대규모 데이터센터 등 인프라 구축삼성SDS 시작으로 파트너 늘릴 듯 한국 30% 번역 등 업무 활용도 주목“경제적 가치 창출되는 현장은 기업AI 전환 돕는 최적의 파트너 될 것” 구글의 제미나이3.0 출시로 선두 지위를 위협받으며 ‘코드 레드’(비상 경영 상황)를 선언한 오픈AI가 삼성·SK와의 협력을 기반으로 한국에서 AI 인프라 구축에 속도를 내는 등 돌파구 마련에 나서고 있다. 글로벌 경쟁이 격화되는 가운데 인구 당 유료구독 비율 세계 1위인 한국을 핵심 파트너이자 전략 시장으로 규정하고 기업용 AI 확산과 기술 고도화에 힘을 싣는 모습이다. 오픈AI 코리아는 4일 서울 중구 웨스틴조선호텔에서 기자간담회를 열고 국내 기업 협력 전략과 스타게이트 프로젝트 진행 현황을 설명했다. 부임 후 첫 공식 행사에 참석한 김경훈 오픈AI 코리아 총괄 대표는 “경제적 가치가 창출되는 곳은 기업 현장”이라며 “오픈AI 코리아가 국내 기업의 AI 전환을 돕는 최적의 파트너가 되겠다”고 말했다. 김 대표는 이날 삼성·SK와 함께 추진 중인 ‘한국형 스타게이트’ 프로젝트의 최근 논의 내용을 공개했다. 스타게이트는 오픈AI가 차세대 초거대 모델을 훈련하기 위해 추진하는 대규모 데이터센터·AI 인프라 구축 프로그램으로, 전 세계 파트너와 협력해 컴퓨팅 자원을 확보하는 방식으로 진행 중이다. 그는 “현재 두 건의 스타게이트 프로젝트를 진행하고 있으며, 이번 주에 스타게이트 본사 팀이 방한해 삼성과 SK를 직접 만났다”고 밝혔다. 다만 투자 규모나 일정은 “아직 초기 조율 단계”라며 구체적 언급을 피했다. 김 대표는 “오픈AI는 빅테크가 아닌 만큼 전 세계에서 인프라를 확보하는 방식으로 접근하고 있으며 오라클·소프트뱅크 등과 협력하고 있다”고 설명했다. 한국형 스타게이트 프로젝트는 단순히 데이터센터 구축에 그치지 않는다. 삼성전자는 고성능·저전력 메모리(HBM) 공급을, 삼성SDS는 데이터센터 설계·운영을, 삼성물산·삼성중공업은 해상 설치형 플로팅 데이터센터 개발을 맡는 등 그룹 차원의 협력이 이어지고 있다. SK하이닉스는 오픈AI에 공급할 HBM 생산 능력을 대폭 확충하고 있으며, SK텔레콤 역시 서남권에 오픈AI 전용 데이터센터 구축을 논의 중이다. 김 대표는 “포항 프로젝트와 해상 데이터센터 역시 계획대로 검토가 진행되고 있다”며 “컴퓨팅 수요가 급증하는 만큼 한국에서도 인프라 확보가 중요하다”고 말했다. 오픈AI는 동시에 기업 고객 지원 체계도 강화하고 있다. 김 대표는 “삼성SDS가 이달 중 오픈AI의 첫 공식 채널 파트너로 계약을 마무리할 예정”이라고 말했다. 오픈AI는 이날 한국의 챗GPT 활용 데이터도 공개했다. 한국은 인구 대비 챗GPT 유료 구독 비율이 세계 1위이며, 문서 작성·번역 등 업무 목적 활용 비율(29%)이 가장 높았다. 이는 건강·생활 정보 등 일상적 활용 비중이 큰 글로벌 평균과는 다른 양상으로, 오픈AI가 한국을 기업용 AI 확산의 테스트베드로 판단하는 근거다. 글로벌 챗GPT 일일 메시지는 1년 만에 약 6배로 증가했다.

■교육부 ◇일반직 고위공무원 △대변인 정병익△기획조정실장 설세훈△인재정책실장 이해숙△서울특별시 부교육감 김천홍△학생건강정책국장 심민철△제주특별자치도 행정부교육감 최은희 ◇명예퇴직 △기획조정실장 박성민 ■통일부 ◇고위공무원 전보 △통일정책실 정책협력관 황승희△평화교류실 평화경제기획관 강연서 ■행정안전부 ◇과장급 전보 △민생경제지원과장 김태익 ■질병관리청 ◇국장급 전보 △만성질환관리국장 오진희 ◇과장급 승진 △검역정책과장 김옥수△의료대응지원과장 최종희△백신수급과장 박준구 ■국립중앙도서관 △국가서지과장 류은영△국립어린이청소년도서관 기획협력과장 김승정△국립어린이청소년도서관 정보서비스과장 이민석 ■SK이노베이션 계열 ◇신규 임원 △강태욱△김종하△이규혁△이상훈△지미연△김영수△이재열△한성진△이덕환△이주환△임근성 ■SK이노베이션 E&S ◇신규 임원 △김도식△박영욱△우병훈 ■SK온 ◇신규 임원 △장철영 ■SK하이닉스 ◇신규 임원 △강봉길△강부석△강상철△강영석△고한석△구인재△김병렬△김승호△김영승△김태한△김판선△김현석△박노혁△박사로한△박석상△박준덕△박한울△손경배△손윤익△양명훈△윤영우△이민영△이주석△이희진△임병용△장경철△정성훈△정치현△조윤정△지해성△채원태△한혜승△함동균△홍명일△황무연△황인태△백영환 ■SK텔레콤 ◇신규 임원 △김석원△김우람△김태희△신상민△안홍범△정형철△최종복△최훈원△이정민 ■SK브로드밴드 ◇신규 임원 △김영범△박상훈△신범식 ■SK에코플랜트 ◇신규 임원 △김상헌△김연주△김은경△김정훈△이동규△이상협△박영훈△선병학△김창기 ■SK네트웍스 ◇신규 임원 △민복기△이경렬△최현규 ■SK스퀘어 ◇신규 임원 △소영환 ■SK케미칼 ◇신규 임원 △정지효 ■SK에코플랜트 머티리얼즈 ◇신규 임원 △신원식 ■SK㈜ AX ◇신규 임원 △곽희석△권종민△남주현△백승환△정제원△조기수 ■중앙일보 △편집국장대리 최현철△정치외교국제부국장 최민우△경제산업부국장 이상재△사회부국장 겸 시민사회환경연구소장 정효식△문화스포츠부국장 겸 문화부장 이지영△AI스튜디오부국장 김한별△편집부국장 이진수△콘텐트1부국장 이경희△콘텐트2부국장 겸 기획2부장 박진석△콘텐트3부국장 겸 기업연구부장 박수련△국제부장 이영희△경제산업기획부국장 손해용△경제부장 조현숙△산업부장 이소아△사회부장 문병주△스포츠부장 성호준△그래픽부장 김경진△모바일편집부장 겸 에코팀장 홍주희△플러스편집부장 배노필△지면편집1부장 노승옥△지면편집2부장 임윤규△라이프플러스부장 박형수△이슈플러스부장 김효은△콘텐트개발부장 이지상△머니랩부장 김경진△사진부 선임기자 변선구△스포츠부 선임기자 장혜수△논설위원 박소영△논설위원 조민근

기아가 억대 연봉과 탄탄한 복지를 앞세워 현대자동차, SK하이닉스, 네이버 등 쟁쟁한 기업들을 제치고 직장인들이 꼽은 ‘일하기 좋은 기업’ 1위에 등극했다. 지난 2일 커리어 플랫폼 잡플래닛은 2025년 1~3분기 기업 평점을 토대로 ‘일하기 좋은 기업 Top 10’을 발표했다. 이번 순위는 리뷰 수가 50개 이상인 기업을 대상으로 총만족도, 급여·복지, 워라밸(일과 삶의 균형), 사내 문화 등 4개 항목을 5점 만점으로 평가해 산정했다. 1위에 오른 기아는 종합 점수 4.56점을 기록했으며, 특히 ‘급여·복지’ 항목에서 4.66점이라는 높은 점수를 받았다. 지난해 기준 기아의 평균 급여는 1억 3600만원에 달한다. 기아의 전 직원은 “성과급 많이 주고 차량할인 된다. 휴가가 많다”라고 평가했다. 기아에 이어 2위는 현대자동차(4.53점), 3위는 SK하이닉스(4.42점)가 차지했다. 현대자동차는 워라밸 항목에서 4.45점을 받으며 상위 10위 기업 중 가장 높은 점수를 기록했다. 올해 직원 1인당 평균 1억원의 성과급을 지급하기로 결정한 SK하이닉스는 급여·복지 부문에서 4.63점으로 강세를 보였다. 반면 워라밸(3.85점)과 사내 문화(3.99점) 항목은 다소 아쉬운 수준에 머물렀다. 이번 조사에서는 5위에 오른 현대모비스(4.24점)를 포함해 상위 5개 기업 중 4곳이 제조 기반 기업으로, 제조업 전반의 근무 만족도가 높은 것으로 분석됐다. 정보통신기술(ICT) 업계의 대표 주자인 네이버는 4.41점으로 4위에 올랐으며, 삼성SDS(4.21점)와 SK텔레콤(4.2점)이 뒤를 이었다. 금융권에서는 국민은행(4.18점)과 농협경제지주(3.98점)가 각각 8, 9위를 차지했고, 외국계 기업 중에는 한국필립모리스(3.84점)가 유일하게 10위권 내에 진입했다.

