다”고 밝혔다. KT가 모든 펨토셀에 같은 인증서를 쓰고 유효기간도 10년으로 설정하는 등 인증 관리를 허술하게 하면서, 유실됐던 KT 펨토셀에서 확보한 인증서로도 일당이 접속할 수 있었던 것으로 보인다. KT 부정 결제 다중피해 사건과 관련해 경기남부경찰청으로 접수된 피해자는 227명, 피해액은 약 1억 4500만 원이다. 피해지역은 광명, 금천, 과천, 부천, 인천, 고양, 동작, 서초, 영등포 등 9곳이다. 경찰은 5명을 구속하고, 8명을 불구속하는 등 총 13명을 검거했다. 상선 등 2명은 추적 중이다. 경찰이 확보한 장비는 펨토셀 2점과 라우터 5점, 지향성 안테나, 부속품을 포함해 모두 31점이고, 실제 범행에 이용된 장치는 옥외형 펨토셀 1점, 라우터 2점 등으로 확인됐다. 경찰 관계자는 “초유의 사건인 ‘KT휴대폰 부정결제 다중피해’와 관련해 사건 발생 직후부터 모든 수사 역량을 집중 투입하여 국내에서 장비를 운용한 전원을 검거했다”며 “또한 장비 확보와 대량의 자료 분석을 통해 이 사건의 범행 수법을 규명했다”고 전했다. 이어 “이번 검거에 그치지 않고, 해외에 거점을 두고 은신 중인 피의자들에 대해서도 끝까지 추적하겠다”며 “사이버범죄는 국경이 없으므로 인터폴 등 해외 법집행기관과의 국제공조 등 긴밀한 협력을 통해 반드시 검거하겠다”고 덧붙였다.

배상 한도 설정하는 방식도 논의통신사 배상 책임은 포함 안 될 듯보이스피싱 피해가 발생하면 금융사가 잘못이 없더라도 피해액을 원칙적으로 전액 배상하게 될 전망이다. 은행 등 금융권은 보이스피싱 예방 책임 주체인만큼 이동통신사도 포함돼야 한다고 주장했지만, 통신사의 배상 책임은 제외된 것으로 알려졌다. 21일 금융권에 따르면 금융위원회가 마련 중인 통신사기피해환급법 개정안에는 은행 등 금융사가 보이스피싱 피해액의 최대 100%를 배상하도록 하는 내용이 담겼다. 이른바 ‘무과실 배상책임제’로, 금융회사의 과실이 입증되지 않더라도 피해액을 배상하도록 의무화하는 제도다. 금융당국은 은행권이 충분히 감내할 수 있는 수준이라는 입장이다. 금융감독원에 따르면 보이스피싱 건당 평균 피해액은 2023년 2366만원, 2024년 4100만원, 올해 약 5290만원으로 늘었지만, 개별 피해 규모가 수천만원 수준인 점을 고려하면 제도 도입에 따른 부담이 과도하지 않다는 판단이다. 반면 금융권은 무과실 책임 원칙이 과도하게 적용될 경우 범죄 피해에 대한 책임을 금융사가 떠안는 구조가 될 수 있다며 반발해 왔다. 금융위는 무과실 배상 책임의 근거로 카드사 배상 책임과 해외 사례를 들고 있다. 여신전문금융업법 제16조는 소비자 과실이 없는 경우 카드사가 부정 사용 피해를 전액 부담하도록 규정하고 있다. 다만 전액 배상이 일괄 적용되는 것은 아니다. 은행이 거래 과정에서 충분한 사전 경고를 했거나, 피해자의 중대한 과실이 명확히 입증되는 경우에는 면책 대상이 된다. 배상 한도 역시 법제화될 예정이다. 한 금융권 관계자는 “전액 배상이 원칙이지만 건당 일정 금액 이하로 배상 한도를 설정하는 방식도 함께 논의되는 것으로 안다”고 전했다. 핵심 쟁점으로 떠올랐던 통신사 배상 책임은 이번 개정안에 반영되지 않는 쪽으로 결론이 났다. 금융당국 관계자는 “통신사 책임은 권리관계가 복잡해 이번 개정안에서는 제외됐다”고 설명했다. 소비자 보호책임을 금융사에 먼저 묻는 기조는 다른 금융 영역에서도 이어지고 있다. 내년 시행을 목표로 한 디지털자산기본법(2단계 입법)에도 무과실 손해배상책임 규정이 포함될 예정이다. 해킹이나 전산 장애가 발생하면 코인거래소 등 디지털자산 사업자가 책임을 지도록 하는 내용이다.

한국소비자원 소비자분쟁조정위원회가 SK텔레콤에 개인정보 유출 사고와 관련해 1인당 10만원 상당을 보상하라는 조정안을 내놨다. 총 2조 3000억원으로 추산되는 보상안에 대해 SK텔레콤은 향후 15일간 수용 여부를 결정할 수 있는데, 일단 ‘신중히 검토하겠다’는 입장을 보였다. 조정위는 21일 “7월 민관합동조사단의 조사 결과와 8월 개인정보보호위원회의 처분 내용 등을 볼 때 SK텔레콤 해킹 사고로 개인정보가 유출돼 소비자 피해가 발생한 사실이 인정된다”며 “소비자 개인의 피해 회복을 위해 SK텔레콤에 보상 책임이 있음을 확인했다”고 밝혔다. 이어 조정위는 지난 18일 집단분쟁조정회의를 통해 개인정보 유출 사고 피해자들에게 1인당 5만원의 통신요금 할인과 ‘티플러스포인트’ 5만 포인트를 지급하는 내용의 조정안을 결정했다고 설명했다. 티플러스포인트는 SK텔레콤의 제휴 업체에서 현금처럼 사용할 수 있는 포인트여서, 1인당 10만원 상당의 보상안을 내놓은 셈이다. 이에 대해 SK텔레콤은 “조정위의 조정안 내용을 면밀히 검토한 후 신중히 결정할 것”이라며 조정안 수용 여부를 숙고하겠다는 공식 입장을 내놨다. 다만 SK텔레콤은 아직 조정 결정서를 공식적으로 전달받지는 않은 것으로 알려졌다. 지난 5월 SK텔레콤 이용자 58명은 ‘홈 가입자 서버’ 해킹 사고로 개인정보가 유출되는 피해를 입었다며 한국소비자원에 피해 보상 및 재발 방지를 요구하는 집단분쟁조정을 신청했다. 조정위가 결정서를 양측에 공식 통지한 후 15일 기한 내에 별도 의사 표시가 없으면 조정안을 수락한 것으로 취급하고 재판상 화해의 효력이 발생한다. 조정위는 이 경우 조정을 신청하지 않은 피해자들도 같은 보상을 받을 수 있도록 관련 절차를 진행하겠다는 입장이다. SK텔레콤의 해킹 사고 피해자가 약 2300만명에 달한다는 점을 감안하고 1인당 10만원씩 계산하면 보상 규모는 2조 3000억원에 이를 것으로 추산된다. 이는 올해 1~3분기 SK텔레콤 매출액(12조 771억원)의 19%, 영업이익(953억원)의 24배에 달하는 규모다. 다만 조정위는 SK텔레콤이 지난 8월 선제적으로 제공한 고객감사패키지의 50% 요금 할인은 보상안에서 공제하기로 했다. 예를 들어 피해 고객이 8월 4만원의 요금 할인을 받았다면 SK텔레콤은 해당 고객에게 나머지 1만원의 보상액과 5만원 상당의 티플러스포인트만 추가 지급하면 된다. 이를 반영하면 SK텔레콤이 실제로 추가 부담해야 할 보상액은 약 1조 8000억원 규모로 추산된다. 이는 지난해 SK텔레콤의 영업이익(1조 8234억원)과 맞먹는 규모다. 그러나 업계에서는 SK텔레콤이 비용 부담으로 인해 해당 조정안을 수용하기 어려울 것으로 보고 있다. SK텔레콤은 이번 해킹 사태와 관련해 이미 1조원 이상을 고객 보상 및 정보보호 투자 비용으로 지출했고 개인정보보호위원회로부터 역대 최고 규모인 1348억원의 과징금을 부과받은 상태다. 앞서 개인정보위 산하 분쟁조정위원회가 피해자들에게 30만원씩 배상하라고 결정한 조정안에 대해서도 SK텔레콤은 “사고 이후 회사가 취한 선제적 보상 및 재발방지 조치가 조정안에 충분히 반영되지 않았다”며 불수용한 바 있다. 또 연말까지 위약금 면제 조치를 연장하라는 방송통신위원회 통신분쟁조정위원회의 직권 조정 역시 수용하지 않았다. SK텔레콤이 조정안을 받아들이지 않는다면 피해자들은 민사소송 등을 통해 분쟁 절차로 넘어가야 한다. 그간 관련 재판 결과는 상이했다. 해킹으로 1080만명의 명의가 유출돼 2008년 소비자원 분쟁조정위가 5만~10만원을 배상하라고 했지만 조정이 무산됐던 옥션 사건의 경우, 2015년 대법원은 합리적 수준에서 기업이 개인정보 보호 조처를 시행했다며 소비자 배상 책임이 없다고 판단했다. 반면 법원은 2016년 전산망 해킹으로 1030만명의 회원 개인정보가 유출된 인터파크 사안에 대해서는 소송을 제기한 2400여명에게 1인당 10만원씩 배상 판결을 내렸다.

