경찰이 고객 정보 약 3370만개가 유출된 쿠팡 사태로 인한 2차 피해를 점검한 결과 의심 사례가 현재까지는 확인되지 않았다고 5일 밝혔다. 경찰청 국가수사본부는 이날 “‘쿠팡 사건’으로 발생할 수 있는 2차 피해에 대한 사회 우려가 확산함에 따라 전국 발생 사건을 매일 점검하고 있다”면서 중간 점검 결과를 공개했다. 경찰청은 최근 5개월여간 전기통신금융사기(보이스피싱) 통합대응단 및 사이버범죄 신고시스템에 접수된 사례를 분석한 결과 쿠팡에서 유출된 정보를 악용한 2차 피해 관련 의심 사례가 확인되지 않았다고 설명했다. 쿠팡의 정보유출 사고가 발생한 지난 6월 24일부터 이날까지 신고시스템에 접수된 2만 2000여건을 점검한 결과다. 아울러 신고시스템 사례들을 사고 발생일인 6월 24일 전후로 비교해 봐도 보이스피싱이나 스미싱 범죄 범죄 발생에 특별한 증감 추세가 없었다고 했다. 경찰청은 사고 발생 뒤 이날까지 발생한 주거침입, 침입 강·절도, 스토킹 등 범죄 11만 6000여건도 전수조사했다. 침입 방법과 정보 취득 경위 등을 기준으로 들여다본 결과 쿠팡 사태와 관련된 사례는 발견되지 않았다. 박성주 국가수사본부장은 “유출된 정보가 범죄 생태계로 스며들지 않도록 쿠팡 개인정보 유통 가능성을 면밀히 확인하겠다”면서 “지속적으로 2차 피해 유무를 점검할 예정”이라고 밝혔다.

“축하드립니다! 쿠팡 공식 제휴사 체험단으로 선정되셨습니다!” 쿠팡의 대규모 개인정보 유출 사태 이후 ‘탈팡’(쿠팡 탈퇴)한 직장인 한모(41)씨는 3일 아침 출근길에 이런 문자를 받았다. 체험단 참여를 신청하는 카카오톡 오픈채팅방 링크도 첨부돼 있었는데, 전형적인 스미싱 사기였다. 한씨는 “쿠팡을 사용하지 않는 주변에 물어보니 이런 문자를 받은 사람이 한 명도 없었다”며 “탈퇴해도 이미 유출된 정보로 이런 문자가 오는 것 아니냐”고 목소리를 높였다. 쿠팡을 이용한 지 2년 정도 된 직장인 강모(39)씨에게도 전날부터 이날까지 이틀 새 정체를 알 수 없는 국제 전화가 10통 가까이 걸려 왔다. 강씨는 “보이스피싱으로 의심되는 전화가 평소엔 거의 없었는데, 최근 들어 유독 늘었다”며 “실수로 전화를 받았을 땐 이미 상대방이 정확하게 내 이름과 주소를 알고 있었다”고 토로했다. 개인정보가 유출된 쿠팡 고객 중 스미싱, 보이스피싱이 의심되는 전화를 받는 경우가 늘면서 2차 피해에 대한 불안과 분노가 커지고 있다. 쿠팡 아이디가 미국에서 접속되는 일은 겪은 고객도 있었다. 박모(27)씨는 개인정보 유출 사태 이후 혹시나 해서 쿠팡에 접속해 로그인 기록을 살펴봤다. 박씨는 “12월 2일 미국에서 접속한 기록이 있는 것을 확인했는데, 저는 태어나서 미국을 간 적이 한 번도 없다”며 “유출된 정보에 비밀번호 등은 포함돼 있지 않다고 했지만 신뢰가 가지 않는다”고 했다. 이런 고객들의 우려와 달리 쿠팡은 보안 강화 대책을 적극 제시하는 등의 사후 대응에 손 놓고 있다. 쿠팡 메인 화면에는 사과문이나 2차 피해 방지, 보안 대책 강구와 같은 메시지보단 ‘한정 특가’, ‘반짝 세일’ 등의 문구가 주로 노출돼 있다. 이승준(31)씨는 “사태 이후 쿠팡 홈페이지에는 사과문보다 ‘할인쿠폰을 확인하라’ 같은 광고 배너만 있다”며 “탈퇴하고 싶어도 버튼조차 찾기 어렵고, 겨우 찾아 탈퇴하려 해도 6단계 이상 정보를 입력해야 한다. 고객은 어떻게 되든 상관없이 일단 돈만 벌겠다는 심보”라고 꼬집었다.

쿠팡의 대규모 고객 정보 유출 사태 이후 쿠팡이 대대적으로 홍보해 온 ‘원터치 결제’에 대해서도 소비자 불안이 커지고 있다. 원터치 결제는 추가 본인 확인 없이 쉽고 빠르게 결제하는 시스템이지만, 계정 도난 시 무단결제 등의 피해를 입을 수 있어서다. 3일 업계에 따르면, 쿠팡은 계정에 카드가 한 번 등록되면 이후엔 비밀번호나 본인 확인을 하지 않고 저장된 카드로 간편결제할 수 있는 ‘원터치 결제’ 시스템을 갖추고 있다. 온라인 카드결제시 부정사용을 방지하기 위해 본인확인 인증 절차를 거쳐야 하지만 카드사나 전자지급결제대행(PG)사와의 협의를 통해 본인 확인을 생략할 수 있다. 쿠팡의 경우 PG사인 쿠팡페이를 자회사로 두고 있고 쿠팡 가입시 자동으로 쿠팡페이에 가입되는 구조여서 본인인증 없는 간편 결제를 도입할 수 있었던 것으로 파악된다. 네이버나 롯데쇼핑 등 대부분의 이커머스 플랫폼은 로그인과 별도로 결제시 인증을 별도로 하게 돼 있고, SSG닷컴의 경우 쿠팡과 유사한 ‘원클릭 결제’가 있지만 기기가 바뀔 경우 원클릭 결제를 설정할 때 한 번 더 인증 절차를 거쳐야 한다. 문제는 쿠팡의 원터치 결제가 로그인만 되면 계정에 등록된 카드로 바로 결제가 된다는 점에서 계정을 도용당하거나 휴대폰을 분실했을 때 금융사고로 이어질 수 있다는 점이다. 쿠팡은 약 3370만건의 역대 최대 개인정보 유출 사고에서 결제정보는 털리지 않았다고 강조했지만, 이메일·전화번호·주소 등이 노출된 상태여서 안심할 수만은 없는 상황이다. 이커머스업계 관계자는 “(원터치 결제는) 소비자들이 물건 구매를 더 빠르게 유인하는 방법이지만 계정이 도난당하면 심각한 피해로 이어질 수 있는 만큼 최소한의 보안 장치가 필요하다”고 말했다. 특히 결제시 비밀번호를 입력하도록 하는 G마켓에서도 간편결제 서비스에 등록된 카드로 상품권을 결제하는 무단결제 피해 사례가 발생하면서 이러한 우려는 더욱 커지고 있다. 금융감독원이 국민의힘 이양수 의원실에 제출한 자료에 따르면 올해 1~8월 전자금융거래 플랫폼의 부정결제 사고 피해액은 2억 2076만원이었다. G마켓이 1억 6074만원으로 가장 많았고, 쿠팡페이가 3008만원로 뒤를 이었다. 이번 개인정보 유출 사고로 쿠팡페이에 대한 현장점검에 나선 금융감독원 관계자는 “(쿠팡의 원터치) 결제 시 본인 인증 절차에 보안상 허점은 없는지 확인해 보겠다”고 말했다.

대규모 정보 유출 사고를 낸 쿠팡에서 무단 결제 등 2차 피해 우려가 제기되는 상황에서 이찬진 금융감독원장이 결제정보 유출 정황이 확인되는 즉시 검사로 전환하겠다고 밝혔다. 이 원장은 3일 국회 정무위원회 현안 질의에서 “어제부터 현장 점검에 들어갔다”며 “의심되는 부분이 있으면 곧바로 검사로 전환하려고 한다”고 말했다. 검사는 기관 제재 절차로 이어질 수 있다. 쿠팡과 쿠팡페이가 ‘원아이디’로 플랫폼을 같이 이용하기 때문에, 이에 따른 결제정보 유출 피해가 있는지 적극 살펴보겠다는 것이다. 여야 의원들은 쿠팡이 소비자의 탈퇴 과정을 고의적으로 복잡하게 만들었다고 지적했다. 유동수 더불어민주당 의원은 “본인 인증, 비밀번호 입력, 설문조사까지 강제로 응해야 탈퇴가 가능한데, 모두 합치면 무려 20단계에 달한다”고 비판했다. 이에 남동일 공정거래위원회 부위원장은 “소비자의 선택을 방해하는 행위로 보여진다. 제도 개선 및 제재 방안을 검토하겠다”고 했다. 쿠팡은 비밀번호 없이 생체인식과 핀(PIN) 등을 활용하는 안전 인증 수단인 ‘패스키’ 도입을 시사했다. 쿠팡은 지난달 대만에서 패스키를 도입했지만 한국에선 도입하지 않았다. 이헌승 국민의힘 의원이 “대만 쿠팡에서 보급한 전용 패스키를 한국에도 도입했다면 이런 사고가 일어났겠냐”고 질타하자 박대준 쿠팡 대표는 “훨씬 더 안전하게 서비스할 수 있었을 것이라 생각한다”고 했다. 박 대표는 자발적 배상 조치를 하라는 지적에는 “피해범위가 확정되지 않았다”면서도 “합리적 방안을 마련하겠다”고 했다. 3370만개의 개인정보 유출 사고가 알려진지 나흘만에 첫 보상 관련 언급이지만 보상 시점 등 구체적 답변은 피했다. 박 대표는 사고 발생 후 입장 없는 창업자 김범석 쿠팡InC 이사회 의장의 거취에 대해선“해외에 있는 걸로 안다. 올해 국내에서 만난 적이 없다”면서도 “(김 의장에게) 이사회를 통해 사건 발생 후 현재 상황에 대해 보고했다”고 했다. 쿠팡이 ISMS-P 등 7개의 주요 보안 인증을 보유하고도 대규모 개인정보 유출 사태를 막지 못하면서 인증 제도에 대한 무용론도 제기됐다. 특히 ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 공동 운영하는 국내 유일의 정보보호·개인정보보호 관리체계 인증 제도다. 송경희 개인정보위원회 위원장은 “ISMS-P 인증을 받았는데 사고가 난 24개 기업에 대해 이번 달에 현장 조사를 계획하고 있다”고 밝혔다. 또 개인정보위는 고객들에게 개인정보 ‘노출’이라고 통지한 쿠팡에 ‘유출’ 통지로 수정하고, 공동현관 비밀번호 등 유출 항목을 빠짐없이 반영해 재통지하라고 요구했다.