대규모 개인정보 유출 사태로 논란이 이어지는 가운데 쿠팡 전·현직 임원들이 유출 발생 시점 이후 수십억 원대 자사 주식을 매도한 사실이 드러났다. 다만 미 증권거래위원회(SEC) 공시에는 해당 거래가 1년 전 수립된 사전 매매 계획(Rule 10b5-1)에 따른 것으로 나타났다. CFO, 지난해 12월 수립한 자동매매 계획에 따라 매도 2일(현지시간) SEC 공시에 따르면 거랍 아난드 쿠팡 최고재무책임자(CFO)는 지난달 10일 쿠팡 보통주 7만5350주를 주당 29.02달러에 매도했다. 매각 금액은 약 218만6000달러, 한화로 약 32억 원 규모다. SEC 신고서(Form 4) 주석에는 “이번 매도는 2024년 12월 8일 채택된 Rule 10b5-1 사전 매매 계획에 따라 이행됐으며 특정 세금 납부 의무를 충족하기 위한 목적”이라고 명시됐다. 이 제도는 임원이 미공개 정보를 알지 못하는 시점에 미리 매매 시기와 수량을 정해두면 이후 직접 개입하지 않아도 자동으로 거래가 실행되는 구조다. 한 번 설정된 계획은 임의 변경이 어렵기 때문에 시장 상황과 무관하게 예정된 시점에 매매가 이뤄지는 특징이 있다. 즉 개인정보 유출 사태가 발생하기 약 1년 전 미리 확정된 자동매매 계획에 따른 거래였다. 쿠팡은 지난달 6일 해킹 시도가 발생했으나 12일이 지나 침해 사실을 인지했다고 관계기관에 신고했으며, 그달 29일에는 고객 계정 약 3,370만 건의 정보가 유출됐다고 공식 발표했다. CFO의 매도일(11월 10일)은 회사가 유출 사실을 공식적으로 인지한 시점보다 앞선다. 전 부사장도 사임 이후 통상 절차로 매도 프라남 콜라리 전 쿠팡 부사장 역시 지난달 17일 보유 주식 2만7388주(약 11억 원 상당)를 매도했다. 콜라리 전 부사장은 쿠팡의 검색·추천 알고리즘 부문을 총괄하던 핵심 기술임원으로 10월 15일 사임 의사를 통보하고 그다음달 14일 사임 효력이 발생했다. 그의 매도는 퇴사 이후 정산 절차의 일환으로 이뤄진 것으로 파악된다. “규정상 문제 없지만 민감한 시기”…내부자거래 논란은 여전 SEC 신고서상 두 사람의 거래는 모두 회사의 ‘유출 인지’ 이전에 이뤄졌으며 계획된 절차에 따른 것으로 확인됐다. 다만 유출 직후 공개된 시점이 맞물리며 시장의 의심을 자극했다. 일각에서는 “규정상 문제는 없더라도 시기적으로 민감한 시점에 매도 사실이 드러난 만큼 내부자거래 논란이 완전히 사라지긴 어려울 것”이라는 분석이 제기된다. 쿠팡 측은 “CFO의 거래는 미국 증권법상 요건을 충족한 정기적 매매였으며, 회사는 관련 규정을 준수하고 있다”고 밝혔다. 대규모 유출 후폭풍…‘내부통제’는 여전히 과제 쿠팡은 지난달 말 고객 3370만 명의 개인정보가 유출된 사실을 공개했다. 이름, 이메일, 주소, 전화번호 등 기본 정보뿐 아니라 일부 주문내역과 배송지 정보 등이 포함된 것으로 알려졌다. 정부는 개인정보보호위원회와 과기정통부, 한국인터넷진흥원이 참여하는 민관합동조사단을 구성해 사고 원인과 내부 통제 체계를 조사 중이다. 보안업계 관계자는 “이번 거래 자체가 불법은 아닐 수 있으나, 결과적으로 데이터 유출에 이어 신뢰 훼손과 임원 매도 논란으로까지 번진 점은 기업의 경영 관리 체계와 투명성의 문제로 남는다”고 지적했다. “보상안·과징금 가능성…단기 비용 불가피” 글로벌 투자은행 JP모건은 이번 사태와 관련해 “쿠팡이 경쟁자가 없는 시장 지위를 지니고 있어 고객 이탈은 제한적일 것”이라고 진단했다. 그러나 “자발적 보상 패키지 제공 가능성과 정부의 과징금 부과 여부에 따라 상당한 일회성 손실이 발생할 수 있다”고 내다봤다. 앞서 SK텔레콤이 대규모 해킹 이후 요금 감면과 무료 데이터 제공 등 수천억 원대 보상안을 내놓은 전례를 감안하면 쿠팡 역시 멤버십 연장이나 무료 쿠폰 제공 등 소비자 대상 보상안을 마련할 가능성이 크다. 업계에서는 쿠팡이 평판 회복을 위해 올해 4분기 또는 내년 초 일정 규모의 보상 비용을 반영할 것이라는 전망도 제기된다. 전문가들은 “단기 손실보다 중요한 것은 투명한 보상 절차와 내부 통제 강화”라며 “소비자 신뢰 회복이 쿠팡의 향후 시장 평가를 좌우할 것”이라고 입을 모았다.

대규모 개인정보 유출 사태로 논란이 이어지는 가운데 쿠팡 전·현직 임원들이 유출 발생 시점 이후 수십억 원대 자사 주식을 매도한 사실이 드러났다. 다만 미 증권거래위원회(SEC) 공시에는 해당 거래가 1년 전 수립된 사전 매매 계획(Rule 10b5-1)에 따른 것으로 나타났다. CFO, 지난해 12월 수립한 자동매매 계획에 따라 매도 2일(현지시간) SEC 공시에 따르면 거랍 아난드 쿠팡 최고재무책임자(CFO)는 지난달 10일 쿠팡 보통주 7만5350주를 주당 29.02달러에 매도했다. 매각 금액은 약 218만6000달러, 한화로 약 32억 원 규모다. SEC 신고서(Form 4) 주석에는 “이번 매도는 2024년 12월 8일 채택된 Rule 10b5-1 사전 매매 계획에 따라 이행됐으며 특정 세금 납부 의무를 충족하기 위한 목적”이라고 명시됐다. 이 제도는 임원이 미공개 정보를 알지 못하는 시점에 미리 매매 시기와 수량을 정해두면 이후 직접 개입하지 않아도 자동으로 거래가 실행되는 구조다. 한 번 설정된 계획은 임의 변경이 어렵기 때문에 시장 상황과 무관하게 예정된 시점에 매매가 이뤄지는 특징이 있다. 즉 개인정보 유출 사태가 발생하기 약 1년 전 미리 확정된 자동매매 계획에 따른 거래였다. 쿠팡은 지난달 6일 해킹 시도가 발생했으나 12일이 지나 침해 사실을 인지했다고 관계기관에 신고했으며, 그달 29일에는 고객 계정 약 3,370만 건의 정보가 유출됐다고 공식 발표했다. CFO의 매도일(11월 10일)은 회사가 유출 사실을 공식적으로 인지한 시점보다 앞선다. 전 부사장도 사임 이후 통상 절차로 매도 프라남 콜라리 전 쿠팡 부사장 역시 지난달 17일 보유 주식 2만7388주(약 11억 원 상당)를 매도했다. 콜라리 전 부사장은 쿠팡의 검색·추천 알고리즘 부문을 총괄하던 핵심 기술임원으로 10월 15일 사임 의사를 통보하고 그다음달 14일 사임 효력이 발생했다. 그의 매도는 퇴사 이후 정산 절차의 일환으로 이뤄진 것으로 파악된다. “규정상 문제 없지만 민감한 시기”…내부자거래 논란은 여전 SEC 신고서상 두 사람의 거래는 모두 회사의 ‘유출 인지’ 이전에 이뤄졌으며 계획된 절차에 따른 것으로 확인됐다. 다만 유출 직후 공개된 시점이 맞물리며 시장의 의심을 자극했다. 일각에서는 “규정상 문제는 없더라도 시기적으로 민감한 시점에 매도 사실이 드러난 만큼 내부자거래 논란이 완전히 사라지긴 어려울 것”이라는 분석이 제기된다. 쿠팡 측은 “CFO의 거래는 미국 증권법상 요건을 충족한 정기적 매매였으며, 회사는 관련 규정을 준수하고 있다”고 밝혔다. 대규모 유출 후폭풍…‘내부통제’는 여전히 과제 쿠팡은 지난달 말 고객 3370만 명의 개인정보가 유출된 사실을 공개했다. 이름, 이메일, 주소, 전화번호 등 기본 정보뿐 아니라 일부 주문내역과 배송지 정보 등이 포함된 것으로 알려졌다. 정부는 개인정보보호위원회와 과기정통부, 한국인터넷진흥원이 참여하는 민관합동조사단을 구성해 사고 원인과 내부 통제 체계를 조사 중이다. 보안업계 관계자는 “이번 거래 자체가 불법은 아닐 수 있으나, 결과적으로 데이터 유출에 이어 신뢰 훼손과 임원 매도 논란으로까지 번진 점은 기업의 경영 관리 체계와 투명성의 문제로 남는다”고 지적했다. “보상안·과징금 가능성…단기 비용 불가피” 글로벌 투자은행 JP모건은 이번 사태와 관련해 “쿠팡이 경쟁자가 없는 시장 지위를 지니고 있어 고객 이탈은 제한적일 것”이라고 진단했다. 그러나 “자발적 보상 패키지 제공 가능성과 정부의 과징금 부과 여부에 따라 상당한 일회성 손실이 발생할 수 있다”고 내다봤다. 앞서 SK텔레콤이 대규모 해킹 이후 요금 감면과 무료 데이터 제공 등 수천억 원대 보상안을 내놓은 전례를 감안하면 쿠팡 역시 멤버십 연장이나 무료 쿠폰 제공 등 소비자 대상 보상안을 마련할 가능성이 크다. 업계에서는 쿠팡이 평판 회복을 위해 올해 4분기 또는 내년 초 일정 규모의 보상 비용을 반영할 것이라는 전망도 제기된다. 전문가들은 “단기 손실보다 중요한 것은 투명한 보상 절차와 내부 통제 강화”라며 “소비자 신뢰 회복이 쿠팡의 향후 시장 평가를 좌우할 것”이라고 입을 모았다.