과실 없어도 보이스피싱 피해 ‘전액 배상’ 가닥 “은행권 감내 가능”…면책·한도는 둘 듯 통신사 책임은 일단 제외 보이스피싱 피해가 발생하면 금융사가 잘못이 없더라도 피해액을 원칙적으로 전액 배상하게 될 전망이다. 은행 등 금융권은 보이스피싱 예방 책임 주체인만큼 이동통신사도 포함돼야 한다고 주장했지만, 통신사의 배상 책임은 제외된 것으로 알려졌다. 21일 금융권에 따르면 금융위원회가 마련 중인 통신사기피해환급법 개정안에는 은행 등 금융사가 보이스피싱 피해액의 최대 100%를 배상하도록 하는 내용이 담겼다. 이른바 ‘무과실 배상책임제’로, 금융회사의 과실이 입증되지 않더라도 피해액을 배상하도록 의무화하는 제도다. 금융당국은 은행권이 충분히 감내할 수 있는 수준이라는 입장이다. 금융감독원에 따르면 보이스피싱 건당 평균 피해액은 2023년 2366만원, 2024년 4100만원, 올해 약 5290만원으로 늘었지만, 개별 피해 규모가 수천만원 수준인 점을 고려하면 제도 도입에 따른 부담이 과도하지 않다는 판단이다. 반면 금융권은 무과실 책임 원칙이 과도하게 적용될 경우 범죄 피해에 대한 책임을 금융사가 떠안는 구조가 될 수 있다며 반발해 왔다. 금융위는 무과실 배상 책임의 근거로 카드사 배상 책임과 해외 사례를 들고 있다. 여신전문금융업법 제16조는 소비자 과실이 없는 경우 카드사가 부정 사용 피해를 전액 부담하도록 규정하고 있다. 다만 전액 배상이 일괄 적용되는 것은 아니다. 은행이 거래 과정에서 충분한 사전 경고를 했거나, 피해자의 중대한 과실이 명확히 입증되는 경우에는 면책 대상이 된다. 배상 한도 역시 법제화될 예정이다. 한 금융권 관계자는 “전액 배상이 원칙이지만 건당 일정 금액 이하로 배상 한도를 설정하는 방식도 함께 논의되는 것으로 안다”고 전했다. 핵심 쟁점으로 떠올랐던 통신사 배상 책임은 이번 개정안에 반영되지 않는 쪽으로 결론이 났다. 금융당국 관계자는 “통신사 책임은 권리관계가 복잡해 이번 개정안에서는 제외됐다”고 설명했다. 소비자 보호책임을 금융사에 먼저 묻는 기조는 다른 금융 영역에서도 이어지고 있다. 내년 시행을 목표로 한 디지털자산기본법(2단계 입법)에도 무과실 손해배상책임 규정이 포함될 예정이다. 해킹이나 전산 장애가 발생하면 코인거래소 등 디지털자산 사업자가 책임을 지도록 하는 내용이다.

한국소비자원 소비자분쟁조정위원회가 지난 4월 개인정보 유출 사고를 빚은 SK텔레콤에 피해자 1인당 10만원 상당을 지급하라고 결정했다. 이에 대해 SK텔레콤은 21일 “내용을 면밀히 검토한 뒤 신중히 결정하겠다”고 밝혔다. 소비자위는 지난 18일 집단분쟁조정회의를 열고 “지난 7월 민관합동조사단의 조사 결과와 8월 개인정보보호위원회의 처분 내용 등을 볼 때 SK텔레콤 해킹 사고로 개인정보가 유출돼 소비자 피해가 발생한 사실이 인정된다”며 SK텔레콤에 보상 책임이 있음을 확인했다. 이어 각 신청인에게 1인당 5만원의 통신요금 할인과 제휴 업체에서 현금처럼 사용할 수 있는 티플러스포인트 5만 포인트를 지급하도록 했다. 이는 지난 5월 소비자 58명이 해킹 사고로 개인정보 유출 피해를 봤다며 피해 보상과 재발 방지를 요구하는 집단분쟁조정을 신청한 데 따른 것이다. 위원회는 SK텔레콤이 조정 결정을 수락하면 조정 절차에 참여하지 않은 피해자에게도 동일한 보상이 이뤄질 수 있도록 보상계획서 제출을 포함한 관련 절차를 진행하기로 했다. 이럴 경우 해킹 사고 피해자가 2300만명에 달해 보상 규모는 총 2조 3000억원에 이를 것으로 예상된다. SK텔레콤은 조정 결정서를 받은 날로부터 15일 이내에 수락 여부를 위원회에 통보해야 한다. 이와 관련 SK텔레콤 안팎에서는 막대한 비용 부담을 고려할 때 조정안을 수락하기 어려울 것이라는 전망이 나온다. SK텔레콤은 이번 해킹 사태로 이미 1조원 이상을 고객 보상과 정보보호 투자에 지출했고 개인정보보호위원회로부터 1348억원의 과징금도 부과받았다. 올해 실적도 급감했다. 지난 3분기 SK텔레콤 영업이익은 484억원으로 지난해 같은 기간보다 90.9% 감소했다. 매출은 3조 9781억원으로 전년 동기 대비 12.2% 감소했다. 앞서 SK텔레콤은 개인정보보호위원회로부터 1인당 30만원의 배상 결정을 받았지만 수락하지 않았다. 또 연말까지 위약금 면제 조치를 연장하고, 결합상품 가입자에게 위약금을 절반 수준으로 보상하라는 방송통신위원회의 직권 조정 역시 받아들이지 않았다.

SK텔레콤 개인정보 유출 사고 피해자들이 1인당 10만원씩 보상받게 됐다. SK텔레콤이 조정안을 수락해 전체 피해자 약 2300만명에게 보상이 확대될 경우 보상 규모는 최대 2조 3000억원에 달할 것으로 예상된다. 한국소비자원 소비자분쟁조정위원회는 지난 18일 열린 집단분쟁조정회의에서 SK텔레콤에 개인정보 유출 피해 신청자들에게 1인당 10만원 상당의 보상금 지급 결정을 내렸다고 21일 발표했다. 조정위 측은 “민관합동조사단의 7월 조사 결과와 개인정보보호위원회의 8월 처분 결과를 보면 SKT 해킹으로 인한 개인정보 유출과 소비자 피해가 발생한 사실이 인정된다”며 “이에 따라 SKT에 보상 책임이 있음을 확인했다”고 밝혔다. 보상 내용을 살펴보면 신청인들은 통신요금에서 5만원을 깎아주고, 제휴사에서 현금같이 사용 가능한 티플러스포인트 5만 포인트를 받게 된다. 이번 분쟁조정은 지난 5월 9일 소비자 58명이 ‘SKT 홈가입자서버’ 해킹 사고로 개인정보가 유출된 데 대해 보상과 재발 방지 대책을 요구하며 집단분쟁조정을 신청한 것이 발단이었다. 조정위는 SK텔레콤이 이번 결정을 받아들이면 조정에 참여하지 않은 나머지 피해자들도 동일하게 보상을 받을 수 있도록 후속 절차를 밟을 방침이다. 피해자가 약 2300만명에 달하는 만큼 전체를 대상으로 보상이 이뤄질 경우 총액은 2조 3000억원 규모가 될 전망이다. 조정위는 조만간 SK텔레콤에 조정결정서를 보낼 예정이며, SK텔레콤은 이를 받은 뒤 15일 이내에 수락 의사를 조정위에 통보해야 한다. 이에 대해 SK텔레콤 측은 조정안을 면밀히 검토한 뒤 신중히 결정하겠다는 입장을 밝혔다.