“축하드립니다! 쿠팡 공식 제휴사 체험단으로 선정되셨습니다!” 쿠팡의 대규모 개인정보 유출 사태 이후 ‘탈팡’(쿠팡 탈퇴)한 직장인 한모(41)씨는 3일 아침 출근길에 이런 문자를 받았다. 체험단 참여를 신청하는 카카오톡 오픈채팅방 링크도 첨부돼 있었는데, 전형적인 스미싱 사기였다. 한씨는 “쿠팡을 사용하지 않는 주변에 물어보니 이런 문자를 받은 사람이 한 명도 없었다”며 “탈퇴해도 이미 유출된 정보로 이런 문자가 오는 것 아니냐”고 목소리를 높였다. 쿠팡을 이용한 지 2년 정도 된 직장인 강모(39)씨에게도 전날부터 이날까지 이틀 새 정체를 알 수 없는 국제 전화가 10통 가까이 걸려 왔다. 강씨는 “보이스피싱으로 의심되는 전화가 평소엔 거의 없었는데, 최근 들어 유독 늘었다”며 “실수로 전화를 받았을 땐 이미 상대방이 정확하게 내 이름과 주소를 알고 있었다”고 토로했다. 개인정보가 유출된 쿠팡 고객 중 스미싱, 보이스피싱이 의심되는 전화를 받는 경우가 늘면서 2차 피해에 대한 불안과 분노가 커지고 있다. 쿠팡 아이디가 미국에서 접속되는 일은 겪은 고객도 있었다. 박모(27)씨는 개인정보 유출 사태 이후 혹시나 해서 쿠팡에 접속해 로그인 기록을 살펴봤다. 박씨는 “12월 2일 미국에서 접속한 기록이 있는 것을 확인했는데, 저는 태어나서 미국을 간 적이 한 번도 없다”며 “유출된 정보에 비밀번호 등은 포함돼 있지 않다고 했지만 신뢰가 가지 않는다”고 했다. 이런 고객들의 우려와 달리 쿠팡은 보안 강화 대책을 적극 제시하는 등의 사후 대응에 손 놓고 있다. 쿠팡 메인 화면에는 사과문이나 2차 피해 방지, 보안 대책 강구와 같은 메시지보단 ‘한정 특가’, ‘반짝 세일’ 등의 문구가 주로 노출돼 있다. 이승준(31)씨는 “사태 이후 쿠팡 홈페이지에는 사과문보다 ‘할인쿠폰을 확인하라’ 같은 광고 배너만 있다”며 “탈퇴하고 싶어도 버튼조차 찾기 어렵고, 겨우 찾아 탈퇴하려 해도 6단계 이상 정보를 입력해야 한다. 고객은 어떻게 되든 상관없이 일단 돈만 벌겠다는 심보”라고 꼬집었다.

경북도의회 예산결산특별위원회(위원장 김대일)는 지난 2일부터 5일까지 4일간 경북도지사가 제출한 ‘2026년도 경북도 예산안 및 기금운용계획안’ 종합심사에 돌입했다. 경북도 예산안은 총 14조 363억원으로 전년도 대비 7745억원 증가(5.8%)했으며, 도 예산안 심사 첫날인 2일은 기획조정실, 경제통상국, 문화관광체육국, 농축산유통국, 복지건강국 소관 예산안에 대해 심도 있는 심사를 이어갔다. 손희권 부위원장(포항)은 농어촌 기본소득 시범사업이 명확한 철학·목표 없이 추진되고 있다며, 효과 분석 기준 마련과 주관 부서의 책임 있는 사업 구조 정립을 요구했다. 또한 저출생 정책평가센터 운영과 청소년 버스 무료화 추진 시 체계적 평가·노선개편·재정 연계를 강조하고, 장애인·농업·축산 관련 신규사업들에 대한 철저한 검증을 주문했다. 김대진 위원(안동)은 공동영농 지원사업의 형평성 강화와 소규모 농가·청년 농업인 참여 확대를 통한 지속가능한 농업 모델 구축을 강조했다. 또한 지방소멸 대응과 국가 균형발전을 위해 공공기관 2차 이전 전략 마련의 중요성을 강조하고, 김천 혁신도시·도청 신도시를 연계한 적극적 유치 전략을 촉구했다. 김진엽 위원(포항)은 유기동물 보호예산이 매년 급증하고 있다며, 책임 있는 반려문화 확산과 입양·등록 활성화 등 체계적인 관리 강화가 필요하다고 강조했다. 또한 출자·출연기관에 투입되는 1조 원 규모 예산의 성과가 불투명하다며, 위탁사업의 재정 누수 방지대책 마련과 함께 위탁사업 전체에 대한 전수조사와 수수료 징수 기준 준수를 요구했다. 박선하 위원(비례)은 ‘경로당 행복밥상’ 사업을 노인 외로움·빈곤·건강을 개선하는 핵심 정책으로 보고, 22개 시군으로 확대하고 시설 격차를 해소해야 한다고 강조했다. 또한 장애인 맞춤형 일자리·훈련 확대 등 도 차원의 중장기 일자리 전략을 요청했으며, 경주 무장애 관광 조성과 사회복지사 시군·유형별 처우 격차와 높은 이직률 해소 대책을 주문했다. 배진석 위원(경주)은 경주 APEC을 미래산업·기업유치·일자리 창출로 연결할 구체적 포스트 APEC 전략과, ‘5극 3특’ 등 국가 전략에 맞춘 선제적 투자·기업유치 로드맵을 강조했다. 또한 일률적·선별적 보조금·문화예산 삭감 대신 공정한 평가와 선택·집중을 통해 민생경제와 K-컬처·국악 등 문화 경쟁력을 함께 살리는 예산 편성을 촉구했다. 연규식 위원(포항)은 관세 변화로 인한 수출 위기 대응을 위해 ‘K-글로벌 리더 기업 육성’ 사업 선정 기준 명확성과 전문 컨설팅 및 성과 관리를 요구했다. 또한 도청 인력의 지역 편중 문제를 지적하며 균형 있는 인력 구성을 강조했다. 아울러 사회복지시설 대체인력·교육·인권센터 운영 등 현장 지원 강화를 통한 사회복지종사자 처우 개선을 촉구했다. 윤종호 위원(구미)은 SOC 확대와 낮은 자립도 속에서 도민이 체감하는 예산편성을 위해 지속적 재원 확보 노력을 강조했다. 또한 공기업 적자와 청년 미래사업 부족을 지적하며 구조혁신을 주문했다. 특히 경북 미래전략 수립의 핵심인 경북연구원 인력 이탈로 기능 약화가 우려된다며 청사 건립, 처우 개선, 인력 확충 등을 통한 연구 기반 강화를 강조했다. 이춘우 위원(영천)은 ‘소상공인 출산장려 아이 보듬 지원’ 사업이 인구위기 대응의 핵심 정책임을 강조하고, 예산 과다 추계와 까다로운 지원조건으로 인한 예산 반납 문제점을 지적하며, 지원조건 완화와 실효성 있는 운영을 요구했다. 또한 시군 매칭사업과 평가·포상체계를 전면 재정비해 경북도 위상과 재정 집행의 책임성을 높여야 한다고 강조했다. 정근수 위원(구미)은 APEC 경주 정상회의로 높아진 국제적 관심을 지속적으로 관광 수요로 연결해야 함에도, 2026년도 포스트 APEC 관련 예산이 동결·감액된 점을 비판했다. 감액된 관광 마케팅·숙박 할인 등 6개 사업을 추경 등을 통해 다시 확대하고, 경주뿐 아니라 도내 전역으로 APEC 효과가 확산되도록 예산·정책을 보완해야 한다고 강조했다. 정영길 위원(성주)은 소규모 관광단지 제도가 지역 관광 경쟁력을 높일 핵심 정책이라며, 시군 특성 반영·관광지 연계·MZ세대 맞춤형 콘텐츠 등을 포함한 용역 추진을 주문했다. 또한 시대 변화에 맞지 않는 정보화마을 사업은 중복·비효율을 점검해 농축산유통국 등과 통합 재검토해야 한다고 강조했다. 허복 위원(구미)은 청소년 마약 문제의 심각성에 비해 도의 마약 예방·치료 예산이 턱없이 부족하다며 인프라 확충과 실효적 대응을 촉구했다. 또한 보건진료소 강화 사업이 10개소만 지원되는 것은 형평성에 문제가 있다며 단계적 확대를 요구했다. 아울러 지역 민원 사업 미반영과 특정 부서 편중 지방채 편성을 지적하며 유연하고 공정한 예산 운영을 주문했다. 황두영 위원(구미)은 조부모 손자녀 돌봄 시범사업의 ‘경북형 모델’ 정착을 강조하고 선심·중복·행사성 예산 정비를 통한 산불 피해 복구와 취약지역 지원의 우선순위를 촉구했다. 아울러 의대 설립은 혈세 부담과 의료 인력 확보 효과를 면밀히 따져 신중히 추진하되, 지역 의료원 기능 강화와 우수 의료진·장비 유치 등 현실적 대안을 검토해야 한다고 제안했다. 김대일 위원장은 산불 이후 전통사찰·세계유산 보호를 위한 실효성 있는 방재 매뉴얼과 문화재 전문 인력 체계 구축, 그리고 장기간 반복되는 축제·공연 예산의 구조조정을 주문했다. 또한 경로당 행복밥상·안동의료원 이전 등 복지·의료 정책은 재정 부담과 구도심 공동화, 주민 의견을 종합 고려해 계획을 수립하고 추진할 것을 강조했다. 아울러 도민·의회 의견과 현장 요구를 예산 편성에 적극 반영해 줄 것을 당부했다. 한편, 예결특위는 이날 도 기획조정실 등 5개 실국 예산안 심사를 시작으로 오는 5일까지 도 소관 예산안 심사를 마무리할 예정이라고 밝혔다.