SK텔레콤과 롯데카드, KT에 이어 쿠팡까지 지난 7개월간 해킹 등으로 통신사, 카드사, 온라인 유통 플랫폼 등 곳곳이 뚫렸다. 이 과정에서 새 나간 개인정보가 6300만건을 넘었다. 전 국민 수보다 많은 개인정보가 줄줄 새면서 언제 어디서라도 악용될 수 있는 2차 피해가 우려된다. 몸집 불리기에 급급한 기업의 안보 불감증이 근본 배경이지만 정부와 국회도 뒷짐만 졌던 책임을 피할 수 없다. 정부는 어제 국회에서 열린 쿠팡 개인정보 유출 사고 현안 질의에서 로그 분석 결과 3000만개 이상 계정의 공격 기간이 지난 6월 24일부터 11월 8일까지라고 밝혔다. 5개월 전부터 벌어진 유출을 기업도 정부도 까맣게 모르다가 고객 신고로 알게 됐다니 아무리 생각해도 황당하다. 정부는 스미싱 등 2차 피해 우려가 있어 모니터링을 강화하겠다고 했지만, 뒷북 대응이라는 비판이 나올 수밖에 없다. 이날 질의에서 “전자상거래법상 통신 판매로 재산상 손해가 났을 경우 영업정지를 할 수 있는데, 영업정지 가능 여부를 체크해 봤느냐”는 의원 질문에 정부는 “관계 기관과 협의하겠다”고만 했다. SK텔레콤 사태부터 관련 법·제도적 미비점과 솜방망이 처벌 등이 도마에 올랐으나 여전히 제자리걸음인 것이다. 2300만여명의 개인정보가 털린 SK텔레콤도 1348억원 수준의 과징금 부과에 그쳤다. SK텔레콤 사태 이후 신속한 공지와 조사, 과징금·과태료 강화 등을 담은 개인정보보호법 개정안은 22차례나 발의됐다. 그래 놓고 상임위 심사 단계에서 번번이 중단됐다. 국회와 정부가 말로만 보안 강화를 외치고 실제로는 손을 놓았던 것이다. 이재명 대통령은 어제 “관계 부처는 해외 사례를 참고해 과징금을 강화하고 징벌적 손해배상 제도를 현실화하는 등의 대책에 나서 달라”고 지시했다. 개인정보 유출 사고가 발생하면 기업이 문을 닫는 수준으로 책임을 물어야 한다. 개인정보 탈취 문제가 ‘국가적 재난’이 되고 있다. 보안 법안의 총체적 재점검에 나서야 한다.

2차 피해 막는 사전통지안 등 22건국회 정무위 심사 문턱도 못 넘어강제력 없는 민관조사단도 한계과방위 출석한 쿠팡 대표 “제 책임” 쿠팡 고객 3370만명의 개인정보 유출은 몸집만 키우고 보안은 뒷전인 기업, 법 개정 등 제도 개선에 손을 놓고 있었던 국회와 정부가 만들어 낸 예견된 사태라는 목소리가 커지고 있다. 지난 4월 SK텔레콤(SKT) 유심(USIM·가입자 식별 모듈) 정보 유출 사태 이후 7개월이 넘도록 개인정보보호법 개정안은 단 한 건도 국회 문턱을 넘지 못했다. 소비자 불만이 폭발할 때 일시적으로 법안 발의가 이뤄지고 정작 실질적인 법 개정으로는 이어지지 않은 셈이다. 그 결과 개인정보 유출 이후 기업의 신속한 대응, 강제성 있는 조사, 처벌 강화 등은 여전히 기대하기 어려운 상황이다. 2일 서울신문 취재를 종합하면 SKT 해킹 사태가 발생한 4월부터 이날까지 7개월 동안 발의된 개인정보보호법 개정안은 총 22건이지만 모두 소관 상임위원회인 국회 정무위원회 심사 단계 문턱도 넘지 못했다. 발의된 의안 중 유출된 개인정보가 누구 것인지 특정할 수 없을 때 모든 정보 주체에게 신속하게 법정 통지 사항을 알리는 내용이 8건에 달한다. 하지만 법안 통과가 늦어지면서 이번 쿠팡 사태에서도 뒤늦게 안내를 받는 사례가 속출하고 있다. 곽진 아주대 사이버보안학과 교수는 “소비자가 스미싱 등 2차 범죄에 대응하려면 정보 유출 여부를 사전에 아는 것이 매우 중요하다”고 말했다. 민관합동조사단의 조사도 사실상 강제력이 없다는 지적이 이어졌으나 이 부분 역시 개선되지 않고 있다. 국회입법조사처는 지난 5월 ‘통신사 해킹 사고 사후대응의 문제점과 입법과제’를 통해 “사업자가 자료 제출을 거부해도 제재는 1000만원 이하 과태료 부과에 그친다. 이를 상향하거나 이행강제금을 부과해 조사 강제력을 강화해야 한다”고 지적했다. 개인정보 유출 관련 제도 개선이 이뤄지지 않는 건 ‘보안=비용’으로 보는 인식이 크기 때문이다. 한국인터넷기업협회도 관련 법 개정에 대해 정무위에 “신중한 검토가 필요하다”는 의견을 제출했다. 김명주 서울여대 지능정보보호학부 교수는 “기업 입장에서는 개인정보 보호 관련 규제가 ‘비용’이기 때문에 의견 협의가 이뤄지지 않고 있다”고 말했다. 황석진 동국대 국제정보보호대학원 교수는 “여야는 관련 법안을 민생 법안으로 보고 서둘러 제정해야 한다”고 건의했다. 박대준 쿠팡 대표는 이날 국회 과학기술정보방송통신위원회 긴급 현안질의에서 ‘김범석 쿠팡 의장이 사과할 의향은 없느냐’는 이훈기 더불어민주당 의원의 물음에 “제가 현재 이 사건에 대해 전체 책임을 지고 있다. 한국 법인 대표로서 사태를 해결하겠다”고 답했다. 배경훈 부총리 겸 과학기술정보통신부 장관은 김 의장을 겨냥해 “대다수 국민이 불안해하는 만큼 해당 기업의 최고책임자가 입장을 명확히 밝히는 게 필요할 것 같다”고 말했다. 아울러 금융감독원은 쿠팡의 결제 자회사 쿠팡페이에 대해 일주일간 현장 조사에 착수했다. 한편 민관합동조사단을 꾸리고 쿠팡의 개인정보 유출 사고 조사에 나선 과기정통부는 현안질의에서 “식별된 공격 기간은 지난 6월 24일부터 11월 8일까지”라고 공식 발표했다. 총 138일간이다.