2025년은 한국 개인정보 보호가 완전한 실패를 기록한 해로 남을 것이다. 쿠팡에서 3370만명의 개인정보가 유출됐고, 업비트에서 445억원 규모 해킹 사고가 났다. SK텔레콤·KT·LG유플러스 등 통신3사에선 고객정보 유출 사고가 연쇄적으로 발생했다. 국민 대다수의 개인정보가 모조리 흔들렸다. 한때 세계가 부러워했던 ‘정보통신기술(ICT) 강국’이라는 위상은 허술한 정보보안 체계 앞에 무너졌다. 허술한 보안 체계는 잘못 꿴 첫 단추를 방치한 결과다. 한국은 개인정보를 ‘개인의 것’으로 본다. 따라서 개인이 사전동의 여부를 판단하고, 사고가 나면 피해자가 기업의 과실을 증명해야 한다. 2015년 징벌적 손해배상제도를 도입해 손해액의 최대 3배까지 배상하게 한 법적 근거는 있지만 ‘고의·중과실 없음을 증명하면 면책’이라는 조항 덕분에 단 한번도 적용되지 않았다. 반면 유럽의 일반정보보호규정(GDPR)은 개인정보를 기업이 관리하는 자산으로 보고, 유출 사고가 나면 기업이 제대로 관리했음을 증명해야 한다. 이 체계를 근본적으로 뜯어고칠 기회가 한국에 있었다. 액티브X와 공인인증서 논란 때다. 2010년 아이폰 등장 이후 인터넷익스플로러 브라우저에서만 작동하던 액티브X가 스마트폰에서 가동되지 않으며 일부 사이트의 스마트폰 접속에 문제가 생겼다. 2014년 액티브X에 막혀 해외 팬들이 국내 사이트에서 판매하는 ‘천송이 코트’를 직구하지 못하는 문제가 생겼다. 이에 박근혜·문재인 정부 모두 이를 없애야 할 대표적 규제로 삼았다. 그러나 실제 공인인증서가 배타적인 법적 지위를 잃은 건 2020년 12월. 도입되고 21년, 문제가 발견된 뒤 11년이 걸렸다. 게다가 인증서 종류만 늘었을 뿐 개인정보를 개인이 스스로 지켜야 할 것으로 보는 관점의 ICT 보안 체계는 유지됐고, 공인인증서 또한 ‘공동인증서’로 이름이 바뀐 채 여전히 쓰인다. ‘갈라파고스 제도’인 공인인증서 폐지가 지지부진했던 이유는 역설적으로 정답이 명확했기 때문이다. 글로벌 스탠더드에 맞춰 액티브X 없이 SSL/TLS만 쓰면 풀릴 문제였지만, 이렇게 전체 보안체계 틀을 바꾸면서 액티브X 생태계가 무너졌다. 공인인증서 발급 기관, 보안 솔루션 판매 기업, 금융사와 공공기관의 보안 부서, 학계 연구진 모두에게 구조적 문제 해결이란 곧 사업 기반의 붕괴를 의미했다. 구조적 문제를 풀어야 공익이 실현되지만, 그 문제를 방치해서 부작용이 생길 때마다 해결할 일거리를 만드는 게 수백, 수천명의 집단적 사익에 부합했다. 결과적으로 전 세계는 SSL/TLS 통신 암호화만으로 보안을 담보하고 사고 시 기업이 책임지는 체계를 택했으나, 한국은 SSL/TLS 위에 각종 보안 프로그램과 인증서를 겹겹이 씌우는 방식을 유지했다. 언뜻 이중보안처럼 보이지만 사이트마다 강제 설치되는 프로그램들이 서로 충돌해 컴퓨터 성능을 떨어뜨리고 오히려 해킹 경로가 되는 역설을 낳았다. 또한 개인에게 보안 책임을 떠넘기는 체계는 정작 기업의 보안 관리 책임을 느슨하게 만들었다. 정보보안 문제 이전에 이미 같은 방식의 정책 실기가 있었다. 산아제한 정책이다. 현재 인구 규모를 유지하는 합계출산율 2.1명을 1983년에 이미 달성했음에도 정부는 이를 일시적 현상으로 보고 조직과 예산을 유지했다. 1996년이 돼서야 산아제한에서 산아자율로 전환했고, 2003년에야 출산장려 정책으로 바뀌었다. 합계출산율 목표 달성 뒤 20년이 지나서야 정책을 전환한 결과 한국은 이제 돌이킬 수 없는 저출산 사회가 됐다. 개인정보 보호 체계도 같은 길을 걷고 있다. 쿠팡 사태라는 재앙의 이면에는 보안 컨설팅, 법률 자문, 정책 연구, 대책 TF의 일감 생태계가 작동한다. 보안 체계를 싹 고쳐 글로벌 스탠더드를 도입하면 문제는 해결되지만 조직과 예산은 소멸된다. 그러나 이번에 드러난 부작용만 관리한다면 신규 예산은 또 마련된다. 부작용이 부작용을 낳고 그 부작용을 막는 대책이 또 다른 부작용을 만드는 악순환. 산아제한이 목표 달성 후에도 20년간 지속됐듯 한국은 돌이킬 수 없는 개인정보 유출 사회로 향하고 있다. ‘마누라 빼고 다 바꾼다’던 저력은 어디로 갔을까. 홍희경 논설위원

사고 인지 6시간 넘어 늑장 신고 가상자산 거래소 보안 사고 반복9월까지 20건… 업비트 6건 최다‘무과실 책임’ 사업자 제외돼 있어“연내 배상·보안 강화 법제화해야” 국내 1위 가상자산 거래소 업비트에서 해킹 시도 54분 만에 1000억개가 넘는 코인이 외부로 빠져나갔던 것으로 확인됐다. 가상자산 시장이 급속도로 확대되면서 해킹·보안 사고 시 대규모 피해로 이어질 수 있지만, 현행법상 이를 직접 제재하거나 배상을 강제할 조항이 없어 ‘규제·감독 사각지대’ 우려가 커지고 있다. 업비트가 사고를 인지한 뒤 금융당국에 신고하기까지 6시간이 넘게 걸린 사실도 드러났다. 7일 국회 정무위원회 소속 강민국 의원실이 금융감독원으로부터 제출받은 자료에 따르면 이번 사고는 지난달 오전 4시 42분부터 5시 36분까지 54분간 발생했다. 업비트는 해킹 시도를 즉각 인지해 오전 5시 긴급회의를 열고 5시 27분 솔라나 계열 디지털자산 입출금을 중단했다. 이후 오전 8시 55분에는 전체 자산 입출금도 막았다. 하지만 금감원 첫 신고는 오전 10시 58분, 한국인터넷진흥원(KISA) 신고는 오전 11시 57분이었다. 경찰과 금융위원회 보고는 각각 오후 1시 16분과 오후 3시에 이뤄졌고, 비정상 출금 사실을 홈페이지에 공지한 시간도 오후 12시 33분이었다. 특히 업비트 운영사 두나무와 네이버파이낸셜의 합병 행사(오전 10시50분) 이후 신고가 이뤄진 점을 두고 ‘신고 지연’ 논란도 불거졌다. 유출된 자산은 솔라나 계열 코인 24종 1040억 6470만여개(약 445억원)로, 초당 약 3200만개(1370만원)씩 빠져나간 셈이다. 이런 가상자산 업계 보안 사고는 반복되고 있다. 이강일 의원실에 따르면 2023년부터 올해 9월까지 5대 가상자산 거래소에서 20건의 전산사고가 발생했으며, 그중 업비트가 6건(피해자 616명·피해액 31억9967만원)으로 가장 많았다. 문제는 가상자산 사업자 해킹 사고에 대한 직접 제재나 배상을 강제할 법적 근거가 없다는 점이다. 업비트는 이번 피해액을 모두 회사 자산으로 보전하겠다고 밝혔지만, 현행 전자금융거래법은 금융회사와 전자금융업자만 무과실 책임 대상에 포함하고 있어 가상자산 사업자는 제외돼 있다. 지난해 시행된 ‘가상자산 이용자 보호법(1단계법)’에도 해킹·전산 사고 관련 조항은 없다. 금감원이 업비트에 대한 현장 점검에 착수했지만, 엄중 제재로 이어질 가능성은 크지 않다는 분석이 나온다. 전문가들은 배상의 핵심 쟁점을 ‘입증 책임’으로 꼽으며, 사전·사후 관리·감독을 강화해야 한다고 지적한다. 황석진 동국대 교수는 “이번 사고는 개별 계좌가 아닌 전체 계좌에서 자산이 빠져나간 형태라, 누구에게 얼마나 피해가 발생했는지 객관적으로 입증하기가 매우 어렵다”며 “연말 전에 가상자산 사업자에게 명시적 배상 책임을 부과하고, 보안·안정성 기준을 은행 수준 이상으로 높이는 내용을 법제화할 필요가 있다”고 말했다.