이용자 3370만여명의 개인정보 유출 사고가 발생한 쿠팡이 홈페이지와 애플리케이션에 올린 사과문을 이틀 만에 내리고 쿠팡이츠 등 자사의 서비스를 홍보해 빈축을 사고 있다. 당국은 애초 고객 안내문에 ‘개인정보 노출’이라는 문구를 사용한 쿠팡에 ‘유출’로 수정해 다시 통보하라고 요구했다. 3일 업계에 따르면 쿠팡 홈페이지와 앱에는 지난 30일 게시된 개인정보 유출 관련 사과문이 사라진 상태다. 기자가 쿠팡 앱에 접속해보니 사과문이 게시돼 있던 자리에는 쿠팡의 음식 배달 서비스 ‘쿠팡이츠’를 홍보하는 배너가 노출됐다. 사과문은 게시된 지 이틀 만인 전날 내려간 것으로 알려졌다. 쿠팡 앱에는 전날 같은 자리에 로켓배송을 홍보하는 배너를 내걸었다. 쿠팡의 이 같은 행태는 전날 국회에서 뭇매를 맞았다. 국회 과학기술정보방송통신위원회 긴급 현안질의에서 한준호 더불어민주당 의원은 박대준 쿠팡 대표에게 “하루 사이에 사과문을 없애버렸다”면서 “수천만 명이 불안에 떨고 있는데 장사 좀 더 하겠다고 이렇게 하고 있다”라고 질타했다. 황정아 민주당 의원도 “사과문이 잠깐 있다 사라진 것인가?”라며 “잘 보이는 데 있어야 하는 것 아니냐”라고 추궁했다. 질타가 쏟아지자 박 대표는 “저 사과문 내용만으로는 부족하고 2차 피해를 우려하시는 분들이 있어 별도 이메일 공지로 상세한 내용을 전달하기 위해 준비 중”이라고 답했다. 한편 개인정보보호위원회는 쿠팡에 유출 항목을 빠짐없이 반영하고 개인정보 ‘노출’을 ‘유출’로 수정해 안내문을 다시 통지하라고 이날 요구했다. 개인정보위는 이날 긴급 전체회의를 열고 쿠팡이 이 같은 내용을 포함한 조치를 즉각 실시할 것을 심의·의결했다고 밝혔다. 앞서 쿠팡은 이용자들에게 개인정보 유출 사실을 안내하면서도 안내문에 ‘유출’이 아닌 ‘노출’이라는 표현을 썼다. 또한 안내문에는 이용자의 이름과 주소, 전화번호, 주문 내역이 유출됐다고 밝혔지만 이후 배송 주소록에 입력한 공동현관 비밀번호도 일부 유출된 사실을 뒤늦게 밝혔다. 개인정보위는 “국민 대다수가 이용하는 이커머스 서비스에서 발생한 유출 사고임에도, 정보주체가 취할 수 있는 피해 예방 조치 안내가 충분하지 않았다”라면서 “쿠팡의 자체 대응과 피해 구제 절차도 미흡해 국민 우려가 커졌다”라고 지적했다. 또한 이용자 한 명이 따로 사는 가족이나 선물할 지인들의 주소를 등록해놓은 경우 이들의 정보가 통째로 유출될 수 있다는 점을 고려해 쿠팡 측에 배송지 명단에 포함돼 정보 유출 피해를 본 사람들에게도 유출 사실을 통보하라고 요구했다. 개인정보위는 홈페이지 초기 화면이나 팝업창을 통해 일정 기간 이상 유출 내용을 공지하고, 공동현관 비밀번호 변경이나 쿠팡 계정 비밀번호 변경 등 피해를 예방하기 위한 요령을 적극 안내하라고 주문했다.

SK텔레콤과 롯데카드, KT에 이어 쿠팡까지 지난 7개월간 해킹 등으로 통신사, 카드사, 온라인 유통 플랫폼 등 곳곳이 뚫렸다. 이 과정에서 새 나간 개인정보가 6300만건을 넘었다. 전 국민 수보다 많은 개인정보가 줄줄 새면서 언제 어디서라도 악용될 수 있는 2차 피해가 우려된다. 몸집 불리기에 급급한 기업의 안보 불감증이 근본 배경이지만 정부와 국회도 뒷짐만 졌던 책임을 피할 수 없다. 정부는 어제 국회에서 열린 쿠팡 개인정보 유출 사고 현안 질의에서 로그 분석 결과 3000만개 이상 계정의 공격 기간이 지난 6월 24일부터 11월 8일까지라고 밝혔다. 5개월 전부터 벌어진 유출을 기업도 정부도 까맣게 모르다가 고객 신고로 알게 됐다니 아무리 생각해도 황당하다. 정부는 스미싱 등 2차 피해 우려가 있어 모니터링을 강화하겠다고 했지만, 뒷북 대응이라는 비판이 나올 수밖에 없다. 이날 질의에서 “전자상거래법상 통신 판매로 재산상 손해가 났을 경우 영업정지를 할 수 있는데, 영업정지 가능 여부를 체크해 봤느냐”는 의원 질문에 정부는 “관계 기관과 협의하겠다”고만 했다. SK텔레콤 사태부터 관련 법·제도적 미비점과 솜방망이 처벌 등이 도마에 올랐으나 여전히 제자리걸음인 것이다. 2300만여명의 개인정보가 털린 SK텔레콤도 1348억원 수준의 과징금 부과에 그쳤다. SK텔레콤 사태 이후 신속한 공지와 조사, 과징금·과태료 강화 등을 담은 개인정보보호법 개정안은 22차례나 발의됐다. 그래 놓고 상임위 심사 단계에서 번번이 중단됐다. 국회와 정부가 말로만 보안 강화를 외치고 실제로는 손을 놓았던 것이다. 이재명 대통령은 어제 “관계 부처는 해외 사례를 참고해 과징금을 강화하고 징벌적 손해배상 제도를 현실화하는 등의 대책에 나서 달라”고 지시했다. 개인정보 유출 사고가 발생하면 기업이 문을 닫는 수준으로 책임을 물어야 한다. 개인정보 탈취 문제가 ‘국가적 재난’이 되고 있다. 보안 법안의 총체적 재점검에 나서야 한다.

쿠팡 고객 3370만 명의 개인정보가 유출되면서 파장이 일고 있는 가운데, 주문한 적 없는 택배가 중국에서 배송됐다는 사례가 심심치 않게 나오고 있다. 최근 엑스(X)에는 “여자 혼자 사는 집인데 시킨 적 없는 택배가 중국에서 온다. 택배에는 내 이름과 전화번호, 주소가 기입돼 있었다”, “택배를 발송한 사람의 번호가 중국 번호라 보낸 사람한테 연락을 할 수도 없다” 등의 글이 올라왔다. 해당 글 작성자는 자신의 사례를 공개하며 개인통관고유부호를 재발급 받으라고 권했다. 개인통관고유부호는 해외직구 시 세관 통관 절차에서 개인을 식별하기 위해 사용되는 번호다. 해당 게시물은 쿠팡 개인 정보 유출 사태와 맞물리면서 큰 주목을 받았다. 쿠팡에서 해외 직구 서비스를 이용할 때 반드시 개인통관고유번호를 입력해야 하는데, 개인 정보가 유출되면서 개인통관고유번호도 함께 유출됐을 가능성이 제기됐기 때문이다. 쿠팡 정보 유출 사고의 2차 피해를 우려한 일부 시민들이 개인통관고유부호를 바꾸려 관세청 전자통관시스템(유니패스)으로 몰려들면서 홈페이지가 일시 먹통이 되기도 했다. 2일 오후 3시 기준 관세청 유니패스 홈페이지는 접속 지연 상태가 지속됐다. 이는 전날 오전 9시 15분부터 시작된 접속 지연 사태가 이어진 것이다. 국회 과학기술정보방송통신위원회의 쿠팡 현안 질의가 진행되던 정오 경에는 트래픽이 더욱 폭주해 홈페이지가 일시 먹통이 됐다. 관세청은 홈페이지 공지를 통해 “현재 유니패스 이용량 증가 및 서버 처리 지연으로 인해 일부 서비스 이용이 원활하지 않을 수 있다”면서 “서비스는 안정화 작업 진행 중”이라고 안내했다. 2일 오후 5시 30분 기준, 유니패스 홈페이지는 아예 열리지 않거나 페이지가 열릴 때마다 상당한 로딩이 걸리는 상태다. 쿠팡 사태의 2차 피해를 우려하는 사람들 사이에서는 개인통관고유번호와 이미 유출된 개인 정보로 인해 스미싱 등에 노출되고 최악의 경우 밀수품 수입에 개인 명의가 도용될 수 있다는 우려까지 퍼지는 상황이다. 전문가들은 2차 피해를 막기 위해 쿠팡에서 결제 정보를 삭제하고 로그인 비밀번호를 바꾸는 등 조치를 해야 한다고 조언한다. 쿠팡은 이중 카드 결제 번호나 개인통관고유번호 등은 유출되지 않았다고 밝혔지만 아직 조사가 진행 중인 만큼 쿠팡 측 주장을 모두 신뢰하기는 어려운 상황이다. 비번 변경 공지 권유에 쿠팡이 내놓은 답변개인정보 도용과 보이스피싱, 스미싱 등을 통한 2차 피해가 우려되는 상황에서 쿠팡은 여전히 사태를 축소하는 데 급급한 모양새다. 2일 국회 과학기술정보방송통신위원회의 쿠팡 현안 질의에 참석한 김승주 고려대 정보보호대학원 교수는 “피해가 확산될 수 있어 쿠팡에 결제용 카드를 등록했다면 삭제해야 하고, 해당 (신용·체크) 카드의 비밀번호를 바꿀 수 있다면 바꾸는 것이 좋다”면서 “쿠팡 로그인 비밀번호도 바꾸면 좋다”고 말했다. 이후 과방위원장인 최민희 더불어민주당 의원이 쿠팡 측에 김 교수가 당부한 조치 3가지를 공지하라고 권고하자, 박대준 쿠팡 대표는 “(김 교수가 말한) 정보가 노출됐다고 확인된 바는 아직 없고, 너무 과잉해서 안내할 경우 불안감을 조성하게 된다”며 사실상 거절했다. 한편 관세청은 2026년부터 개인통관고유부호를 1년에 한 번씩 갱신하도록 하고, 도용이 의심될 경우 관세청이 직권으로 사용을 정지할 수 있도록 정했다.