쿠팡 고객 3370만명의 개인정보 유출은 몸집만 키우고 보안은 뒷전인 기업, 법 개정 등 제도 개선에 손 놓고 있었던 국회와 정부가 만들어낸 예견된 사태라는 목소리가 커지고 있다. 지난 4월 SK텔레콤(SKT) 유심(USIM·가입자 식별 모듈) 정보 유출 사태 이후 7개월이 넘도록 개인정보보호법 개정안은 단 한 건도 국회 문턱을 넘지 못했다. 소비자 불만이 폭발할 때 일시적으로 법안 발의가 이뤄지고, 정작 실질적인 법 개정으로 이어지지 않은 셈이다. 그 결과 개인정보 유출 이후 기업의 신속한 대응, 강제성 있는 조사, 처벌 강화 등은 여전히 기대하기 어려운 상황이다. 2일 서울신문 취재를 종합하면, SKT 해킹 사태가 발생한 4월부터 이날까지 7개월 동안 발의된 개인정보보호법 개정안은 모두 22건이지만, 모두 소관위원회인 정무위원회 심사 단계 문턱도 넘지 못했다. 발의된 의안 중 유출된 개인정보가 누구 것인지 특정할 수 없을 때 모든 정보주체에게 신속하게 법정 통지사항을 알리는 내용이 8건에 달한다. 하지만 법안 통과가 늦어지면서 이번 쿠팡 사태에서도 뒤늦게 안내를 받는 사례가 속출하고 있다. 곽진 아주대 사이버보안학과 교수는 “소비자가 스미싱 등 2차 범죄에 대응하려면 정보유출 여부를 사전에 아는 것이 매우 중요하다”고 말했다. 민관합동조사단의 조사도 사실상 강제력이 없다는 지적이 이어졌으나 이 부분 역시 개선되지 않고 있다. 국회입법조사처는 지난 5월 ‘통신사 해킹 사고 사후대응의 문제점과 입법과제’를 통해 “사업자가 자료 제출을 거부해도 제재는 1000만원 이하 과태료 부과에 그친다. 이를 상향하거나 이행강제금을 부과해 조사 강제력을 강화해야 한다”고 지적했다. 개인정보 유출 관련 제도 개선이 이뤄지지 않는 건 ‘보안=비용’으로 보는 인식이 커서다. 한국인터넷기업협회도 관련 법 개정에 대해 국회 정무위원회에 “신중한 검토가 필요하다”는 의견을 제출했다. 김명주 서울여대 지능정보보호학부 교수는 “기업 입장에서는 개인정보 보호 관련 규제가 ‘비용’이기 때문에 의견 협의가 이뤄지지 않고 있다”고 말했다. 황석진 동국대 국제정보보호대학원 교수는 “여야는 관련 법안을 민생 법안으로 보고 서둘러 제정해야 한다”고 건의했다. 박대준 쿠팡 대표는 이날 국회 과학기술정보방송통신위원회 긴급 현안질의에서 ‘김범석 쿠팡 의장이 사과할 의향은 없느냐’는 이훈기 더불어민주당 의원의 질의에 “제가 현재 이 사건에 대해 전체 책임을 지고 있다. 한국 법인 대표로서 사태를 해결하겠다”고 말했다. 한편 민관합동조사단을 꾸리고 쿠팡의 개인정보 유출 사고 조사에 나선 과학기술정보통신부는 현안질의에서 “식별된 공격 기간은 지난 6월 24일부터 11월 8일까지”라고 공식 발표했다. 총 138일 간이다. 류제명 과기정통부 2차관은 “3000만개 이상 계정의 개인 정보가 유출됐다”며 “KT 무단 소액결제 사고처럼 ‘관리 부실’이 이번 쿠팡 개인정보 유출 사고의 배경”이라고 밝혔다. 아울러 금융감독원은 쿠팡의 결제 자회사 쿠팡페이에 대해 일주일간 현장조사에 착수했다.

쿠팡의 퇴사한 중국인 직원이 회원 3370만명의 개인정보를 유출한 사고와 관련, 박대준 쿠팡 대표가 유출된 정보 중에 휴면 상태이거나 탈퇴한 회원의 정보도 포함됐을 수 있다고 2일 밝혔다. 박 대표는 이날 국회 과학기술정보방송통신위원회의 현안질의에서 휴면 및 탈퇴 회원의 정보가 유출됐을 가능성을 묻는 질문에 “일부 포함됐을 것이라고 생각한다”면서 이같이 말했다. 박 대표는 휴면 및 탈퇴 여부와 관련 없이 피해를 본 모든 회원들에게 개인정보 유출 사실을 안내했다고 설명했다. 다만 정보가 유출된 휴면 또는 탈퇴 회원이 몇 명인지를 묻는 질문에는 “정확히 세는 건 어렵다”고 답했다. 쿠팡에 따르면 이번 사고로 유출된 개인정보는 이용자들의 이름과 전화번호, 주소록에 입력한 배송지 주소, 주문 정보다. 비밀번호와 결제 카드 등 결제에 필요한 정보는 유출되지 않았다고 쿠팡은 설명했지만, 박 대표는 이용자들이 배송 주소록에 입력하는 공동현관 비밀번호도 일부 유출됐을 가능성이 있다고 시인했다. 이번 사태의 피해 규모는 지난해 SK텔레콤에서 발생한 해킹 사태(2300만명 피해)를 뛰어넘는다. SK텔레콤은 당시로는 역대 최대 규모인 1347억 9000만원의 과징금을 부과받았는데, 정치권에서는 쿠팡에 대해 1조원대의 과징금을 부과해야 한다는 주장이 나오고 있다. 황정아 더불어민주당 의원은 “(개인정보보호법에 따르면) 매출액의 3%, 1조 3000억원의 과징금을 물 수 있다고 한다”며 “개인정보보호위원회에서 과징금을 부과하면 소송전 없이 수용할 생각인가?”라고 물었다. 이에 박 대표는 “책임을 회피하고 싶은 생각이 없다”며 “책임이 있는 부분이 있다면 당연히 책임져야 된다고 생각한다”고 답했다.

SKT ‘에이닷 전화’ 보이스피싱 탐지 SK텔레콤은 인공지능(AI) 통화 서비스 ‘에이닷 전화’에 ‘AI 보이스피싱 탐지’ 기능을 추가했다고 1일 밝혔다. 통화 중 대화 내용을 실시간으로 분석해 보이스피싱 전화로 의심되면 사용자에게 즉시 알림을 제공하는 기능이다. AI 모델은 대화 내용에 의심 키워드가 포함됐는지, 대화 패턴이 어떠한지 등 다양한 요소를 종합 분석해 통화 중 실시간으로 보이스피싱 의심 여부를 판별한다. 분석 결과는 심각도에 따라 ‘의심’과 ‘위험’ 두 단계로 구분되며, 통화 중 경고 팝업창·알림음·진동을 통해 사용자에게 즉시 안내된다. LGU+ 조직 개편… AX 사업 강화 LG유플러스는 인공지능 전환(AX) 사업의 성과 확대와 통신업 경쟁력 강화를 목표로 조직개편을 단행했다고 1일 밝혔다. ‘전문성 강화’와 ‘유기적 협업 체계’를 두 축으로 주요 사업 영역에서 상품·사업 조직을 분리해 전문성을 높이는 대신 협력을 강화했다. 핵심 사업 분야인 AX도 조직을 분리해 사업 포트폴리오와 상품 출시에 각각 집중한다. AX 사업을 기술적으로 지원하는 개발 조직도 주요 핵심 사업별 전담 조직 형태로 재편된다. 통신 본업과 B2B 유·무선 사업 영역에서도 디지털 사업과 상품 조직을 분리했다. NC AI, 3D 생성 ‘바르코 3D’ 출시 엔씨소프트의 인공지능(AI) 전문 기업 NC AI는 3D 생성 서비스 ‘바르코 3D’를 1일 출시했다. 바르코 3D는 간단한 텍스트나 이미지 입력만으로 전문가 수준의 3D 애셋(개발 자료)을 생성 및 활용할 수 있는 AI 기반 플랫폼이다. 특히 3D 제작의 핵심인 뼈대를 만드는 메시(Mesh) 생성부터 실사 같은 질감을 입히는 ‘PBR 텍스처’, 관절을 지정해 자연스러운 움직임을 구현하는 ‘리깅(Rigging)’까지 AI가 전 과정을 자동 생성한다. 별도 설치 없이 홈페이지에서 이메일 인증을 하면 가입이 가능하다. 현대건설, 도시정비 수주 10조 돌파 현대건설이 지난달 서울 성북구 장위15구역 주택재개발정비사업 시공권을 확보하며 업계 처음으로 도시정비사업 연간 수주액 10조원을 돌파했다고 1일 밝혔다. 현대건설은 이번 수주를 포함해 올해 총 11개의 도시정비 사업지를 수주했다. 이는 2022년 기록한 9조 3395억원을 1조원 이상 초과 달성한 것으로, 2019년부터 7년 연속 도시정비 수주 선두 기록도 새로 세웠다. 현대건설은 2조 7489억원 규모의 압구정2구역 재건축을 비롯해 개포주공6·7단지, 장위15구역 등 조 단위 대형 프로젝트를 단독으로 수주했다.