정부가 최근 가정집과 병원·마사지시술소 등에 설치된 IP(인터넷 프로토콜) 카메라 12만여대를 해킹해 민감한 개인정보로 만든 성 착취물을 유통한 범행이 적발된 사건과 관련해 추가 피해를 막기 위한 조치에 나선다. 7일 과학기술정보통신부·개인정보보호위원회·방송미디어통신위원회·경찰청은 지난해 11월 관계부처 합동으로 마련한 ‘IP카메라 보안강화 방안’의 후속대책을 수립해 추진한다고 밝혔다. 이번 후속대책은 지난달 30일 알려진 IP카메라 12만여대를 해킹해 해외 사이트에 판매한 사건과 관련해 영상 유출 피해 최소화 및 국민 사생활 보호를 위해 신속히 추가로 마련됐다. 4명의 피의자는 해킹한 IP카메라로 만든 성 착취물을 해외 사이트에 유포하거나 보관한 것으로 조사됐다. IP카메라는 외부 연결이 차단된 폐쇄회로(CC)TV보다 설치가 간단하고 저렴해 인기를 끌고 있다. 인터넷에 연결돼 밖에서도 휴대전화 등으로 영상을 살필 수 있어 자녀·반려동물이 있는 가정집 등에서 많이 사용하는데, 취약한 보안 탓에 해킹 범죄의 표적이 되어왔다. 먼저 정부는 해킹에 취약한 해킹된 IP카메라 보안 조치 이행 안내와 피해자 보호를 추진한다. 최근 경찰청이 검거한 IP카메라 해킹 피의자들이 침입한 12만여대의 IP카메라는 단순한 형태 또는 공격자들에게 알려진 비밀번호를 사용하고 있었다. 이에 정부는 통신사와 협력해 IP 정보를 바탕으로 신속하게 이용자를 식별하고 ID·비밀번호(PW) 변경 등의 보안 조치 이행을 권고하기로 했다. 또 피해자 보호를 위해 ▲성 착취물 영상 삭제 차단 ▲피해자 법률·의료·상담 지원 ▲고위험·대규모 영상유출 사업장 개인정보 보호법 위반 여부 우선 조사 추진 ▲IP카메라 해킹 및 영상유출·불법 촬영물 등 성 착취물 영상 판매·유통 사이트 운영·해당 영상 구매 및 소지 등 관련 범죄 수사를 강화한다. 새로운 피해 발생을 막기 위해서는 병원, 수영장, 산후조리원 등 신체적 노출이 발생하는 생활밀접시설의 IP카메라는 보안인증을 받은 제품을 사용토록 의무화하는 법률안 제정을 추진한다. 또 제품 설계 단계부터 복잡한 비밀번호 설정 기능을 탑재하도록 법령 개정에도 나설 계획이다. 기존 제품도 제조사와 협의해 복잡한 비밀번호 설정 기능 탑재가 적용될 수 있도록 한다. 이외에도 ▲범정부적 합동 사전 점검과 개선 조치 실시 ▲공통 위반사항 및 조치 필요사항의 안내·계도 ▲주요 제품 보안성 점검 및 결과 공표 ▲기존 대책 효과성 확보를 위한 정책 과제 이행 등도 추진한다는 방침이다. 최우혁 과기정통부 네트워크정책실장은 “관계부처와 협력해 국민 생활과 직결되는 IP카메라의 안정성 확보를 위해 책임을 다하겠다”고 전했다.

국내 1위 가상자산 거래소 업비트에서 해킹 시도 54분 만에 1000억개가 넘는 코인이 외부로 빠져나갔던 것으로 확인됐다. 가상자산 시장이 급속도로 확대되면서 해킹·보안 사고 시 대규모 피해로 이어질 수 있지만, 현행법상 이를 직접 제재하거나 배상을 강제할 조항이 없어 ‘규제·감독 사각지대’ 우려가 커지고 있다. 업비트가 사고를 인지한 뒤 금융당국에 신고하기까지 6시간이 넘게 걸린 사실도 드러났다. 7일 국회 정무위원회 소속 강민국 의원실이 금융감독원으로부터 제출받은 자료에 따르면 이번 사고는 지난달 오전 4시 42분부터 5시 36분까지 54분간 발생했다. 업비트는 해킹 시도를 즉각 인지해 오전 5시 긴급회의를 열고 5시 27분 솔라나 계열 디지털자산 입출금을 중단했다. 이후 오전 8시 55분에는 전체 자산 입출금도 막았다. 하지만 금감원 첫 신고는 오전 10시 58분, 한국인터넷진흥원(KISA) 신고는 오전 11시 57분이었다. 경찰과 금융위원회 보고는 각각 오후 1시 16분과 오후 3시에 이뤄졌고, 비정상 출금 사실을 홈페이지에 공지한 시간도 오후 12시 33분이었다. 특히 업비트 운영사 두나무와 네이버파이낸셜의 합병 행사(오전 10시50분) 이후 신고가 이뤄진 점을 두고 ‘신고 지연’ 논란도 불거졌다. 유출된 자산은 솔라나 계열 코인 24종 1040억 6470만여개(약 445억원)로, 초당 약 3200만개(1370만원)씩 빠져나간 셈이다. 업비트 관계자는 “고객이 맡긴 가상자산의 80% 이상을 콜드월렛에 보관했다. 피해자산은 모두 업비트가 충당해서 이용자에겐 피해가 없도록 조치했다”며 “비정상 출금 후 추가 출금을 막는데 집중했고, 비정상 출금이 침해사고라고 최종 확인된 즉시 당국에 보고했다”고 말했다. 이런 가상자산 업계 보안 사고는 반복되고 있다. 이강일 의원실에 따르면 2023년부터 올해 9월까지 5대 가상자산 거래소에서 20건의 전산사고가 발생했으며, 그중 업비트가 6건(피해자 616명·피해액 31억9967만원)으로 가장 많았다. 문제는 가상자산 사업자 해킹 사고에 대한 직접 제재나 배상을 강제할 법적 근거가 없다는 점이다. 업비트는 이번 피해액을 모두 회사 자산으로 보전하겠다고 밝혔지만, 현행 전자금융거래법은 금융회사와 전자금융업자만 무과실 책임 대상에 포함하고 있어 가상자산 사업자는 제외돼 있다. 지난해 시행된 ‘가상자산 이용자 보호법(1단계법)’에도 해킹·전산 사고 관련 조항은 없다. 금감원이 업비트에 대한 현장 점검에 착수했지만, 엄중 제재로 이어질 가능성은 크지 않다는 분석이 나온다. 전문가들은 배상의 핵심 쟁점을 ‘입증 책임’으로 꼽으며, 사전·사후 관리·감독을 강화해야 한다고 지적한다. 황석진 동국대 교수는 “이번 사고는 개별 계좌가 아닌 전체 계좌에서 자산이 빠져나간 형태라, 누구에게 얼마나 피해가 발생했는지 객관적으로 입증하기가 매우 어렵다”며 “연말 전에 가상자산 사업자에게 명시적 배상 책임을 부과하고, 보안·안정성 기준을 은행 수준 이상으로 높이는 내용을 법제화할 필요가 있다”고 말했다.