미국 백악관이 ‘마약운반선 격침 후 생존자 살해’ 논란과 관련해 2차 공격이 실제로 있었다는 사실을 사실상 인정했다. 다만 공격 명령자는 도널드 트럼프 대통령이나 피트 헤그세스 국방장관이 아니라 현장 작전을 지휘한 해군 제독이었다고 주장했다. 캐롤라인 레빗 백악관 대변인은 1일(현지시간) 브리핑에서 “트럼프 대통령과 헤그세스 장관은 ‘나르코 테러리스트’로 지정된 단체에 전쟁법에 따라 치명적 타격을 가하도록 했다”며 “헤그세스 장관이 프랭크 브래들리 제독에게 물리적 타격 권한을 부여했고 그는 법의 범위 내에서 임무를 수행했다”고 밝혔다. 레빗 대변인은 ‘브래들리 제독이 2차 공격을 명령한 것이냐’는 질문에 “그는 자신의 권한 내에서 그렇게 했다”고 답했다. 이 발언은 헤그세스 장관이 ‘마약운반선을 제거하라’는 수준의 명령만 내렸고 실제 생존자에 대한 추가 공격은 제독이 판단했다는 취지로 해석된다. 앞서 워싱턴포스트(WP)는 지난 9월 2일 카리브해에서 미군이 마약운반이 의심되는 베네수엘라 국적 선박을 격침한 뒤 잔해에 매달린 생존자 2명을 추가 공격으로 살해했다고 보도했다. WP는 복수의 관계자 증언을 인용해 “헤그세스 장관이 ‘단 한 명도 남기지 말라’는 구두 명령을 내렸으며 현장 지휘관이 이에 따라 2차 공격을 지시했다”고 전했다. 백악관의 이번 해명은 사실상 2차 공격의 존재를 인정하면서도 명령 책임을 제독에게 돌린 것으로 평가된다. 이에 따라 미 의회와 군 내부에서는 “전형적인 꼬리 자르기”라는 반발이 확산하고 있다. WP는 국방부 관계자들의 말을 인용해 “백악관이 장관을 보호하려고 제독을 희생양으로 삼고 있다”는 격앙된 반응이 나왔다고 보도했다. 헤그세스 장관은 이날 밤 소셜미디어(SNS)에 “브래들리 제독은 미국의 영웅이자 진정한 전문가이며 그의 전투 결정을 100% 지지한다”고 밝히며 자신은 직접적인 명령을 내리지 않았다고 선을 그었다. 그는 “미국은 그 같은 남자들을 가졌다는 점에서 행운”이라며 “전쟁부는 항상 전사들의 등을 지킨다”고 주장했다. ‘전쟁부’는 트럼프 행정부가 국방부를 대신해 사용 중인 이름으로, 대(對)마약·대테러 작전을 ‘전시 임무’로 규정하려는 의도가 담긴 표현으로 해석된다. 한편 WP 사이트의 관련 기사에는 현재 약 3187개의 댓글이 달리며 여론의 분노와 불신이 폭발하고 있다. 댓글은 대체로 이번 해명을 신뢰하지 못하고 강하게 비판하는 내용으로 요약된다. 많은 댓글 작성자는 이번 작전을 ‘전쟁범죄’로 규정하며 불법성과 책임 회피를 문제 삼았다. 일부 주요 반응을 종합하면 ▲헤그세스를 직접 비난하며 “전쟁범죄자”라고 부르는 목소리, ▲장차 제독을 희생양으로 삼아 책임을 전가하려 한다는 의심, ▲국제법·미국법 위반 가능성에 대한 우려, ▲의회 차원의 철저한 조사·책임 추궁 요구 등이 반복됐다. 댓글 작성자들은 또한 작전의 근거가 미약하다고 지적했다. 댓글 요약은 “격침 대상 선박이 마약을 싣고 있었다는 결정적 증거가 부족했고 사건이 공해상에서 발생한 만큼 무력 사용의 정당성이 약하다”는 의문을 담고 있다. 일부는 “군사적 책임을 묻기 위한 군사재판이 필요하다”, “투명한 영상·통신 기록 공개 없이는 진상 규명이 불가능하다”는 요구를 제기했다. 군 법률 전문가들 역시 생존자 사살은 전시든 평시든 국제인도법상 금지된 행위라고 지적한다. WP에 따르면 전직 군사법관들은 성명에서 “조난자를 공격하는 것은 명백한 전쟁범죄이며 살인에 해당한다”며 “공격 세력은 그들을 구조·보호해야 할 법적 의무가 있다”고 밝혔다. 미 의회에서는 상·하원 군사위원회를 중심으로 관련 자료 제출을 요구하며 본격 조사를 예고했다. 로저 위커 상원 군사위원장(공화당)은 “관련 영상과 교신 기록, 명령 체계를 모두 확보해 진상을 규명하겠다”고 밝혔다. 하원 군사위 역시 브래들리 제독과 국방부 관계자들을 상대로 한 청문회를 검토 중인 것으로 알려졌다. 트럼프 대통령은 논란이 커지자 이날 백악관에서 안보팀을 긴급 소집했다. 그는 에어포스원 전용기에서 기자들에게 “헤그세스 장관이 모든 사람을 죽이라는 명령을 내리지 않았다고 했고 나는 그를 100% 믿는다”고 말했으나, 2차 공격에 대해서는 “나는 그것을 원치 않았을 것”이라고 밝혔다. 동시에 트럼프 대통령은 카리브해 작전 자체에 대해서는 “마약으로 미국인 수만 명이 피해를 봤다”며 옹호의 뜻을 재확인했다. 카리브해와 동태평양에서 미군은 지난 9월 이후 마약 운반 의심 선박을 21차례 공격했으며 이 과정에서 사망자는 80명을 넘는 것으로 집계됐다. 이번 2차 공격 논란은 이런 일련의 해상 작전 전체에 대한 법적·윤리적 재검토로 이어질 가능성이 크다. 의회 조사 결과와 공개될 영상·문서가 향후 사태 향방을 가를 것으로 보인다.