“서버 접근권 말소 안 해 생긴 일”개인정보 문 열어 놓은 꼴… 대통령실 “징벌적 손배 필요” 쿠팡에서 인증 관련 담당자로 일하던 중국인 개발자가 고객 3370만명의 개인정보를 유출한 사태와 관련해 쿠팡 측의 안일한 대응에 대한 비판이 커지고 있다. 정부는 외부 해킹이 아닌 쿠팡 측의 방치에 따라 이번 사건이 벌어졌다고 보고 관련 책임을 엄중히 묻겠다는 입장이다. 원활한 피해자 보상을 위해 징벌적 손해배상제 개선 카드도 꺼내 들었다. 경찰도 범행에 사용된 인터넷주소(IP)를 확보하는 등 수사에 속도를 내고 있다. 1일 정부 고위 관계자는 “쿠팡이 서버 관리를 굉장히 부실하게 한 것이라 책임을 피하기 어려울 것”이라고 말했다. 이 관계자는 “인증 관리 업무를 담당하던 중국인 개발자가 퇴사한 후에도 계속 서버 접근 권한을 말소하지 않아서 생긴 일”이라며 “본질적으로 해킹을 당한 롯데카드와는 아예 다른 사건”이라고 진단했다. 그는 또 “(인증키를) 말소시키지 않으니 시스템은 정상적 접근이라고 본 것”이라며 “혹시 다른 해킹이 있을지 한국인터넷진흥원(KISA)이 들여다보고 있는데 현재까진 나온 게 없다”고 전했다. 그러면서 “피해자 숫자와 범위 등이 더 늘어날 가능성은 충분해 보인다”고도 했다. 국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원실 등에 따르면 고객 정보를 빼돌린 직원은 퇴사 이후인 지난 6월 24일부터 개인정보에 접근한 것으로 추정된다. 이 직원은 개인정보 탈취 과정에서 시스템에 로그인 없이 접근할 수 있는 ‘인증 토큰’을 이용한 것으로 보인다. 이와 관련해 강훈식 대통령실 비서실장은 “징벌적 손해배상 제도가 사실상 작동하지 않고 있는 현실은 대규모 유출 사고를 막는 데 한계가 있다”며 “기업의 책임이 명백한 경우 제도가 실효성 있게 작동할 수 있도록 개선 방안을 검토하라”고 밝혔다. 아울러 강 실장은 과학기술정보통신부 등에 “근본적인 제도 보완, 현장 점검 체계 재정비, 기업 보안 역량 강화 지원책 등을 신속히 보고해 달라”고도 지시했다. 국회는 쿠팡 및 유관 기관 관계자들을 출석시켜 긴급 현안 질의를 진행한다. 2일에는 국회 과학기술정보방송통신위원회에서, 3일에는 정무위원회에서 각각 현안 질의를 한다. 경찰도 관련 수사를 진행 중이다. 서울경찰청 관계자는 이날 “쿠팡 측으로부터 서버 로그 기록을 제출받아서 분석 중”이라며 “정보 유출 등으로 협박하는 내용이 담긴 이메일 계정 2개를 추적하고 있다”고 밝혔다. 경찰은 피의자의 국적과 함께 정보 유출 당사자가 협박성 이메일을 보낸 사람과 동일인인지 등을 파악하고 있다. 경찰 관계자는 “피의자를 특정하기 위한 수사를 진행 중”이라며 “IP 추적을 위한 해외 공조도 벌이고 있다”고 설명했다. 쿠팡은 지난달 18일 개인정보보호위원회 등에 고객 4500여명의 개인정보가 유출됐다며 신고했고, 이후 같은 달 25일 정보통신망 침입 혐의로 고소장을 제출했다. 쿠팡 측은 협박 메일이 발송된 지 이틀이 지나서야 대응에 나섰다. 경찰은 지난달 28일 쿠팡 측 관계자를 불러 조사했다. 쿠팡이 회사 외형을 키우는 데 몰두한 나머지 정보보호에는 무감각했다는 비판이 거세지고 있다. 2023년부터 매년 10조원가량 매출이 뛰며 급성장해 오는 동안 정보보호 투자 비중은 반대로 감소해서다. 2010년 출범한 쿠팡이 로켓배송에 나선 것은 2014년이었다. 2012년 이후 규제에 묶인 대형마트의 빈자리를 채우기 시작하면서 급격히 몸집을 불렸다. 쿠팡은 2023년 매출 31조 8298억원을 기록하며 이마트(연결 기준 매출 29조 4722억원)를 처음 넘어섰다. 지난해 매출 41조 2901억원을 올렸고 올해에는 50조원 달성도 가능하다는 예측이 나왔다. 반면 최근 4년간 쿠팡의 정보기술(IT) 투자 대비 정보보호 투자 비중은 꾸준히 하락했다. KISA 공시에 따르면 쿠팡은 전체 IT 부문에 1조 9171억원을 투자했으며 이 가운데 정보보호 부문에 투입한 금액은 890억원으로 전체의 4.6%에 그쳤다. 전체 정보보호 투자 공시 기업 773곳의 평균(6.28%)보다 낮은 수준이다. 쿠팡의 지난해 매출 대비 정보보호 부문 투자액은 0.2%로 같은 기간 카카오·SK텔레콤(0.7%), 네이버·KT(0.4%)보다 저조했다. 숱한 논란에도 쿠팡의 사업이 순항한 건 정치권 및 정부 출신 인사를 대거 영입해 온 점과 무관하지 않다. 올해 쿠팡 또는 그 계열사로 이직하기 위해 취업 심사를 받은 4급 보좌관은 총 9명이었다. 정부 출신 중 4급 이상 등 취업 심사 대상 퇴직자 9명이 올해 쿠팡이나 그 계열사에 취직했다.

지난달 29일 발생한 쿠팡의 대규모 개인정보 유출 사태로 우려가 커지는 가운데, 쿠팡 내 IT 인력 상당수가 중국인이라는 주장이 나왔다. 지난달 30일 직장인 익명 커뮤니티인 ‘블라인드’에 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저는 90% 이상이 중국 국적자”라며 “조직(쿠팡)이 ‘중국인 카르텔’에 의해 장악되고 있다”고 주장하는 글이 올라왔다. 자신을 쿠팡 개발자라고 주장한 글쓴이는 “매 분기 퇴사 인사는 한국인들이고, 매 분기 신규 입사자들을 소개하면 80%가 중국, 나머지가 인도와 한국인들”이라며 “(중국인이) 차근차근 비율을 높이면서 카르텔을 형성하고 있으며 잠실, 용산 등 최고급 주거시설과 자녀 국제학교 학비 등 한국인이 누리지 못하는 복지로 혜택을 보고 있다”고 밝혔다. 이어 “개인적으로 이번 사태는 무분별하게 중국인들을 (IT 인력으로) 데려다 쓴 결과라 생각한다”고 덧붙였다. 해당 글은 삭제됐으나 이미 온라인 커뮤니티를 중심으로 캡처 사진이 돌면서 논란이 확산하고 있다. 이와 관련해 쿠팡은 1일 “수사 영역이고 수사에 적극 협조 중”이라면서 “(블라인드에 올라온 글은) 사실과 다르다”고 밝혔다. 쿠팡, 퇴사한 중국인 직원의 데이터 접근 열쇠 갱신 안 했다1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 현재 쿠팡은 전 중국인 직원을 정보 유출자로 추정하고 있다. 문제는 쿠팡이 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 데이터 접근 열쇠인 액세스 토큰과 서명키를 곧바로 삭제하거나 갱신하지 않았다는 사실이다. 액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 의미한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 쿠팡 측이 제공한 자료에 따르면 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 직원 퇴사 이후에도 폐기하거나 갱신하지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다. 쿠팡 측은 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다. 쿠팡, 5개월 간 유출 시도 몰랐다이번 사고로 유출된 쿠팡 고객 계정은 약 3370만 개에 달한다. 쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 밝혔다. 사실상 고객 정보 탈취가 5개월 전부터 시작됐지만 쿠팡이 이를 뒤늦게야 인지한 셈이다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러나 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 더불어 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘는 규모다. 현재 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.