쿠팡의 퇴사한 직원이 회원 3370만명의 개인정보를 유출해 정보 보안에 비상이 걸린 가운데, 이번에는 지마켓에서 일부 회원들이 ‘무단 결제’ 피해를 입은 사실이 드러났다. 3일 유통업계에 따르면 지마켓 회원 60여명은 지난달 29일 이 같은 내용의 피해 사실을 금융감독원에 신고했다. 피해자들은 지마켓의 간편결제서비스인 ‘스마일페이’에 등록된 개인정보를 도용당해 기프트 상품권이 무단 결제된 것으로 알려졌다. 피해 금액은 1인당 3만원에서 20만원 수준이다. 지마켓 측은 “해킹이 아닌 명의 도용 사고로 추정된다”라고 설명했다. 외부 공격자가 취득한 이용자들의 계정과 아이디, 비밀번호, 스마일페이 비밀번호 등을 도용해 무단 결제한 것으로 보인다는 설명이다. 지마켓은 지난 1일 금감원에 문의한 뒤 이튿날 정식 신고했다. 이어 전날 홈페이지에 ‘개인정보 보호 강화 대책’을 공지하고 ▲로그인 비밀번호 변경 ▲로그인 2단계 인증 ▲보안 알림 기능 사용 등을 권장했다. 또 기프트 상품권 등 환금성 상품을 구매하는 회원에 대해 본인 인증을 강화했다고 덧붙였다. 금융당국은 지마켓에 대해 긴급 현장점검에 나섰다. 금감원 관계자는 “업체 측은 해킹이 아니라 외부에서 탈취된 계정 정보로 부정 결제가 이뤄졌다고 주장하고 있어 실제 사실관계를 확인하려고 한다”라면서 “피해자 보상이 제대로 진행되는지도 점검할 것”이라고 설명했다.

이재명 정부 첫 예산안이 ‘여대야소’ 정치 지형 속에서 2020년 이후 5년 만에 법정 처리 시한을 지키며 국회 문턱을 넘었다. 국회는 지난 2일 본회의를 열고 약 727조 9000억원 규모의 2026년 예산안을 가결 처리했다. 총지출액은 정부안 728조원에서 1000억원 감액됐다. 국회는 심의과정에서 정책 펀드와 인공지능(AI) 등 분야에서 4조 3000억원을 삭감했고, 미래 성장동력 확보와 민생 지원, 재해 예방, 지역경제 활성화 분야에서 4조 2000억원을 증액했다. 국내총생산(GDP) 대비 관리재정수지 적자 규모는 -4.0%에서 -3.9%로 소폭 개선됐다. GDP 대비 국가채무는 51.6%가 유지됐다. 주요 증액 내용을 살펴보면, 미래 성장동력 확보 분야에서 정부안보다 1조 7000억원 늘었다. 신산업 분야에서는 주민참여형 태양광 발전사업 활성화를 위해 에너지저장장치(ESS) 시설을 250개소 늘리면서 975억원이 증액됐다. 자율주행 자동차 상용화를 위한 실증도시를 새로 조성하는 데 618억원, 고정밀 완전자율운항선박 기술 개발에 222억원이 추가 투입된다. 경기 용인 반도체클러스터의 전선로와 상·하수도관, 가스관을 매설하는 지하 시설 구축에 국비 500억원이 더 지원된다. 한국과학기술원(KAIST)와 광주과학기술원(GIST) 부설 과학영재학교 설립에 126억원이 증액됐다. 한미 관세 협상의 차질 없는 이행을 위한 ‘한미전략투자공사’ 출자에 1조 1000억원이 추가로 반영됐다. 중소 조선사 선수금환급보증(RG) 특례 보증을 3000억원 추가로 공급하는 데 국비 400억원이 더 투입된다. 저출생·미래세대 지원 분야에서는 월 4만원의 친환경 농산물을 임산부 16만명에게 지급하는 데 158억원이 지원된다. 취약지역 산부인과 노후 장비 교체에 18억원을 추가로 지원해 산모의 건강 증진을 돕는다. 3년간 동결됐던 보육교사 수당을 26만원에서 28만원으로 2만원 인상하고, 0세 반 교사 1만 5000명을 추가 채용하는 데 445억원이 더 투입된다. 0~2세 기관 보육료 인상률을 3%에서 5%로 높이는 데 192억원이 더 반영됐다. 당초 중소기업 신규 재직자로 한정됐던 청년미래적금 우대형 대상에 ‘기존 재직자’와 ‘영세 소상공인’이 추가되면서 지원 규모가 10만명에서 160만명으로 늘어난다. 취약계층·민생경제 지원에 총 4000억원이 증액됐다. 지역사회 통합돌봄 국비 대상이 모든 지방정부로 확대된다. 최중증 장애인 대상 돌봄 강화에 94억원이 추가 편성됐다. 이에 따라 장애인 활동 지원사 가산 급여가 3000원에서 3300원으로 10% 인상된다. 생계가 어려운 위기가구에 먹거리와 생필품을 제공하고 사회복지 상담과 연계하는 ‘먹거리 기본 보장 코너’ 지원 기간을 8개월에서 연중 내내로, 규모를 130개소에서 250개소로 확대하는 데 24억원이 추가 투입된다. 의료체계도 더 강화된다. 지방의료원 의료인력 인건비 지원 단가를 기존 과목당 6억원에서 7~8억원으로 확대하는 데 170억원이 추가 편성됐다. 권역외상센터 2개소에 헬기 계류장을 구축하는 데 45억원, 진료권 기반 실태조사에 3억원의 예산이 더 반영됐다. 자살예방센터 전담 인력 확충과 범정부 자살대책추진본부 신설을 통한 자살 예방 컨트롤 타워 구축에 20억원이 투입된다. 생계비를 더 절감할 수 있도록 대중교통 정액 패스 이용 한도(월 20만원)를 폐지하고, 비수도권·3자녀·저소득층 가구에 대한 지원을 강화하는 데 305억원이 추가 반영됐다. 서민의 이자 부담 경감을 위해 햇살론 특례 보증 금리를 15.9%에서 12.5%로, 사회적배려대상자는 9.9%까지 인하하는 데 국비 297억원이 더 투입된다. 국민 안전과 안보를 강화하는 데 6000억원이 증액됐다. 국가정보자원관리원 화재를 계기로 국가 전산망 신속 복구 등 재난 대응력 향상에 4000억원이 더 반영됐다. 충북 오송·서울 이태원 참사 피해자 회복을 지원하고 현장 경찰관·소방관의 트라우마 극복을 위한 진료비와 상담비를 지원하는 데 47억원이 추가 투입된다. 사이버 공격 예방·탐지·분석 등 해킹 바이러스 대응 체계를 고도화하는 데 145억원, 정보보호 공시제도 강화에 77억원이 증액됐다. 국방·보훈 분야에서는 군인의 휴일 당직근무비가 6만원에서 일반 공무원 수준인 10만원으로 4만원 인상된다. 장기 근속자 대상 건강검진비 20만원(격년)이 추가 지원된다. 방위력 강화를 위해 정찰 위성 임무 수행을 위한 운용센터 조기 구축에 106억원이 투입된다. 해병대 K2 전차 신규 도입 착수금(총 사업비 4000억원)을 비롯해 내년 K2 전차 사업비로 총 3549억 700만원이 편성됐다. 참전명예수당을 1만원씩 더 인상하는 데 192억원이 반영됐다. 지역경제 활성화에 1조 6000억원이 증액됐다. 인구감소지역 대상 농어촌 기본소득 시범사업 지원 지역을 7곳에서 10곳으로 확대하는 데 637억원이 추가 편성됐다. 국회 심사 과정에서 추가된 지역은 전남 곡성, 충북 옥천, 전북 장수 3곳이다. 나머지 7곳은 경기 연천, 강원 정선, 충남 청양, 전북 순창, 전남 신안, 경북 영양, 경남 남해다. 지역거점 인공지능 전환(AX)을 지원하는 데 756억원이 증액됐다. 인공지능(AI) 메타팩토리 구축, 협업지능 피지컬 AI 지원에 367억원(전북), 초정밀 제어 특화 물리지능행동모델(LAM) 지원에 267억원(경남), 모두의 AI 플랫폼과 AI 실증도시 지원에 57억원(광주), 첨단 바이오 제품 표준 AX 제조 공정 지원에 40억원(대구), 권역별 특화형 AX 관련 사업 기획비로 25억원(충청·강원·제주)이 추가 편성됐다. 위기 산업으로 떠오른 석유화학·철강 분야 기업에 이차보전을 지원하는 데 67억원, 지방정부 고용안정 패키지 지원에 250억원이 더 투입된다. 사회간접자본(SOC) 예산도 국회 심사과정에서 대폭 증액됐다. 호남고속선 증편을 위한 변전소 증설을 조기에 추진하는 데 100억원, 서대전~회덕 구간 고속도로 확장에 23억원, 낙동강 유역 취수원 다변화에 44억원, 취양수시설 48개소 조기 준공에 90억원이 추가 배정됐다. 지역구 의원들의 표심 관리를 위한 지역 현안 사업 예산도 1조 2000억원 더 얹어졌다. 정부는 세출 예산의 75%를 내년 상반기에 배정해 조기 집행에 나설 계획이다.