미국 백악관이 ‘마약운반선 격침 후 생존자 살해’ 논란과 관련해 2차 공격이 실제로 있었다는 사실을 사실상 인정했다. 다만 공격 명령자는 도널드 트럼프 대통령이나 피트 헤그세스 국방장관이 아니라 현장 작전을 지휘한 해군 제독이었다고 주장했다. 캐롤라인 레빗 백악관 대변인은 1일(현지시간) 브리핑에서 “트럼프 대통령과 헤그세스 장관은 ‘나르코 테러리스트’로 지정된 단체에 전쟁법에 따라 치명적 타격을 가하도록 했다”며 “헤그세스 장관이 프랭크 브래들리 제독에게 물리적 타격 권한을 부여했고 그는 법의 범위 내에서 임무를 수행했다”고 밝혔다. 레빗 대변인은 ‘브래들리 제독이 2차 공격을 명령한 것이냐’는 질문에 “그는 자신의 권한 내에서 그렇게 했다”고 답했다. 이 발언은 헤그세스 장관이 ‘마약운반선을 제거하라’는 수준의 명령만 내렸고 실제 생존자에 대한 추가 공격은 제독이 판단했다는 취지로 해석된다. 앞서 워싱턴포스트(WP)는 지난 9월 2일 카리브해에서 미군이 마약운반이 의심되는 베네수엘라 국적 선박을 격침한 뒤 잔해에 매달린 생존자 2명을 추가 공격으로 살해했다고 보도했다. WP는 복수의 관계자 증언을 인용해 “헤그세스 장관이 ‘단 한 명도 남기지 말라’는 구두 명령을 내렸으며 현장 지휘관이 이에 따라 2차 공격을 지시했다”고 전했다. 백악관의 이번 해명은 사실상 2차 공격의 존재를 인정하면서도 명령 책임을 제독에게 돌린 것으로 평가된다. 이에 따라 미 의회와 군 내부에서는 “전형적인 꼬리 자르기”라는 반발이 확산하고 있다. WP는 국방부 관계자들의 말을 인용해 “백악관이 장관을 보호하려고 제독을 희생양으로 삼고 있다”는 격앙된 반응이 나왔다고 보도했다. 헤그세스 장관은 이날 밤 소셜미디어(SNS)에 “브래들리 제독은 미국의 영웅이자 진정한 전문가이며 그의 전투 결정을 100% 지지한다”고 밝히며 자신은 직접적인 명령을 내리지 않았다고 선을 그었다. 그는 “미국은 그 같은 남자들을 가졌다는 점에서 행운”이라며 “전쟁부는 항상 전사들의 등을 지킨다”고 주장했다. ‘전쟁부’는 트럼프 행정부가 국방부를 대신해 사용 중인 이름으로, 대(對)마약·대테러 작전을 ‘전시 임무’로 규정하려는 의도가 담긴 표현으로 해석된다. 한편 WP 사이트의 관련 기사에는 현재 약 3187개의 댓글이 달리며 여론의 분노와 불신이 폭발하고 있다. 댓글은 대체로 이번 해명을 신뢰하지 못하고 강하게 비판하는 내용으로 요약된다. 많은 댓글 작성자는 이번 작전을 ‘전쟁범죄’로 규정하며 불법성과 책임 회피를 문제 삼았다. 일부 주요 반응을 종합하면 ▲헤그세스를 직접 비난하며 “전쟁범죄자”라고 부르는 목소리, ▲장차 제독을 희생양으로 삼아 책임을 전가하려 한다는 의심, ▲국제법·미국법 위반 가능성에 대한 우려, ▲의회 차원의 철저한 조사·책임 추궁 요구 등이 반복됐다. 댓글 작성자들은 또한 작전의 근거가 미약하다고 지적했다. 댓글 요약은 “격침 대상 선박이 마약을 싣고 있었다는 결정적 증거가 부족했고 사건이 공해상에서 발생한 만큼 무력 사용의 정당성이 약하다”는 의문을 담고 있다. 일부는 “군사적 책임을 묻기 위한 군사재판이 필요하다”, “투명한 영상·통신 기록 공개 없이는 진상 규명이 불가능하다”는 요구를 제기했다. 군 법률 전문가들 역시 생존자 사살은 전시든 평시든 국제인도법상 금지된 행위라고 지적한다. WP에 따르면 전직 군사법관들은 성명에서 “조난자를 공격하는 것은 명백한 전쟁범죄이며 살인에 해당한다”며 “공격 세력은 그들을 구조·보호해야 할 법적 의무가 있다”고 밝혔다. 미 의회에서는 상·하원 군사위원회를 중심으로 관련 자료 제출을 요구하며 본격 조사를 예고했다. 로저 위커 상원 군사위원장(공화당)은 “관련 영상과 교신 기록, 명령 체계를 모두 확보해 진상을 규명하겠다”고 밝혔다. 하원 군사위 역시 브래들리 제독과 국방부 관계자들을 상대로 한 청문회를 검토 중인 것으로 알려졌다. 트럼프 대통령은 논란이 커지자 이날 백악관에서 안보팀을 긴급 소집했다. 그는 에어포스원 전용기에서 기자들에게 “헤그세스 장관이 모든 사람을 죽이라는 명령을 내리지 않았다고 했고 나는 그를 100% 믿는다”고 말했으나, 2차 공격에 대해서는 “나는 그것을 원치 않았을 것”이라고 밝혔다. 동시에 트럼프 대통령은 카리브해 작전 자체에 대해서는 “마약으로 미국인 수만 명이 피해를 봤다”며 옹호의 뜻을 재확인했다. 카리브해와 동태평양에서 미군은 지난 9월 이후 마약 운반 의심 선박을 21차례 공격했으며 이 과정에서 사망자는 80명을 넘는 것으로 집계됐다. 이번 2차 공격 논란은 이런 일련의 해상 작전 전체에 대한 법적·윤리적 재검토로 이어질 가능성이 크다. 의회 조사 결과와 공개될 영상·문서가 향후 사태 향방을 가를 것으로 보인다.

12월 1일부터 모집…착수금 1인당 만 원 최근 쿠팡에서 3,370만 건에 달하는 고객 개인정보가 무단 유출된 사실이 드러난 가운데, 법률사무소 화음(대표변호사 정재권)이 쿠팡 개인정보유출 피해자 집단소송 접수를 시작했다고 밝혔다. 법률사무소 화음은 지난 12월 1일부터 쿠팡 개인정보 유출 사태와 관련해 쿠팡 측에 집단소송을 제기하기 위한 참여자를 모집하고 있다. 법률사무소 화음 정재권 변호사는 “이번 개인정보유출 사건은 외부의 해킹이 아닌 ‘내부 직원’에 의한 유출이므로 쿠팡의 책임이 보다 막중하다”라며 “유출된 정보에는 이름, 휴대전화 번호와 이메일 주소가 포함되어 있어 다른 웹사이트에 대입하는 크리덴셜 스터핑 공격 시도의 가능성이 있으며, 2차 추가 피해의 우려가 있다. 배송 지연을 사칭한 스미싱, 가족과 지인의 정보까지 유추되어 활용되는 등 사생활 침해 위험도 매우 높아 보인다”라고 전했다. 이어 “개인정보보호법에 따르면 정보주체는 법 위반 행위로 손해를 입으면 개인정보처리자에게 배상을 청구할 수 있고, 이 경우 사업자가 고의·과실이 없음을 입증하지 못하면 책임을 면할 수 없다. 과거 카드사 정보 유출, 인터파크 해킹 사건 등에서 법원은 기업의 과실이 인정될 경우 피해자 1인당 10~20만 원 내외의 위자료를 인정한 바 있다. 이번 사건은 주소지(거주지) 정보가 포함돼 스토킹, 보이스피싱 등 오프라인 범죄 악용 가능성이 크므로 더 높은 위자료가 인정될 여지가 있다. 집단 소송을 통해 효율적인 권리 구제와 유사 사태 재발 방지가 최선의 선택이 될 수 있다”라고 전했다. 실제로 해당 사건은 온라인에서도 움직임이 확산되고 있다. 개인정보 유출 사실이 공개된 지 이틀 만에 네이버에는 쿠팡 집단소송 관련 카페가 10여 곳 개설됐으며, 현재도 가입자 수가 빠르게 늘고 있다. 이번에 유출된 계정 정보가 3,370만 개에 달하는 만큼 개인정보 유출 관련 국내 단체 소송 가운데 최대 규모가 될 수 있다는 전망이 나온다. 앞서 법률사무소 화음은 SKT 유심정보 유출 피해자 단체소송을 3차까지 진행한 바 있다. 특히 화음 정재권 대표변호사는 과학기술정보통신부 고문변호사로 고도의 경험과 전문성을 바탕으로 소송을 진행해 나간다. 현재 법률사무소 화음에서 진행하는 쿠팡 개인정보유출 집단소송은 착수금 1만 원으로 참여할 수 있으며, 홈페이지 내 신청서 작성 등의 방법으로 신청자를 모집하고 있다. 배상금은 최소 10만 원에서 최대 30만 원 정도로 예상하고 있으며, 진행 과정에서 구체적 사실관계의 확정 및 증거 현출에 따라 청구금액을 확장하는 방식으로 진행할 예정이다. 정 변호사는 “과학기술정보통신부 고문 변호사로서의 경험을 통해 축적된 정보통신 관련 법률 및 정책에 대한 높은 이해도는 이번 소송을 성공적으로 이끄는 데 큰 강점이 될 것”이라며 “더 이상 혼자 고민하지 마시고, 저희와 함께 목소리를 내주시길 바란다”라고 밝혔다. 한편, 법률사무소 화음은 과학기술정보통신부(과기부) 고문 변호사로 위촉된 정재권 대표변호사를 포함해 IT 분야의 전문성을 지닌 변호사들로 구성된 로펌이다.

쿠팡에서 3000만명이 넘는 고객의 정보가 유출된 사실이 드러난 가운데, 식별된 공격 기간은 올해 6월 24일부터 11월 8일까지인 것으로 나타났다. 2일 국회 과학기술정보방송통신위원회(과방위) 쿠팡 개인정보 유출 사고 관련 긴급 현안 질의에서 류제명 과학기술정보통신부 2차관은 대응 경과보고를 통해 “지난해 7월부터 올해 11월까지 전수 로그 분석을 한 결과 3000만개 이상 계정에서 개인정보가 유출됐다”며 이같이 밝혔다. 류 차관은 “공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했다”며 “이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 사용됐다”고 설명했다. 개인정보 유출 규모는 약 3370만건이다. 정보에는 고객 이름, 이메일 주소, 배송지 주소록(이름·전화번호·주소) 등이 포함됐다. 류 차관은 조사 과정에서 실제 피해 계정 수는 달라질 수 있다고 전했다. 현재는 퇴사한 중국인 인증 담당자가 개인정보를 유출했다는 의혹에 대해 류 차관은 “현재 언급되는 공격자의 신상에 대한 정보는 경찰 수사로 확인이 필요하다”며 “확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3000만건의 개인정보 유출을 주장했다”고 했다. 정부는 앞으로 민관 합동조사단을 통해 사고 경위와 쿠팡의 보안 문제점을 면밀히 규명하고 결과를 투명하게 공개하겠다는 방침이다. 류 차관은 스미싱 등 2차 피해 우려가 커진 만큼 “2차 피해 발생 여부를 지속 모니터링하고, 개인정보위·경찰청 등 관계기관과 공조해 추가 피해를 방지하겠다”고 밝혔다.

쿠팡에서 3370만건의 개인정보가 한꺼번에 빠져나간 데 이어 유출 정보를 ‘언론에 공개하겠다’는 협박 이메일까지 등장했다. 단순한 사고를 넘어 국가적 사이버 보안 사태가 이미 2차 범죄 단계에 진입했다는 의미다. 어제 금융당국이 보이스피싱·스미싱 등 각종 금융사기에 악용될 우려가 높다는 이유로 소비자경보 ‘주의’를 발령했다. 가입자 규모에 비춰 상당수 국민들이 잠재적 피해자가 될 수 있다는 우려도 높아지는 상황이다. 불안에 떨고 있는 국민에게 당장 필요한 것은 2차 피해 차단을 위한 실행 계획이다. 정부는 유출 정보가 암거래 게시판이나 해킹 커뮤니티 등으로 흘러가는지 24시간 추적하고, 거래나 공유 시도가 포착되는 즉시 삭제 요청과 차단 조치를 해야 한다. 금융기관·포털·통신·택배사와 연동한 피싱 자동 감지 체계도 적극 검토해야 한다. 쿠팡 역시 이용자의 불안을 낮추는 실질적 조치에 나서야 한다. 피해 계정 비밀번호·OTP(일회용 인증 비밀번호) 일괄 초기화, 배송지 주소록 암호화 및 재동의 절차, 로그인 위치·기기 이상 탐지 시스템 구축은 지금도 실행할 수 있다. 안내 문자 발송만으로는 책임을 면할 수 없다. 개인정보 자산을 잠재적 범죄 도구로 전락시킨 책임은 전적으로 기업이 감당해야 한다. 우리는 이미 생활·결제·택배·병원·쇼핑의 70% 이상을 플랫폼을 통해 처리한다. 내부 직원 단 한 명이 두 차례 보안 절차를 우회해 정보를 반출할 수 있었으니 우리 데이터가 얼마나 쉽게 위험에 노출되는지 적나라하게 확인한 셈이다. 이번 사태는 쿠팡뿐만이 아니라 한국 디지털 경제 전체에 울린 경고음이다. 정부는 개인정보를 다루는 기업의 내부 반출 차단 시스템(DLP) 도입 의무화 등 제도적 개선에 나서야 한다. 이번 사태를 전환점으로 디지털 보안 체계를 한 단계 끌어올리지 못한다면 제2·제3의 쿠팡 사태는 언제든 반복될 수 있다.