쿠팡에서 국민 4명 중 3명에 해당하는 대규모 정보 유출 사고가 발생한 것을 두고 회사 외형을 키우는 데 몰두한 나머지 정보보호에는 무감각했다는 비판이 거세지고 있다. 2023년부터 매년 10조원가량 매출이 뛰며 급속 성장을 해오는 동안 정보보호 투자 비중은 반대로 감소한 것으로 나타났다. 2010년 파격적인 할인 가격에 상품을 파는 ‘소셜커머스’로 출발했던 쿠팡이 로켓배송에 나선 것은 2014년이었다. 2012년 전통시장 활성화와 소상공인 보호라는 목적으로 개정된 유통산업발전법이 시행된 후였다. 개정법에 따라 대형 마트는 월 2회의 의무휴업일을 두고 밤 12시부터 오전 10시까지 영업을 할 수 없게 됐다. 점포 영업뿐 아니라 점포를 활용해 물건을 배송하는 새벽 배송에도 대형 마트가 나서지 못했던 이유다. 대형 마트가 규제를 받는 사이 빈자리를 쿠팡이 채우기 시작하면서 급속한 성장을 이뤘다. 지난 10년간 6조 2000억원을 들여 전국에 100여개의 물류 인프라를 구축했다. 쿠팡은 2023년 매출 31조 8298억원을 기록하며 이마트(연결 기준 매출 29조 4722억원)를 처음 넘어섰다. 지난해엔 매출 41조 2901억원을 기록했고 올해는 50조원 달성도 가능하단 예측이 나왔다. 반면 최근 4년간 쿠팡의 정보기술(IT) 투자 대비 정보보호 투자 비중은 꾸준히 하락했다. 한국인터넷진흥원(KISA)의 올해 공시에 따르면 쿠팡은 전체 IT 부문에 1조 9171억원을 투자했으며, 이 가운데 정보보호 부문에 투입한 금액은 890억원으로 전체의 4.6%에 그쳤다. 전체 정보보호 투자 공시 기업 773곳의 평균(6.28%)보다 낮은 수준이다. 정보보호 투자 비중을 연도별로 보면 2022년 7.1%(535억원), 2023년 6.9%(639억원), 지난해 5.6%(660억원)로 해마다 감소했다. 절대 규모만 놓고 보면 삼성전자, KT에 이어 세 번째로 많은 수준이지만 전체 IT 투자 증가 속도를 따라가지 못해 비중이 떨어진 셈이다. 매출 대비로 정보보호 투자 비중은 더 낮다. 쿠팡의 지난해 매출 대비 정보보호 부문 투자액은 0.2%로 같은 기간 카카오·SK텔레콤(0.7%), 네이버· KT(0.4%)보다 저조했다. 이를 두고 업계에선 “보안 투자에 상대적으로 소홀했던 것 아니냐”는 지적이 제기된다. 시장 지배자로 성장한 쿠팡은 구설에도 많이 올랐다. 지난해 검색 순위와 상품 후기를 조작했단 혐의로 공정거래위원회로부터 유통업계 사상 최대인 1682억원의 과징금을 부과받았다. 올해 국회 국정감사에선 물류 자회사인 쿠팡풀필먼트서비스의 퇴직금 미지급 사건과 관련해 검찰 내에서 불기소 압력이 있었단 의혹이 제기됐다. 최근엔 쿠팡이츠의 불공정한 약관에 대해서 공정위가 시정 조치를 내리기도 했다. 숱한 논란에도 쿠팡의 사업이 순항한 건 정치권과 정부 출신 인사를 대거 영입해온 것과 무관하지 않다. 올해 쿠팡 또는 그 계열사로 이직하기 위해 취업 심사를 받은 4급 보좌관은 총 9명이었다. 정부 출신 중에서 4급 이상 등 취업 심사 대상 퇴직자 9명이 올해 쿠팡이나 그 계열사에 취직했다. 일각에서는 쿠팡이 대관과 로비에만 집중하고 정작 보안이나 내부 근로환경 개선에는 소극적이었다는 비판이 제기된다. 한편 국회는 쿠팡 및 유관 기관 관계자들을 출석시켜 긴급 현안 질의를 진행한다. 2일에는 국회 과학기술정보방송통신위원회에서, 3일에는 정무위원회에서 각각 현안 질의를 한다.

지난달 29일 발생한 쿠팡의 대규모 개인정보 유출 사태로 우려가 커지는 가운데, 쿠팡 내 IT 인력 상당수가 중국인이라는 주장이 나왔다. 지난달 30일 직장인 익명 커뮤니티인 ‘블라인드’에 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저는 90% 이상이 중국 국적자”라며 “조직(쿠팡)이 ‘중국인 카르텔’에 의해 장악되고 있다”고 주장하는 글이 올라왔다. 자신을 쿠팡 개발자라고 주장한 글쓴이는 “매 분기 퇴사 인사는 한국인들이고, 매 분기 신규 입사자들을 소개하면 80%가 중국, 나머지가 인도와 한국인들”이라며 “(중국인이) 차근차근 비율을 높이면서 카르텔을 형성하고 있으며 잠실, 용산 등 최고급 주거시설과 자녀 국제학교 학비 등 한국인이 누리지 못하는 복지로 혜택을 보고 있다”고 밝혔다. 이어 “개인적으로 이번 사태는 무분별하게 중국인들을 (IT 인력으로) 데려다 쓴 결과라 생각한다”고 덧붙였다. 해당 글은 삭제됐으나 이미 온라인 커뮤니티를 중심으로 캡처 사진이 돌면서 논란이 확산하고 있다. 이와 관련해 쿠팡은 1일 “수사 영역이고 수사에 적극 협조 중”이라면서 “(블라인드에 올라온 글 내용은) 사실이 아니다”라고 입장을 밝혔다. 쿠팡, 퇴사한 중국인 직원의 데이터 접근 열쇠 갱신 안 했다1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 현재 쿠팡은 전 중국인 직원을 정보 유출자로 추정하고 있다. 문제는 쿠팡이 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 데이터 접근 열쇠인 액세스 토큰과 서명키를 곧바로 삭제하거나 갱신하지 않았다는 사실이다. 액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 의미한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 쿠팡 측이 제공한 자료에 따르면 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 직원 퇴사 이후에도 폐기하거나 갱신하지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다. 쿠팡 측은 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다. 쿠팡, 5개월 간 유출 시도 몰랐다이번 사고로 유출된 쿠팡 고객 계정은 약 3370만 개에 달한다. 쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 밝혔다. 사실상 고객 정보 탈취가 5개월 전부터 시작됐지만 쿠팡이 이를 뒤늦게야 인지한 셈이다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러나 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 더불어 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘는 규모다. 현재 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.

지난달 29일 발생한 쿠팡의 대규모 개인정보 유출 사태로 우려가 커지는 가운데, 쿠팡 내 IT 인력 상당수가 중국인이라는 주장이 나왔다. 지난달 30일 직장인 익명 커뮤니티인 ‘블라인드’에 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저는 90% 이상이 중국 국적자”라며 “조직(쿠팡)이 ‘중국인 카르텔’에 의해 장악되고 있다”고 주장하는 글이 올라왔다. 자신을 쿠팡 개발자라고 주장한 글쓴이는 “매 분기 퇴사 인사는 한국인들이고, 매 분기 신규 입사자들을 소개하면 80%가 중국, 나머지가 인도와 한국인들”이라며 “(중국인이) 차근차근 비율을 높이면서 카르텔을 형성하고 있으며 잠실, 용산 등 최고급 주거시설과 자녀 국제학교 학비 등 한국인이 누리지 못하는 복지로 혜택을 보고 있다”고 밝혔다. 이어 “개인적으로 이번 사태는 무분별하게 중국인들을 (IT 인력으로) 데려다 쓴 결과라 생각한다”고 덧붙였다. 해당 글은 삭제됐으나 이미 온라인 커뮤니티를 중심으로 캡처 사진이 돌면서 논란이 확산하고 있다. 이와 관련해 쿠팡은 1일 “수사 영역이고 수사에 적극 협조 중”이라면서 “(블라인드에 올라온 글 내용은) 사실이 아니다”라고 입장을 밝혔다. 쿠팡, 퇴사한 중국인 직원의 데이터 접근 열쇠 갱신 안 했다1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 현재 쿠팡은 전 중국인 직원을 정보 유출자로 추정하고 있다. 문제는 쿠팡이 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 데이터 접근 열쇠인 액세스 토큰과 서명키를 곧바로 삭제하거나 갱신하지 않았다는 사실이다. 액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 의미한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 쿠팡 측이 제공한 자료에 따르면 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 직원 퇴사 이후에도 폐기하거나 갱신하지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다. 쿠팡 측은 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다. 쿠팡, 5개월 간 유출 시도 몰랐다이번 사고로 유출된 쿠팡 고객 계정은 약 3370만 개에 달한다. 쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 밝혔다. 사실상 고객 정보 탈취가 5개월 전부터 시작됐지만 쿠팡이 이를 뒤늦게야 인지한 셈이다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러나 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 더불어 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘는 규모다. 현재 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.