12월 1일부터 모집…착수금 1인당 만 원 최근 쿠팡에서 3,370만 건에 달하는 고객 개인정보가 무단 유출된 사실이 드러난 가운데, 법률사무소 화음(대표변호사 정재권)이 쿠팡 개인정보유출 피해자 집단소송 접수를 시작했다고 밝혔다. 법률사무소 화음은 지난 12월 1일부터 쿠팡 개인정보 유출 사태와 관련해 쿠팡 측에 집단소송을 제기하기 위한 참여자를 모집하고 있다. 법률사무소 화음 정재권 변호사는 “이번 개인정보유출 사건은 외부의 해킹이 아닌 ‘내부 직원’에 의한 유출이므로 쿠팡의 책임이 보다 막중하다”라며 “유출된 정보에는 이름, 휴대전화 번호와 이메일 주소가 포함되어 있어 다른 웹사이트에 대입하는 크리덴셜 스터핑 공격 시도의 가능성이 있으며, 2차 추가 피해의 우려가 있다. 배송 지연을 사칭한 스미싱, 가족과 지인의 정보까지 유추되어 활용되는 등 사생활 침해 위험도 매우 높아 보인다”라고 전했다. 이어 “개인정보보호법에 따르면 정보주체는 법 위반 행위로 손해를 입으면 개인정보처리자에게 배상을 청구할 수 있고, 이 경우 사업자가 고의·과실이 없음을 입증하지 못하면 책임을 면할 수 없다. 과거 카드사 정보 유출, 인터파크 해킹 사건 등에서 법원은 기업의 과실이 인정될 경우 피해자 1인당 10~20만 원 내외의 위자료를 인정한 바 있다. 이번 사건은 주소지(거주지) 정보가 포함돼 스토킹, 보이스피싱 등 오프라인 범죄 악용 가능성이 크므로 더 높은 위자료가 인정될 여지가 있다. 집단 소송을 통해 효율적인 권리 구제와 유사 사태 재발 방지가 최선의 선택이 될 수 있다”라고 전했다. 실제로 해당 사건은 온라인에서도 움직임이 확산되고 있다. 개인정보 유출 사실이 공개된 지 이틀 만에 네이버에는 쿠팡 집단소송 관련 카페가 10여 곳 개설됐으며, 현재도 가입자 수가 빠르게 늘고 있다. 이번에 유출된 계정 정보가 3,370만 개에 달하는 만큼 개인정보 유출 관련 국내 단체 소송 가운데 최대 규모가 될 수 있다는 전망이 나온다. 앞서 법률사무소 화음은 SKT 유심정보 유출 피해자 단체소송을 3차까지 진행한 바 있다. 특히 화음 정재권 대표변호사는 과학기술정보통신부 고문변호사로 고도의 경험과 전문성을 바탕으로 소송을 진행해 나간다. 현재 법률사무소 화음에서 진행하는 쿠팡 개인정보유출 집단소송은 착수금 1만 원으로 참여할 수 있으며, 홈페이지 내 신청서 작성 등의 방법으로 신청자를 모집하고 있다. 배상금은 최소 10만 원에서 최대 30만 원 정도로 예상하고 있으며, 진행 과정에서 구체적 사실관계의 확정 및 증거 현출에 따라 청구금액을 확장하는 방식으로 진행할 예정이다. 정 변호사는 “과학기술정보통신부 고문 변호사로서의 경험을 통해 축적된 정보통신 관련 법률 및 정책에 대한 높은 이해도는 이번 소송을 성공적으로 이끄는 데 큰 강점이 될 것”이라며 “더 이상 혼자 고민하지 마시고, 저희와 함께 목소리를 내주시길 바란다”라고 밝혔다. 한편, 법률사무소 화음은 과학기술정보통신부(과기부) 고문 변호사로 위촉된 정재권 대표변호사를 포함해 IT 분야의 전문성을 지닌 변호사들로 구성된 로펌이다.

쿠팡에서 3370만건의 개인정보가 한꺼번에 빠져나간 데 이어 유출 정보를 ‘언론에 공개하겠다’는 협박 이메일까지 등장했다. 단순한 사고를 넘어 국가적 사이버 보안 사태가 이미 2차 범죄 단계에 진입했다는 의미다. 어제 금융당국이 보이스피싱·스미싱 등 각종 금융사기에 악용될 우려가 높다는 이유로 소비자경보 ‘주의’를 발령했다. 가입자 규모에 비춰 상당수 국민들이 잠재적 피해자가 될 수 있다는 우려도 높아지는 상황이다. 불안에 떨고 있는 국민에게 당장 필요한 것은 2차 피해 차단을 위한 실행 계획이다. 정부는 유출 정보가 암거래 게시판이나 해킹 커뮤니티 등으로 흘러가는지 24시간 추적하고, 거래나 공유 시도가 포착되는 즉시 삭제 요청과 차단 조치를 해야 한다. 금융기관·포털·통신·택배사와 연동한 피싱 자동 감지 체계도 적극 검토해야 한다. 쿠팡 역시 이용자의 불안을 낮추는 실질적 조치에 나서야 한다. 피해 계정 비밀번호·OTP(일회용 인증 비밀번호) 일괄 초기화, 배송지 주소록 암호화 및 재동의 절차, 로그인 위치·기기 이상 탐지 시스템 구축은 지금도 실행할 수 있다. 안내 문자 발송만으로는 책임을 면할 수 없다. 개인정보 자산을 잠재적 범죄 도구로 전락시킨 책임은 전적으로 기업이 감당해야 한다. 우리는 이미 생활·결제·택배·병원·쇼핑의 70% 이상을 플랫폼을 통해 처리한다. 내부 직원 단 한 명이 두 차례 보안 절차를 우회해 정보를 반출할 수 있었으니 우리 데이터가 얼마나 쉽게 위험에 노출되는지 적나라하게 확인한 셈이다. 이번 사태는 쿠팡뿐만이 아니라 한국 디지털 경제 전체에 울린 경고음이다. 정부는 개인정보를 다루는 기업의 내부 반출 차단 시스템(DLP) 도입 의무화 등 제도적 개선에 나서야 한다. 이번 사태를 전환점으로 디지털 보안 체계를 한 단계 끌어올리지 못한다면 제2·제3의 쿠팡 사태는 언제든 반복될 수 있다.