지난달 29일 발생한 쿠팡의 대규모 개인정보 유출 사태로 우려가 커지는 가운데, 쿠팡 내 IT 인력 상당수가 중국인이라는 주장이 나왔다. 지난달 30일 직장인 익명 커뮤니티인 ‘블라인드’에 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저는 90% 이상이 중국 국적자”라며 “조직(쿠팡)이 ‘중국인 카르텔’에 의해 장악되고 있다”고 주장하는 글이 올라왔다. 자신을 쿠팡 개발자라고 주장한 글쓴이는 “매 분기 퇴사 인사는 한국인들이고, 매 분기 신규 입사자들을 소개하면 80%가 중국, 나머지가 인도와 한국인들”이라며 “(중국인이) 차근차근 비율을 높이면서 카르텔을 형성하고 있으며 잠실, 용산 등 최고급 주거시설과 자녀 국제학교 학비 등 한국인이 누리지 못하는 복지로 혜택을 보고 있다”고 밝혔다. 이어 “개인적으로 이번 사태는 무분별하게 중국인들을 (IT 인력으로) 데려다 쓴 결과라 생각한다”고 덧붙였다. 해당 글은 삭제됐으나 이미 온라인 커뮤니티를 중심으로 캡처 사진이 돌면서 논란이 확산하고 있다. 이와 관련해 쿠팡은 1일 “수사 영역이고 수사에 적극 협조 중”이라면서 “(블라인드에 올라온 글은) 사실과 다르다”고 밝혔다. 쿠팡, 퇴사한 중국인 직원의 데이터 접근 열쇠 갱신 안 했다1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 현재 쿠팡은 전 중국인 직원을 정보 유출자로 추정하고 있다. 문제는 쿠팡이 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 데이터 접근 열쇠인 액세스 토큰과 서명키를 곧바로 삭제하거나 갱신하지 않았다는 사실이다. 액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 의미한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 쿠팡 측이 제공한 자료에 따르면 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 직원 퇴사 이후에도 폐기하거나 갱신하지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다. 쿠팡 측은 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다. 쿠팡, 5개월 간 유출 시도 몰랐다이번 사고로 유출된 쿠팡 고객 계정은 약 3370만 개에 달한다. 쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 밝혔다. 사실상 고객 정보 탈취가 5개월 전부터 시작됐지만 쿠팡이 이를 뒤늦게야 인지한 셈이다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러나 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 더불어 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘는 규모다. 현재 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.

지난달 29일 발생한 쿠팡의 대규모 개인정보 유출 사태로 우려가 커지는 가운데, 쿠팡 내 IT 인력 상당수가 중국인이라는 주장이 나왔다. 지난달 30일 직장인 익명 커뮤니티인 ‘블라인드’에 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저는 90% 이상이 중국 국적자”라며 “조직(쿠팡)이 ‘중국인 카르텔’에 의해 장악되고 있다”고 주장하는 글이 올라왔다. 자신을 쿠팡 개발자라고 주장한 글쓴이는 “매 분기 퇴사 인사는 한국인들이고, 매 분기 신규 입사자들을 소개하면 80%가 중국, 나머지가 인도와 한국인들”이라며 “(중국인이) 차근차근 비율을 높이면서 카르텔을 형성하고 있으며 잠실, 용산 등 최고급 주거시설과 자녀 국제학교 학비 등 한국인이 누리지 못하는 복지로 혜택을 보고 있다”고 밝혔다. 이어 “개인적으로 이번 사태는 무분별하게 중국인들을 (IT 인력으로) 데려다 쓴 결과라 생각한다”고 덧붙였다. 해당 글은 삭제됐으나 이미 온라인 커뮤니티를 중심으로 캡처 사진이 돌면서 논란이 확산하고 있다. 이와 관련해 쿠팡은 1일 “수사 영역이고 수사에 적극 협조 중”이라면서 “(블라인드에 올라온 글 내용은) 사실이 아니다”라고 입장을 밝혔다. 쿠팡, 퇴사한 중국인 직원의 데이터 접근 열쇠 갱신 안 했다1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 현재 쿠팡은 전 중국인 직원을 정보 유출자로 추정하고 있다. 문제는 쿠팡이 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 데이터 접근 열쇠인 액세스 토큰과 서명키를 곧바로 삭제하거나 갱신하지 않았다는 사실이다. 액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 의미한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 쿠팡 측이 제공한 자료에 따르면 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 직원 퇴사 이후에도 폐기하거나 갱신하지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다. 쿠팡 측은 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다. 쿠팡, 5개월 간 유출 시도 몰랐다이번 사고로 유출된 쿠팡 고객 계정은 약 3370만 개에 달한다. 쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 밝혔다. 사실상 고객 정보 탈취가 5개월 전부터 시작됐지만 쿠팡이 이를 뒤늦게야 인지한 셈이다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러나 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 더불어 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘는 규모다. 현재 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.

지난달 29일 발생한 쿠팡의 대규모 개인정보 유출 사태로 우려가 커지는 가운데, 쿠팡 내 IT 인력 상당수가 중국인이라는 주장이 나왔다. 지난달 30일 직장인 익명 커뮤니티인 ‘블라인드’에 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저는 90% 이상이 중국 국적자”라며 “조직(쿠팡)이 ‘중국인 카르텔’에 의해 장악되고 있다”고 주장하는 글이 올라왔다. 자신을 쿠팡 개발자라고 주장한 글쓴이는 “매 분기 퇴사 인사는 한국인들이고, 매 분기 신규 입사자들을 소개하면 80%가 중국, 나머지가 인도와 한국인들”이라며 “(중국인이) 차근차근 비율을 높이면서 카르텔을 형성하고 있으며 잠실, 용산 등 최고급 주거시설과 자녀 국제학교 학비 등 한국인이 누리지 못하는 복지로 혜택을 보고 있다”고 밝혔다. 이어 “개인적으로 이번 사태는 무분별하게 중국인들을 (IT 인력으로) 데려다 쓴 결과라 생각한다”고 덧붙였다. 해당 글은 삭제됐으나 이미 온라인 커뮤니티를 중심으로 캡처 사진이 돌면서 논란이 확산하고 있다. 이와 관련해 쿠팡은 1일 “수사 영역이고 수사에 적극 협조 중”이라면서 “(블라인드에 올라온 글 내용은) 사실이 아니다”라고 입장을 밝혔다. 쿠팡, 퇴사한 중국인 직원의 데이터 접근 열쇠 갱신 안 했다1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 현재 쿠팡은 전 중국인 직원을 정보 유출자로 추정하고 있다. 문제는 쿠팡이 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 데이터 접근 열쇠인 액세스 토큰과 서명키를 곧바로 삭제하거나 갱신하지 않았다는 사실이다. 액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 의미한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 쿠팡 측이 제공한 자료에 따르면 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 직원 퇴사 이후에도 폐기하거나 갱신하지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다. 쿠팡 측은 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다. 쿠팡, 5개월 간 유출 시도 몰랐다이번 사고로 유출된 쿠팡 고객 계정은 약 3370만 개에 달한다. 쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 밝혔다. 사실상 고객 정보 탈취가 5개월 전부터 시작됐지만 쿠팡이 이를 뒤늦게야 인지한 셈이다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러나 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 더불어 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘는 규모다. 현재 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.