쿠팡의 대규모 개인정보 유출 사태가 확인되면서 소니나 야후 해킹에 버금가는 수준의 글로벌급 사고로 번질 수 있다는 우려가 커지고 있다. 단순한 이메일·비밀번호 유출을 넘어 집주소·배송기록·공동현관 비밀번호 등 생활형 정보까지 포함된 것으로 알려져 2차 피해 경고도 잇따르고 있다. 경찰, 피의자 IP 확보…협박 메일 2개 계정 추적 중 서울경찰청 사이버수사대는 1일 “쿠팡 측으로부터 서버 로그기록을 제출받아 분석 중이며 피의자가 사용한 IP를 확보해 추적 중”이라고 밝혔다. 경찰은 ‘회원들의 개인정보를 가지고 있다’며 협박성 이메일을 보낸 계정 2개에 대해서도 송신 경로를 추적하고 있다. 이메일은 지난달 16일과 25일 두 차례 발송됐고 동일인 소행인지 실제 유출자와 동일인인지 여부가 수사 중이다. 앞서 쿠팡에서 근무했던 중국 국적의 전직 직원이 고객 정보를 빼돌린 뒤 협박성 이메일을 보낸 정황이 포착됐다. 피의자가 이미 퇴사 후 출국한 상태로 확인되자 경찰은 국제 공조 수사에 나섰다. 30억 계정 털린 야후…역대 최대 유출 사건 2013~2014년 발생한 야후 해킹 사건은 역사상 최대 규모의 개인정보 유출로 기록됐다. 당시 약 30억 개 계정의 이름, 이메일 주소, 전화번호, 생년월일, 암호화된 비밀번호, 보안 질문·답변이 노출됐다. 이 사건은 2017년 야후의 매각 과정에도 직접적인 영향을 미쳐 인수 주체였던 버라이즌이 인수가를 3억 5000만 달러(약 4000억 원·모든 원화 환산은 사건 발생 당시 환율 기준) 낮췄다. 야후는 결국 피해자들과의 집단소송에서 총 1억 1750만 달러(약 1338억 원)의 합의금을 지급했다. 다만 전체 30억 계정이 아닌 실제 보상 대상은 약 1억 9400만 명 규모로 추정됐고 신청서를 제출한 이용자만 최대 358달러(약 40만 원) 한도 내에서 보상받았다. 소니 PSN 해킹…“기업 신뢰 무너진 상징적 사건” 2011년에는 일본 소니의 플레이스테이션 네트워크(PSN)가 해킹당해 7700만 명의 회원정보와 신용카드 정보가 유출됐다. 소니는 24일간 서비스를 중단하고 PSN 이용자 전원에게 무료 게임 2편과 30일 무료 이용권을 제공하는 등 사과·보상 조치를 취했다. 영국 당국은 정보보호법 위반으로 과징금을 부과했고 일본에서는 “기업 신뢰 붕괴”라는 여론이 확산되며 ‘소니 쇼크’라는 표현이 등장했다. 에퀴팩스·메리어트 등 글로벌 기업들도 잇단 유출 2017년 미국 신용평가사 에퀴팩스는 시스템 취약점을 방치한 채 수개월간 보안 경고를 무시하다가 1억 4700만 명의 신용정보가 유출됐다. 이 사건으로 경영진이 사퇴하고 미 의회 청문회가 열리는 등 파문이 컸다. 회사는 집단소송 합의로 총 7억 달러(약 8300억 원) 규모의 보상·과징금 패키지를 마련했으나 피해자 대부분은 애초 약속된 125달러 대신 10~20달러(약 1만~2만 원대)의 실보상만 받았다. 이듬해에는 세계 최대 호텔 체인 메리어트 인터내셔널의 예약망이 해킹돼 최대 5억 명의 투숙객 정보가 새나갔다. 영국 정보보호당국은 1840만 파운드(약 276억 원)의 과징금을 부과했고 미국·캐나다 등에서도 집단소송이 제기됐으며 피해 신고 고객을 대상으로 최대 100달러(약 12만 원) 수준의 보상이 제공됐다. 쿠팡, 외부 해킹 아닌 내부자 소행 정황쿠팡의 피해 규모(3370만 건)는 야후(30억)나 메리어트(5억)에 비하면 작지만 노출된 정보의 현실적 민감도는 훨씬 높다는 평가가 나온다. 특히 이름·주소·휴대전화번호뿐 아니라 공동현관 비밀번호, 배송 위치, 가족 구성 등 생활 공간과 연결된 정보가 포함돼 피해가 장기화될 가능성이 제기된다. 쿠팡은 “시스템 외부 침입 흔적은 없다”며 내부 비인가 조회로 인한 유출임을 시사했다. 보안 업계는 “이건 단순한 기술적 해킹이 아니라 내부 통제 실패”라며 기업의 데이터 접근 권한 관리가 허술했다는 점을 문제로 지적하고 있다. 집단소송, 실제 보상은 얼마나 받나 이번 사태를 계기로 해외 기업의 집단소송 보상 구조에도 관심이 쏠리고 있다. 미국 등에서는 대표 원고와 변호사단이 전체 피해자를 대신해 소송을 제기하며 개별 피해자는 변호사비를 직접 내지 않지만 전체 합의금의 20~40%가 수임료와 행정비용으로 공제된다. 결과적으로 1인당 보상액은 매우 낮아지는 구조다. 예를 들어 에퀴팩스 사건의 경우 총 7억 달러 중 약 25%가 변호사비로 빠졌고 피해자 대부분은 약속된 125달러 대신 10~20달러 수준만 받았다. 이처럼 집단소송은 금전적 보상보다 기업의 책임을 공식화하는 징벌적 절차라는 평가가 많다. 정부 조사 및 과징금 전망정부는 개인정보보호위원회와 과기정통부, 민간 보안 전문가들이 참여하는 민관합동조사단을 구성해 사고 원인을 조사 중이다. 개인정보보호법 개정으로 위반 시 전년도 매출의 최대 3%까지 과징금을 부과할 수 있어 쿠팡이 수천억 원대 제재를 받을 가능성도 제기된다. 앞서 2024년 SK텔레콤은 개인정보 유출로 역대 최대인 1347억 원의 과징금을 부과받았다. “사과보다 복구 중심 대응이 신뢰 회복의 출발점”쿠팡 사태는 한 기업의 보안 실패를 넘어 국민 대다수의 생활 정보가 얼마나 취약한지 드러낸 사건으로 평가된다. 데이터가 곧 신뢰가 되는 시대, 이번 사태가 ‘한국판 개인정보 위기’로 기록되지 않으려면 신속하고 투명한 대응이 필요하다.