“서버 접근권 말소 안 해 생긴 일”개인정보 문 열어 놓은 꼴… 대통령실 “징벌적 손배 필요” 쿠팡에서 인증 관련 담당자로 일하던 중국인 개발자가 고객 3370만명의 개인정보를 유출한 사태와 관련해 쿠팡 측의 안일한 대응에 대한 비판이 커지고 있다. 정부는 외부 해킹이 아닌 쿠팡 측의 방치에 따라 이번 사건이 벌어졌다고 보고 관련 책임을 엄중히 묻겠다는 입장이다. 원활한 피해자 보상을 위해 징벌적 손해배상제 개선 카드도 꺼내 들었다. 경찰도 범행에 사용된 인터넷주소(IP)를 확보하는 등 수사에 속도를 내고 있다. 1일 정부 고위 관계자는 “쿠팡이 서버 관리를 굉장히 부실하게 한 것이라 책임을 피하기 어려울 것”이라고 말했다. 이 관계자는 “인증 관리 업무를 담당하던 중국인 개발자가 퇴사한 후에도 계속 서버 접근 권한을 말소하지 않아서 생긴 일”이라며 “본질적으로 해킹을 당한 롯데카드와는 아예 다른 사건”이라고 진단했다. 그는 또 “(인증키를) 말소시키지 않으니 시스템은 정상적 접근이라고 본 것”이라며 “혹시 다른 해킹이 있을지 한국인터넷진흥원(KISA)이 들여다보고 있는데 현재까진 나온 게 없다”고 전했다. 그러면서 “피해자 숫자와 범위 등이 더 늘어날 가능성은 충분해 보인다”고도 했다. 국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원실 등에 따르면 고객 정보를 빼돌린 직원은 퇴사 이후인 지난 6월 24일부터 개인정보에 접근한 것으로 추정된다. 이 직원은 개인정보 탈취 과정에서 시스템에 로그인 없이 접근할 수 있는 ‘인증 토큰’을 이용한 것으로 보인다. 이와 관련해 강훈식 대통령실 비서실장은 “징벌적 손해배상 제도가 사실상 작동하지 않고 있는 현실은 대규모 유출 사고를 막는 데 한계가 있다”며 “기업의 책임이 명백한 경우 제도가 실효성 있게 작동할 수 있도록 개선 방안을 검토하라”고 밝혔다. 아울러 강 실장은 과학기술정보통신부 등에 “근본적인 제도 보완, 현장 점검 체계 재정비, 기업 보안 역량 강화 지원책 등을 신속히 보고해 달라”고도 지시했다. 국회는 쿠팡 및 유관 기관 관계자들을 출석시켜 긴급 현안 질의를 진행한다. 2일에는 국회 과학기술정보방송통신위원회에서, 3일에는 정무위원회에서 각각 현안 질의를 한다. 경찰도 관련 수사를 진행 중이다. 서울경찰청 관계자는 이날 “쿠팡 측으로부터 서버 로그 기록을 제출받아서 분석 중”이라며 “정보 유출 등으로 협박하는 내용이 담긴 이메일 계정 2개를 추적하고 있다”고 밝혔다. 경찰은 피의자의 국적과 함께 정보 유출 당사자가 협박성 이메일을 보낸 사람과 동일인인지 등을 파악하고 있다. 경찰 관계자는 “피의자를 특정하기 위한 수사를 진행 중”이라며 “IP 추적을 위한 해외 공조도 벌이고 있다”고 설명했다. 쿠팡은 지난달 18일 개인정보보호위원회 등에 고객 4500여명의 개인정보가 유출됐다며 신고했고, 이후 같은 달 25일 정보통신망 침입 혐의로 고소장을 제출했다. 쿠팡 측은 협박 메일이 발송된 지 이틀이 지나서야 대응에 나섰다. 경찰은 지난달 28일 쿠팡 측 관계자를 불러 조사했다. 쿠팡이 회사 외형을 키우는 데 몰두한 나머지 정보보호에는 무감각했다는 비판이 거세지고 있다. 2023년부터 매년 10조원가량 매출이 뛰며 급성장해 오는 동안 정보보호 투자 비중은 반대로 감소해서다. 2010년 출범한 쿠팡이 로켓배송에 나선 것은 2014년이었다. 2012년 이후 규제에 묶인 대형마트의 빈자리를 채우기 시작하면서 급격히 몸집을 불렸다. 쿠팡은 2023년 매출 31조 8298억원을 기록하며 이마트(연결 기준 매출 29조 4722억원)를 처음 넘어섰다. 지난해 매출 41조 2901억원을 올렸고 올해에는 50조원 달성도 가능하다는 예측이 나왔다. 반면 최근 4년간 쿠팡의 정보기술(IT) 투자 대비 정보보호 투자 비중은 꾸준히 하락했다. KISA 공시에 따르면 쿠팡은 전체 IT 부문에 1조 9171억원을 투자했으며 이 가운데 정보보호 부문에 투입한 금액은 890억원으로 전체의 4.6%에 그쳤다. 전체 정보보호 투자 공시 기업 773곳의 평균(6.28%)보다 낮은 수준이다. 쿠팡의 지난해 매출 대비 정보보호 부문 투자액은 0.2%로 같은 기간 카카오·SK텔레콤(0.7%), 네이버·KT(0.4%)보다 저조했다. 숱한 논란에도 쿠팡의 사업이 순항한 건 정치권 및 정부 출신 인사를 대거 영입해 온 점과 무관하지 않다. 올해 쿠팡 또는 그 계열사로 이직하기 위해 취업 심사를 받은 4급 보좌관은 총 9명이었다. 정부 출신 중 4급 이상 등 취업 심사 대상 퇴직자 9명이 올해 쿠팡이나 그 계열사에 취직했다.

쿠팡의 대규모 개인정보 유출 사태가 확인되면서 소니나 야후 해킹에 버금가는 수준의 글로벌급 사고로 번질 수 있다는 우려가 커지고 있다. 단순한 이메일·비밀번호 유출을 넘어 집주소·배송기록·공동현관 비밀번호 등 생활형 정보까지 포함된 것으로 알려져 2차 피해 경고도 잇따르고 있다. 경찰, 피의자 IP 확보…협박 메일 2개 계정 추적 중 서울경찰청 사이버수사대는 1일 “쿠팡 측으로부터 서버 로그기록을 제출받아 분석 중이며 피의자가 사용한 IP를 확보해 추적 중”이라고 밝혔다. 경찰은 ‘회원들의 개인정보를 가지고 있다’며 협박성 이메일을 보낸 계정 2개에 대해서도 송신 경로를 추적하고 있다. 이메일은 지난달 16일과 25일 두 차례 발송됐고 동일인 소행인지 실제 유출자와 동일인인지 여부가 수사 중이다. 앞서 쿠팡에서 근무했던 중국 국적의 전직 직원이 고객 정보를 빼돌린 뒤 협박성 이메일을 보낸 정황이 포착됐다. 피의자가 이미 퇴사 후 출국한 상태로 확인되자 경찰은 국제 공조 수사에 나섰다. 30억 계정 털린 야후…역대 최대 유출 사건 2013~2014년 발생한 야후 해킹 사건은 역사상 최대 규모의 개인정보 유출로 기록됐다. 당시 약 30억 개 계정의 이름, 이메일 주소, 전화번호, 생년월일, 암호화된 비밀번호, 보안 질문·답변이 노출됐다. 이 사건은 2017년 야후의 매각 과정에도 직접적인 영향을 미쳐 인수 주체였던 버라이즌이 인수가를 3억 5000만 달러(약 4000억 원·모든 원화 환산은 사건 발생 당시 환율 기준) 낮췄다. 야후는 결국 피해자들과의 집단소송에서 총 1억 1750만 달러(약 1338억 원)의 합의금을 지급했다. 다만 전체 30억 계정이 아닌 실제 보상 대상은 약 1억 9400만 명 규모로 추정됐고 신청서를 제출한 이용자만 최대 358달러(약 40만 원) 한도 내에서 보상받았다. 소니 PSN 해킹…“기업 신뢰 무너진 상징적 사건” 2011년에는 일본 소니의 플레이스테이션 네트워크(PSN)가 해킹당해 7700만 명의 회원정보와 신용카드 정보가 유출됐다. 소니는 24일간 서비스를 중단하고 PSN 이용자 전원에게 무료 게임 2편과 30일 무료 이용권을 제공하는 등 사과·보상 조치를 취했다. 영국 당국은 정보보호법 위반으로 과징금을 부과했고 일본에서는 “기업 신뢰 붕괴”라는 여론이 확산되며 ‘소니 쇼크’라는 표현이 등장했다. 에퀴팩스·메리어트 등 글로벌 기업들도 잇단 유출 2017년 미국 신용평가사 에퀴팩스는 시스템 취약점을 방치한 채 수개월간 보안 경고를 무시하다가 1억 4700만 명의 신용정보가 유출됐다. 이 사건으로 경영진이 사퇴하고 미 의회 청문회가 열리는 등 파문이 컸다. 회사는 집단소송 합의로 총 7억 달러(약 8300억 원) 규모의 보상·과징금 패키지를 마련했으나 피해자 대부분은 애초 약속된 125달러 대신 10~20달러(약 1만~2만 원대)의 실보상만 받았다. 이듬해에는 세계 최대 호텔 체인 메리어트 인터내셔널의 예약망이 해킹돼 최대 5억 명의 투숙객 정보가 새나갔다. 영국 정보보호당국은 1840만 파운드(약 276억 원)의 과징금을 부과했고 미국·캐나다 등에서도 집단소송이 제기됐으며 피해 신고 고객을 대상으로 최대 100달러(약 12만 원) 수준의 보상이 제공됐다. 쿠팡, 외부 해킹 아닌 내부자 소행 정황쿠팡의 피해 규모(3370만 건)는 야후(30억)나 메리어트(5억)에 비하면 작지만 노출된 정보의 현실적 민감도는 훨씬 높다는 평가가 나온다. 특히 이름·주소·휴대전화번호뿐 아니라 공동현관 비밀번호, 배송 위치, 가족 구성 등 생활 공간과 연결된 정보가 포함돼 피해가 장기화될 가능성이 제기된다. 쿠팡은 “시스템 외부 침입 흔적은 없다”며 내부 비인가 조회로 인한 유출임을 시사했다. 보안 업계는 “이건 단순한 기술적 해킹이 아니라 내부 통제 실패”라며 기업의 데이터 접근 권한 관리가 허술했다는 점을 문제로 지적하고 있다. 집단소송, 실제 보상은 얼마나 받나 이번 사태를 계기로 해외 기업의 집단소송 보상 구조에도 관심이 쏠리고 있다. 미국 등에서는 대표 원고와 변호사단이 전체 피해자를 대신해 소송을 제기하며 개별 피해자는 변호사비를 직접 내지 않지만 전체 합의금의 20~40%가 수임료와 행정비용으로 공제된다. 결과적으로 1인당 보상액은 매우 낮아지는 구조다. 예를 들어 에퀴팩스 사건의 경우 총 7억 달러 중 약 25%가 변호사비로 빠졌고 피해자 대부분은 약속된 125달러 대신 10~20달러 수준만 받았다. 이처럼 집단소송은 금전적 보상보다 기업의 책임을 공식화하는 징벌적 절차라는 평가가 많다. 정부 조사 및 과징금 전망정부는 개인정보보호위원회와 과기정통부, 민간 보안 전문가들이 참여하는 민관합동조사단을 구성해 사고 원인을 조사 중이다. 개인정보보호법 개정으로 위반 시 전년도 매출의 최대 3%까지 과징금을 부과할 수 있어 쿠팡이 수천억 원대 제재를 받을 가능성도 제기된다. 앞서 2024년 SK텔레콤은 개인정보 유출로 역대 최대인 1347억 원의 과징금을 부과받았다. “사과보다 복구 중심 대응이 신뢰 회복의 출발점”쿠팡 사태는 한 기업의 보안 실패를 넘어 국민 대다수의 생활 정보가 얼마나 취약한지 드러낸 사건으로 평가된다. 데이터가 곧 신뢰가 되는 시대, 이번 사태가 ‘한국판 개인정보 위기’로 기록되지 않으려면 신속하고 투명한 대응이 필요하다.