경북도의회 행정보건복지위원회(위원장 권광택)는 제359회 제2차 정례회 기간 중 지난 11월 27일부터 28일까지 상임위 회의를 열고 소관 부서인 안전행정실, 감사관, 인재개발원, 저출생극복본부의 ‘2026년도 경북도 예산안 및 기금운용계획안’ 심사를 마무리했다. 2026년도 본예산은 세출기준 안전행정실 6149억 6355만원으로 전년 대비 422억 4590만원 증액, 인재개발원 82억 4215만원으로 전년 대비 4458만원 감액, 감사관 9억 9819만원, 저출생극복본부 1조 1295억 400만원으로 전년 대비 1271억 9690만원 증액한 규모로 편성됐다. 안전행정실 예산안 심사에서는 배진석 의원(경주)은 자율방범대, 마을순찰대, 의용소방대 등 안전 관련 조직의 중복 인원 문제로 재난 발생 시 유기적인 대응이 어렵다며 조직 재정비와 단체별 기준 정립이 필요하다고 지적했다. 또한 지진대비 행동요령 도민 순회교육을 경북연구원에 위탁한 것은 전문성이 부족하다고 지적하며, 안전교육을 도내에 있는 안전체험관 등을 활용하고 어린이 대상 교육은 체험 중심으로 전환해야 한다고 강조했다. 윤승오 의원(영천)은 예산안 사업 명세서에 세입 산출 근거가 구체적으로 제시되지 않아 예산 내용을 파악하기 어렵다며, 추후 예산심사부터는 세입에 대한 상세한 산출근거를 반드시 명시하도록 설명자료 보완을 요구했다. 임기진 의원(비례)은 산불 피해 5개 군의 임시주택 관리 실태를 점검했는지 질의하며, 조립식 임시주택의 시설 노후와 열악한 창고 지원 실태를 지적했다. 또한 농기계 사고 발생률이 전국 1위인 점을 언급하며, 농업인 재난안전 문화활동 지원사업이 행사성 예산에 치우쳐 있다며 실질적인 안전 강화 중심으로 사업을 확대해야 한다고 강조했다. 아울러 산불 관련 특별법 시행 이후 법의 사각지대에 놓인 피해 주민들에 대한 추가 지원도 요청했다. 박영서 의원(문경)은 수년간 지적해왔었던 경북도 소유 재산 현황을 일괄 관리하는 통합 시스템조차 없는 실태를 강하게 비판했다. 특히 도 소유 토지를 장기간 무단 경작해 소송으로 이어진 사례를 언급하며, 도내 소유 재산에 대한 체계적인 총괄 관리 시스템 구축이 시급하다고 강조했다. 황재철 의원(영덕)은 새마을전문대학원 학위과정 지원사업이 반복적인 연례행사에 그치고 있다며 졸업생 성과 관리와 해당 대학교에 지원하는 재정적 부담의 필요성을 지적했다. 또한 새마을 브랜드를 활용한 광역·지역특화 비자 연계를 통한 외국인 인재 유치 방안을 제안했으며, 자유총연맹·바르게살기운동·자원봉사센터 등 민간보조 단체에 대한 운영 실태조사 필요성도 제기했다. 김일수 부위원장(구미)은 새마을운동 교육에 예산을 지원하는 구조는 새마을운동의 목적과 배치된다며 새마을운동의 체계적 운영을 주문했다. 아울러 대구 소재 구 인재개발원 부지의 조속한 활용 계획 수립을 요구했다. 감사관 예산안 심사에서 황재철 의원(영덕)은 출자·출연기관을 대상으로 하는 청렴도 평가를 통해 실질적으로 도민이 체감할 수 있는 변화로 이어져야 한다고 강조했다. 아울러 형식적인 평가에 그치지 않도록 성과 중심의 개선이 필요하다고 지적했다. 도기욱 의원(예천)은 자체청렴도 평가 용역이 동일 업체에 반복 위탁되고 있다며 공정성과 객관성 문제를 우려했다. 또한 청렴도 평가가 실제 개선 효과로 이어지고 있는지 점검이 필요하다고 지적하고, 청렴도 향상 조례 정의에 소방공무원이 빠져 있는 점도 보완해야 한다고 밝혔다. 김일수 부위원장(구미)은 청렴도민감사관 운영에 대해 권역별 워크숍을 통해 참여도를 높여야 한다고 강조했다. 또한 감사관증 발급과 감사 과정 배석 등 청렴도민감사관의 실질적인 참여 확대 방안도 함께 제안했다. 인재개발원 예산안 심사에서 백순창 의원(구미)은 올해 제정된 ‘인재개발원 도민교육 운영 조례’가 제정되어 도민에 대해 교육을 추진할 수 있는 근거가 마련됐음에도 관련 예산이 전혀 반영되지 않았다며, 타 시도에서 이미 시행 중인 만큼 경북도 조속히 사업을 추진해야 할 것을 주문했다. 황재철 의원은 신규 공직자 교육 성적을 전입시험에 반영하는 방안을 적극 검토할 것을 제안하며, 교육 성과가 인사 운영에 연계돼야 실효성이 높아진다고 강조했다. 아울러 ‘대한민국 독도 바로 알기’ 과정은 국내 공무원 중심이 아닌 외국인 대상 현장 교육이 더 효과적일 수 있다며, 위탁업체보다 독도재단 등 전문기관 활용이 바람직하다고 밝혔다. 저출생극복본부 예산안 심사에서 임기진 의원(비례)은 돌봄센터와 관련하여 돌봄 수요는 급증하는 반면 인력은 부족하고, 퇴사율이 높은 구조적 문제를 지적했다. 특히 돌봄 인력의 처우가 최저임금 수준에 머물러 있다며, 저출생과의 전쟁을 선포한 상황에서 핵심 인력에 대한 처우 개선이 뒤따르지 않고 있다고 비판했다. 시·군과 협력한 돌봄 인력 확보와 근본적인 처우 개선 대책 마련을 요구했다. 황재철 의원은 저출생 극복 워킹그룹 운영 사업과 저출생 극복 세미나 및 포럼 사업이 유사한 형태로 이중 추진되고 있다며 사업 간 차별성과 실효성에 의문을 제기했다. 아울러 ‘동서화합 천사프로젝트’라는 사업명 역시 사업 취지와 맞지 않는다며 명칭 변경이 필요하다고 강조했다. 백순창 의원은 저출생 사업이 도 산하 기관과 위탁기관에 유사하게 분산 추진되고 있다며 나눠주기식 사업 운영을 비판했다. 출산을 강요하는 인식보다 결혼과 출산이 자연스럽게 이어질 수 있는 사회 환경 조성이 중요하다고 강조하고, 청소년 한부모가정 지원과 함께 둘째 이상 및 다자녀 가정에 대한 실질적 지원 확대를 촉구했다. 박영서 의원은 산후조리원 운영비가 부족하다는 현장의 어려움을 전하며 산모 지원 정책의 현실화를 주문했다. 더불어 다문화센터, 청소년센터, 육아종합지원센터 등이 유사한 기능을 각각 수행하며 행정과 예산이 이중·삼중으로 투입되고 있다며, 기능 통합을 통한 예산 효율화가 필요하다고 강조했다. 배진석 의원은 저출생 정책 중 실효성이 낮거나 시·군 여건에 맞지 않는 사업은 과감히 정리해야 한다고 지적했다. 아이천국 육아친화 두레마을 등 거점형 사업의 자생력 한계를 짚으며, 센터 난립이 일자리 늘리기 수단으로 변질되지 않도록 신중한 사업 운영을 주문했다. 김일수 부위원장은 저출생극복박람회 등 유사한 인식 개선 행사가 반복되고 있다며 단발성 행사 위주의 사업 운영을 비판했다. 공공시설을 활용한 공공예식장 조성과 공공산후조리원 확충에 예산을 집중해야 한다고 강조했다. 마지막으로 권광택 위원장은 이번 내년도 본예산안 심사는 재난·안전, 복지, 저출생 대응 등 도민의 삶의 질과 직결된 핵심 분야를 중심으로 예산의 실효성과 타당성을 면밀히 점검하는 데 중점을 두었다며, 형식적·행사성 사업은 과감히 재검토하고, 도민이 실제로 체감할 수 있는 정책과 인프라 구축에 예산이 집중될 수 있도록 집행부와 끝까지 협의해 나가겠다고 밝혔다.

쿠팡의 대규모 개인정보 유출 사태가 확인되면서 소니나 야후 해킹에 버금가는 수준의 글로벌급 사고로 번질 수 있다는 우려가 커지고 있다. 단순한 이메일·비밀번호 유출을 넘어 집주소·배송기록·공동현관 비밀번호 등 생활형 정보까지 포함된 것으로 알려져 2차 피해 경고도 잇따르고 있다. 경찰, 피의자 IP 확보…협박 메일 2개 계정 추적 중 서울경찰청 사이버수사대는 1일 “쿠팡 측으로부터 서버 로그기록을 제출받아 분석 중이며 피의자가 사용한 IP를 확보해 추적 중”이라고 밝혔다. 경찰은 ‘회원들의 개인정보를 가지고 있다’며 협박성 이메일을 보낸 계정 2개에 대해서도 송신 경로를 추적하고 있다. 이메일은 지난달 16일과 25일 두 차례 발송됐고 동일인 소행인지 실제 유출자와 동일인인지 여부가 수사 중이다. 앞서 쿠팡에서 근무했던 중국 국적의 전직 직원이 고객 정보를 빼돌린 뒤 협박성 이메일을 보낸 정황이 포착됐다. 피의자가 이미 퇴사 후 출국한 상태로 확인되자 경찰은 국제 공조 수사에 나섰다. 30억 계정 털린 야후…역대 최대 유출 사건 2013~2014년 발생한 야후 해킹 사건은 역사상 최대 규모의 개인정보 유출로 기록됐다. 당시 약 30억 개 계정의 이름, 이메일 주소, 전화번호, 생년월일, 암호화된 비밀번호, 보안 질문·답변이 노출됐다. 이 사건은 2017년 야후의 매각 과정에도 직접적인 영향을 미쳐 인수 주체였던 버라이즌이 인수가를 3억 5000만 달러(약 4000억 원·모든 원화 환산은 사건 발생 당시 환율 기준) 낮췄다. 야후는 결국 피해자들과의 집단소송에서 총 1억 1750만 달러(약 1338억 원)의 합의금을 지급했다. 다만 전체 30억 계정이 아닌 실제 보상 대상은 약 1억 9400만 명 규모로 추정됐고 신청서를 제출한 이용자만 최대 358달러(약 40만 원) 한도 내에서 보상받았다. 소니 PSN 해킹…“기업 신뢰 무너진 상징적 사건” 2011년에는 일본 소니의 플레이스테이션 네트워크(PSN)가 해킹당해 7700만 명의 회원정보와 신용카드 정보가 유출됐다. 소니는 24일간 서비스를 중단하고 PSN 이용자 전원에게 무료 게임 2편과 30일 무료 이용권을 제공하는 등 사과·보상 조치를 취했다. 영국 당국은 정보보호법 위반으로 과징금을 부과했고 일본에서는 “기업 신뢰 붕괴”라는 여론이 확산되며 ‘소니 쇼크’라는 표현이 등장했다. 에퀴팩스·메리어트 등 글로벌 기업들도 잇단 유출 2017년 미국 신용평가사 에퀴팩스는 시스템 취약점을 방치한 채 수개월간 보안 경고를 무시하다가 1억 4700만 명의 신용정보가 유출됐다. 이 사건으로 경영진이 사퇴하고 미 의회 청문회가 열리는 등 파문이 컸다. 회사는 집단소송 합의로 총 7억 달러(약 8300억 원) 규모의 보상·과징금 패키지를 마련했으나 피해자 대부분은 애초 약속된 125달러 대신 10~20달러(약 1만~2만 원대)의 실보상만 받았다. 이듬해에는 세계 최대 호텔 체인 메리어트 인터내셔널의 예약망이 해킹돼 최대 5억 명의 투숙객 정보가 새나갔다. 영국 정보보호당국은 1840만 파운드(약 276억 원)의 과징금을 부과했고 미국·캐나다 등에서도 집단소송이 제기됐으며 피해 신고 고객을 대상으로 최대 100달러(약 12만 원) 수준의 보상이 제공됐다. 쿠팡, 외부 해킹 아닌 내부자 소행 정황쿠팡의 피해 규모(3370만 건)는 야후(30억)나 메리어트(5억)에 비하면 작지만 노출된 정보의 현실적 민감도는 훨씬 높다는 평가가 나온다. 특히 이름·주소·휴대전화번호뿐 아니라 공동현관 비밀번호, 배송 위치, 가족 구성 등 생활 공간과 연결된 정보가 포함돼 피해가 장기화될 가능성이 제기된다. 쿠팡은 “시스템 외부 침입 흔적은 없다”며 내부 비인가 조회로 인한 유출임을 시사했다. 보안 업계는 “이건 단순한 기술적 해킹이 아니라 내부 통제 실패”라며 기업의 데이터 접근 권한 관리가 허술했다는 점을 문제로 지적하고 있다. 집단소송, 실제 보상은 얼마나 받나 이번 사태를 계기로 해외 기업의 집단소송 보상 구조에도 관심이 쏠리고 있다. 미국 등에서는 대표 원고와 변호사단이 전체 피해자를 대신해 소송을 제기하며 개별 피해자는 변호사비를 직접 내지 않지만 전체 합의금의 20~40%가 수임료와 행정비용으로 공제된다. 결과적으로 1인당 보상액은 매우 낮아지는 구조다. 예를 들어 에퀴팩스 사건의 경우 총 7억 달러 중 약 25%가 변호사비로 빠졌고 피해자 대부분은 약속된 125달러 대신 10~20달러 수준만 받았다. 이처럼 집단소송은 금전적 보상보다 기업의 책임을 공식화하는 징벌적 절차라는 평가가 많다. 정부 조사 및 과징금 전망정부는 개인정보보호위원회와 과기정통부, 민간 보안 전문가들이 참여하는 민관합동조사단을 구성해 사고 원인을 조사 중이다. 개인정보보호법 개정으로 위반 시 전년도 매출의 최대 3%까지 과징금을 부과할 수 있어 쿠팡이 수천억 원대 제재를 받을 가능성도 제기된다. 앞서 2024년 SK텔레콤은 개인정보 유출로 역대 최대인 1347억 원의 과징금을 부과받았다. “사과보다 복구 중심 대응이 신뢰 회복의 출발점”쿠팡 사태는 한 기업의 보안 실패를 넘어 국민 대다수의 생활 정보가 얼마나 취약한지 드러낸 사건으로 평가된다. 데이터가 곧 신뢰가 되는 시대, 이번 사태가 ‘한국판 개인정보 위기’로 기록되지 않으려면 신속하고 투명한 대응이 필요하다.

쿠팡의 대규모 개인정보 유출 사태가 확인되면서 소니나 야후 해킹에 버금가는 수준의 글로벌급 사고로 번질 수 있다는 우려가 커지고 있다. 단순한 이메일·비밀번호 유출을 넘어 집주소·배송기록·공동현관 비밀번호 등 생활형 정보까지 포함된 것으로 알려져 2차 피해 경고도 잇따르고 있다. 경찰, 피의자 IP 확보…협박 메일 2개 계정 추적 중 서울경찰청 사이버수사대는 1일 “쿠팡 측으로부터 서버 로그기록을 제출받아 분석 중이며 피의자가 사용한 IP를 확보해 추적 중”이라고 밝혔다. 경찰은 ‘회원들의 개인정보를 가지고 있다’며 협박성 이메일을 보낸 계정 2개에 대해서도 송신 경로를 추적하고 있다. 이메일은 지난달 16일과 25일 두 차례 발송됐고 동일인 소행인지 실제 유출자와 동일인인지 여부가 수사 중이다. 앞서 쿠팡에서 근무했던 중국 국적의 전직 직원이 고객 정보를 빼돌린 뒤 협박성 이메일을 보낸 정황이 포착됐다. 피의자가 이미 퇴사 후 출국한 상태로 확인되자 경찰은 국제 공조 수사에 나섰다. 30억 계정 털린 야후…역대 최대 유출 사건 2013~2014년 발생한 야후 해킹 사건은 역사상 최대 규모의 개인정보 유출로 기록됐다. 당시 약 30억 개 계정의 이름, 이메일 주소, 전화번호, 생년월일, 암호화된 비밀번호, 보안 질문·답변이 노출됐다. 이 사건은 2017년 야후의 매각 과정에도 직접적인 영향을 미쳐 인수 주체였던 버라이즌이 인수가를 3억 5000만 달러(약 4000억 원·모든 원화 환산은 사건 발생 당시 환율 기준) 낮췄다. 야후는 결국 피해자들과의 집단소송에서 총 1억 1750만 달러(약 1338억 원)의 합의금을 지급했다. 다만 전체 30억 계정이 아닌 실제 보상 대상은 약 1억 9400만 명 규모로 추정됐고 신청서를 제출한 이용자만 최대 358달러(약 40만 원) 한도 내에서 보상받았다. 소니 PSN 해킹…“기업 신뢰 무너진 상징적 사건” 2011년에는 일본 소니의 플레이스테이션 네트워크(PSN)가 해킹당해 7700만 명의 회원정보와 신용카드 정보가 유출됐다. 소니는 24일간 서비스를 중단하고 PSN 이용자 전원에게 무료 게임 2편과 30일 무료 이용권을 제공하는 등 사과·보상 조치를 취했다. 영국 당국은 정보보호법 위반으로 과징금을 부과했고 일본에서는 “기업 신뢰 붕괴”라는 여론이 확산되며 ‘소니 쇼크’라는 표현이 등장했다. 에퀴팩스·메리어트 등 글로벌 기업들도 잇단 유출 2017년 미국 신용평가사 에퀴팩스는 시스템 취약점을 방치한 채 수개월간 보안 경고를 무시하다가 1억 4700만 명의 신용정보가 유출됐다. 이 사건으로 경영진이 사퇴하고 미 의회 청문회가 열리는 등 파문이 컸다. 회사는 집단소송 합의로 총 7억 달러(약 8300억 원) 규모의 보상·과징금 패키지를 마련했으나 피해자 대부분은 애초 약속된 125달러 대신 10~20달러(약 1만~2만 원대)의 실보상만 받았다. 이듬해에는 세계 최대 호텔 체인 메리어트 인터내셔널의 예약망이 해킹돼 최대 5억 명의 투숙객 정보가 새나갔다. 영국 정보보호당국은 1840만 파운드(약 276억 원)의 과징금을 부과했고 미국·캐나다 등에서도 집단소송이 제기됐으며 피해 신고 고객을 대상으로 최대 100달러(약 12만 원) 수준의 보상이 제공됐다. 쿠팡, 외부 해킹 아닌 내부자 소행 정황쿠팡의 피해 규모(3370만 건)는 야후(30억)나 메리어트(5억)에 비하면 작지만 노출된 정보의 현실적 민감도는 훨씬 높다는 평가가 나온다. 특히 이름·주소·휴대전화번호뿐 아니라 공동현관 비밀번호, 배송 위치, 가족 구성 등 생활 공간과 연결된 정보가 포함돼 피해가 장기화될 가능성이 제기된다. 쿠팡은 “시스템 외부 침입 흔적은 없다”며 내부 비인가 조회로 인한 유출임을 시사했다. 보안 업계는 “이건 단순한 기술적 해킹이 아니라 내부 통제 실패”라며 기업의 데이터 접근 권한 관리가 허술했다는 점을 문제로 지적하고 있다. 집단소송, 실제 보상은 얼마나 받나 이번 사태를 계기로 해외 기업의 집단소송 보상 구조에도 관심이 쏠리고 있다. 미국 등에서는 대표 원고와 변호사단이 전체 피해자를 대신해 소송을 제기하며 개별 피해자는 변호사비를 직접 내지 않지만 전체 합의금의 20~40%가 수임료와 행정비용으로 공제된다. 결과적으로 1인당 보상액은 매우 낮아지는 구조다. 예를 들어 에퀴팩스 사건의 경우 총 7억 달러 중 약 25%가 변호사비로 빠졌고 피해자 대부분은 약속된 125달러 대신 10~20달러 수준만 받았다. 이처럼 집단소송은 금전적 보상보다 기업의 책임을 공식화하는 징벌적 절차라는 평가가 많다. 정부 조사 및 과징금 전망정부는 개인정보보호위원회와 과기정통부, 민간 보안 전문가들이 참여하는 민관합동조사단을 구성해 사고 원인을 조사 중이다. 개인정보보호법 개정으로 위반 시 전년도 매출의 최대 3%까지 과징금을 부과할 수 있어 쿠팡이 수천억 원대 제재를 받을 가능성도 제기된다. 앞서 2024년 SK텔레콤은 개인정보 유출로 역대 최대인 1347억 원의 과징금을 부과받았다. “사과보다 복구 중심 대응이 신뢰 회복의 출발점”쿠팡 사태는 한 기업의 보안 실패를 넘어 국민 대다수의 생활 정보가 얼마나 취약한지 드러낸 사건으로 평가된다. 데이터가 곧 신뢰가 되는 시대, 이번 사태가 ‘한국판 개인정보 위기’로 기록되지 않으려면 신속하고 투명한 대응이 필요하다.