쿠팡의 대규모 개인정보 유출 사태가 확인되면서 소니나 야후 해킹에 버금가는 수준의 글로벌급 사고로 번질 수 있다는 우려가 커지고 있다. 단순한 이메일·비밀번호 유출을 넘어 집주소·배송기록·공동현관 비밀번호 등 생활형 정보까지 포함된 것으로 알려져 2차 피해 경고도 잇따르고 있다. 경찰, 피의자 IP 확보…협박 메일 2개 계정 추적 중 서울경찰청 사이버수사대는 1일 “쿠팡 측으로부터 서버 로그기록을 제출받아 분석 중이며 피의자가 사용한 IP를 확보해 추적 중”이라고 밝혔다. 경찰은 ‘회원들의 개인정보를 가지고 있다’며 협박성 이메일을 보낸 계정 2개에 대해서도 송신 경로를 추적하고 있다. 이메일은 지난달 16일과 25일 두 차례 발송됐고 동일인 소행인지 실제 유출자와 동일인인지 여부가 수사 중이다. 앞서 쿠팡에서 근무했던 중국 국적의 전직 직원이 고객 정보를 빼돌린 뒤 협박성 이메일을 보낸 정황이 포착됐다. 피의자가 이미 퇴사 후 출국한 상태로 확인되자 경찰은 국제 공조 수사에 나섰다. 30억 계정 털린 야후…역대 최대 유출 사건 2013~2014년 발생한 야후 해킹 사건은 역사상 최대 규모의 개인정보 유출로 기록됐다. 당시 약 30억 개 계정의 이름, 이메일 주소, 전화번호, 생년월일, 암호화된 비밀번호, 보안 질문·답변이 노출됐다. 이 사건은 2017년 야후의 매각 과정에도 직접적인 영향을 미쳐 인수 주체였던 버라이즌이 인수가를 3억 5000만 달러(약 4000억 원·모든 원화 환산은 사건 발생 당시 환율 기준) 낮췄다. 야후는 결국 피해자들과의 집단소송에서 총 1억 1750만 달러(약 1338억 원)의 합의금을 지급했다. 다만 전체 30억 계정이 아닌 실제 보상 대상은 약 1억 9400만 명 규모로 추정됐고 신청서를 제출한 이용자만 최대 358달러(약 40만 원) 한도 내에서 보상받았다. 소니 PSN 해킹…“기업 신뢰 무너진 상징적 사건” 2011년에는 일본 소니의 플레이스테이션 네트워크(PSN)가 해킹당해 7700만 명의 회원정보와 신용카드 정보가 유출됐다. 소니는 24일간 서비스를 중단하고 PSN 이용자 전원에게 무료 게임 2편과 30일 무료 이용권을 제공하는 등 사과·보상 조치를 취했다. 영국 당국은 정보보호법 위반으로 과징금을 부과했고 일본에서는 “기업 신뢰 붕괴”라는 여론이 확산되며 ‘소니 쇼크’라는 표현이 등장했다. 에퀴팩스·메리어트 등 글로벌 기업들도 잇단 유출 2017년 미국 신용평가사 에퀴팩스는 시스템 취약점을 방치한 채 수개월간 보안 경고를 무시하다가 1억 4700만 명의 신용정보가 유출됐다. 이 사건으로 경영진이 사퇴하고 미 의회 청문회가 열리는 등 파문이 컸다. 회사는 집단소송 합의로 총 7억 달러(약 8300억 원) 규모의 보상·과징금 패키지를 마련했으나 피해자 대부분은 애초 약속된 125달러 대신 10~20달러(약 1만~2만 원대)의 실보상만 받았다. 이듬해에는 세계 최대 호텔 체인 메리어트 인터내셔널의 예약망이 해킹돼 최대 5억 명의 투숙객 정보가 새나갔다. 영국 정보보호당국은 1840만 파운드(약 276억 원)의 과징금을 부과했고 미국·캐나다 등에서도 집단소송이 제기됐으며 피해 신고 고객을 대상으로 최대 100달러(약 12만 원) 수준의 보상이 제공됐다. 쿠팡, 외부 해킹 아닌 내부자 소행 정황쿠팡의 피해 규모(3370만 건)는 야후(30억)나 메리어트(5억)에 비하면 작지만 노출된 정보의 현실적 민감도는 훨씬 높다는 평가가 나온다. 특히 이름·주소·휴대전화번호뿐 아니라 공동현관 비밀번호, 배송 위치, 가족 구성 등 생활 공간과 연결된 정보가 포함돼 피해가 장기화될 가능성이 제기된다. 쿠팡은 “시스템 외부 침입 흔적은 없다”며 내부 비인가 조회로 인한 유출임을 시사했다. 보안 업계는 “이건 단순한 기술적 해킹이 아니라 내부 통제 실패”라며 기업의 데이터 접근 권한 관리가 허술했다는 점을 문제로 지적하고 있다. 집단소송, 실제 보상은 얼마나 받나 이번 사태를 계기로 해외 기업의 집단소송 보상 구조에도 관심이 쏠리고 있다. 미국 등에서는 대표 원고와 변호사단이 전체 피해자를 대신해 소송을 제기하며 개별 피해자는 변호사비를 직접 내지 않지만 전체 합의금의 20~40%가 수임료와 행정비용으로 공제된다. 결과적으로 1인당 보상액은 매우 낮아지는 구조다. 예를 들어 에퀴팩스 사건의 경우 총 7억 달러 중 약 25%가 변호사비로 빠졌고 피해자 대부분은 약속된 125달러 대신 10~20달러 수준만 받았다. 이처럼 집단소송은 금전적 보상보다 기업의 책임을 공식화하는 징벌적 절차라는 평가가 많다. 정부 조사 및 과징금 전망정부는 개인정보보호위원회와 과기정통부, 민간 보안 전문가들이 참여하는 민관합동조사단을 구성해 사고 원인을 조사 중이다. 개인정보보호법 개정으로 위반 시 전년도 매출의 최대 3%까지 과징금을 부과할 수 있어 쿠팡이 수천억 원대 제재를 받을 가능성도 제기된다. 앞서 2024년 SK텔레콤은 개인정보 유출로 역대 최대인 1347억 원의 과징금을 부과받았다. “사과보다 복구 중심 대응이 신뢰 회복의 출발점”쿠팡 사태는 한 기업의 보안 실패를 넘어 국민 대다수의 생활 정보가 얼마나 취약한지 드러낸 사건으로 평가된다. 데이터가 곧 신뢰가 되는 시대, 이번 사태가 ‘한국판 개인정보 위기’로 기록되지 않으려면 신속하고 투명한 대응이 필요하다.