쿠팡의 대규모 개인정보 유출 사태가 확인되면서 소니나 야후 해킹에 버금가는 수준의 글로벌급 사고로 번질 수 있다는 우려가 커지고 있다. 단순한 이메일·비밀번호 유출을 넘어 집주소·배송기록·공동현관 비밀번호 등 생활형 정보까지 포함된 것으로 알려져 2차 피해 경고도 잇따르고 있다. 경찰, 피의자 IP 확보…협박 메일 2개 계정 추적 중 서울경찰청 사이버수사대는 1일 “쿠팡 측으로부터 서버 로그기록을 제출받아 분석 중이며 피의자가 사용한 IP를 확보해 추적 중”이라고 밝혔다. 경찰은 ‘회원들의 개인정보를 가지고 있다’며 협박성 이메일을 보낸 계정 2개에 대해서도 송신 경로를 추적하고 있다. 이메일은 지난달 16일과 25일 두 차례 발송됐고 동일인 소행인지 실제 유출자와 동일인인지 여부가 수사 중이다. 앞서 쿠팡에서 근무했던 중국 국적의 전직 직원이 고객 정보를 빼돌린 뒤 협박성 이메일을 보낸 정황이 포착됐다. 피의자가 이미 퇴사 후 출국한 상태로 확인되자 경찰은 국제 공조 수사에 나섰다. 30억 계정 털린 야후…역대 최대 유출 사건 2013~2014년 발생한 야후 해킹 사건은 역사상 최대 규모의 개인정보 유출로 기록됐다. 당시 약 30억 개 계정의 이름, 이메일 주소, 전화번호, 생년월일, 암호화된 비밀번호, 보안 질문·답변이 노출됐다. 이 사건은 2017년 야후의 매각 과정에도 직접적인 영향을 미쳐 인수 주체였던 버라이즌이 인수가를 3억 5000만 달러(약 4000억 원·모든 원화 환산은 사건 발생 당시 환율 기준) 낮췄다. 야후는 결국 피해자들과의 집단소송에서 총 1억 1750만 달러(약 1338억 원)의 합의금을 지급했다. 다만 전체 30억 계정이 아닌 실제 보상 대상은 약 1억 9400만 명 규모로 추정됐고 신청서를 제출한 이용자만 최대 358달러(약 40만 원) 한도 내에서 보상받았다. 소니 PSN 해킹…“기업 신뢰 무너진 상징적 사건” 2011년에는 일본 소니의 플레이스테이션 네트워크(PSN)가 해킹당해 7700만 명의 회원정보와 신용카드 정보가 유출됐다. 소니는 24일간 서비스를 중단하고 PSN 이용자 전원에게 무료 게임 2편과 30일 무료 이용권을 제공하는 등 사과·보상 조치를 취했다. 영국 당국은 정보보호법 위반으로 과징금을 부과했고 일본에서는 “기업 신뢰 붕괴”라는 여론이 확산되며 ‘소니 쇼크’라는 표현이 등장했다. 에퀴팩스·메리어트 등 글로벌 기업들도 잇단 유출 2017년 미국 신용평가사 에퀴팩스는 시스템 취약점을 방치한 채 수개월간 보안 경고를 무시하다가 1억 4700만 명의 신용정보가 유출됐다. 이 사건으로 경영진이 사퇴하고 미 의회 청문회가 열리는 등 파문이 컸다. 회사는 집단소송 합의로 총 7억 달러(약 8300억 원) 규모의 보상·과징금 패키지를 마련했으나 피해자 대부분은 애초 약속된 125달러 대신 10~20달러(약 1만~2만 원대)의 실보상만 받았다. 이듬해에는 세계 최대 호텔 체인 메리어트 인터내셔널의 예약망이 해킹돼 최대 5억 명의 투숙객 정보가 새나갔다. 영국 정보보호당국은 1840만 파운드(약 276억 원)의 과징금을 부과했고 미국·캐나다 등에서도 집단소송이 제기됐으며 피해 신고 고객을 대상으로 최대 100달러(약 12만 원) 수준의 보상이 제공됐다. 쿠팡, 외부 해킹 아닌 내부자 소행 정황쿠팡의 피해 규모(3370만 건)는 야후(30억)나 메리어트(5억)에 비하면 작지만 노출된 정보의 현실적 민감도는 훨씬 높다는 평가가 나온다. 특히 이름·주소·휴대전화번호뿐 아니라 공동현관 비밀번호, 배송 위치, 가족 구성 등 생활 공간과 연결된 정보가 포함돼 피해가 장기화될 가능성이 제기된다. 쿠팡은 “시스템 외부 침입 흔적은 없다”며 내부 비인가 조회로 인한 유출임을 시사했다. 보안 업계는 “이건 단순한 기술적 해킹이 아니라 내부 통제 실패”라며 기업의 데이터 접근 권한 관리가 허술했다는 점을 문제로 지적하고 있다. 집단소송, 실제 보상은 얼마나 받나 이번 사태를 계기로 해외 기업의 집단소송 보상 구조에도 관심이 쏠리고 있다. 미국 등에서는 대표 원고와 변호사단이 전체 피해자를 대신해 소송을 제기하며 개별 피해자는 변호사비를 직접 내지 않지만 전체 합의금의 20~40%가 수임료와 행정비용으로 공제된다. 결과적으로 1인당 보상액은 매우 낮아지는 구조다. 예를 들어 에퀴팩스 사건의 경우 총 7억 달러 중 약 25%가 변호사비로 빠졌고 피해자 대부분은 약속된 125달러 대신 10~20달러 수준만 받았다. 이처럼 집단소송은 금전적 보상보다 기업의 책임을 공식화하는 징벌적 절차라는 평가가 많다. 정부 조사 및 과징금 전망정부는 개인정보보호위원회와 과기정통부, 민간 보안 전문가들이 참여하는 민관합동조사단을 구성해 사고 원인을 조사 중이다. 개인정보보호법 개정으로 위반 시 전년도 매출의 최대 3%까지 과징금을 부과할 수 있어 쿠팡이 수천억 원대 제재를 받을 가능성도 제기된다. 앞서 2024년 SK텔레콤은 개인정보 유출로 역대 최대인 1347억 원의 과징금을 부과받았다. “사과보다 복구 중심 대응이 신뢰 회복의 출발점”쿠팡 사태는 한 기업의 보안 실패를 넘어 국민 대다수의 생활 정보가 얼마나 취약한지 드러낸 사건으로 평가된다. 데이터가 곧 신뢰가 되는 시대, 이번 사태가 ‘한국판 개인정보 위기’로 기록되지 않으려면 신속하고 투명한 대응이 필요하다.

쿠팡이 퇴사한 직원에 의해 3370만명의 개인정보가 유출된 사건과 관련해 경찰이 피의자의 IP를 확보해 추적하고 있다고 1일 밝혔다. 서울경찰청 관계자는 이날 정례 간담회에서 “현재 쿠팡 측으로부터 서버 로그기록을 제출받아서 분석 중”이라며 “피의자가 범행에 사용한 IP를 확보해 추적 중”이라고 말했다. 경찰은 또한 “회원들의 개인정보를 가지고 있다”며 협박 이메일을 보낸 계정 2개도 추적하고 있다. 경찰에 따르면 지난달 16일 쿠팡 고객들에게, 이어 25일 쿠팡 고객센터 이메일 계정으로 협박 메일이 발송됐다. 경찰은 두 차례의 메일을 보낸 사람이 동일인인지, 또 쿠팡에서 개인정보를 유출해간 사람과 동일인인지를 파악 중이다. 피의자가 쿠팡에서 퇴사한 중국인으로 알려진 가운데 경찰은 “여러 가능성이 있어 제출된 자료를 바탕으로 분석하고 있다”고 설명했다. 쿠팡에서 근무했던 중국 국적 직원이 고객 정보를 유출했다는 의혹에 대해 서울청 관계자는 “여러 가능성이 있어 제출된 자료를 바탕으로 분석하고 있다”며 “(유력 용의자가 중국 국적일 가능성을) 포함해 수사 중이고 국적에 대해서는 말씀드리기 어렵다”라고 밝혔다. 이번에 개인정보가 유출된 3370만명은 사실상 쿠팡 전체 가입 계정 전체에 달하는 규모이며, 성인 4명 중 3명에 육박한다. 가입자의 이름과 전화번호, 주소 등 쉽게 바꿀 수 없는 인적 사항뿐 아니라 가입자들이 주문한 내역까지 유출된 탓에 피해 범위와 파장이 크다고 전문가들은 분석한다. 가입자들의 집 현관 앞까지 도달하는 택배 배송과 관련된 정보는 물론 가입자의 가족 구성원 및 생활 패턴을 들여다볼 수 있는 내밀한 정보까지 뚫린 셈이다. 가입자들은 쿠팡 탈퇴는 물론 아파트 공동현관에서 사용해왔던 출입 비밀번호를 바꾸는 등 대응에 나서고 있지만 이미 속수무책이라는 지적이 나온다. 7년 넘게 쿠팡을 이용해왔던 김모(39)씨는 “사실상 속옷 사이즈 관련 정보까지 넘어간 셈”이라며 “인제 와서 쿠팡을 탈퇴해봤자 늦은 것 같다. 내 개인정보는 해외에서 공공재처럼 떠돌아다닐 것”이라고 토로했다. 업계에서는 쿠팡이 수천억원대의 과징금 철퇴를 맞을 수 있다는 관측이 나온다. 2023년 개정된 개인정보보호법에 따르면 법 위반 시 전년도 전체 매출액의 최대 3%까지 과징금을 부과할 수 있다. 지난해 발생한 SK텔레콤의 개인정보 유출 사고와 관련해 SK텔레콤은 역대 최대 규모인 1347억 9000만원의 과징금을 부과받았다.

나경원 국민의힘 의원이 국내 전자상거래 1위 업체인 쿠팡에서 3000만건이 넘는 대규모 개인정보 유출 사고가 발생한 것과 관련, “이재명 대통령은 지금 즉시 중국 정부에 (유출 용의자) 체포와 국내 송환을 공식 요구해야 한다”고 주장했다. 나 의원은 지난 30일 자신의 페이스북에 올린 글에서 “쿠팡 고객 3370만명의 개인정보 유출 용의자인 중국인 쿠팡 전 직원이 중국으로 달아났다고 한다”며 이같이 말했다. 그는 “이름, 전화번호, 주소, 이메일, 일부 주문 내역까지 포함한 3370만 개인정보가 유출됐다. 싸이월드·SK텔레콤 사태를 뛰어넘는 역대급 개인정보 참사”라고 언급한 뒤 “중국의 수사력과 통제력을 감안하면 의지만 있으면 주요 용의자의 소재 파악과 신병 확보는 하루면 가능하다”고 했다. 나 의원은 이어 “이 대통령이 이 정도 사건에도 중국 정부에 정식 수사·체포·송환을 분명하게 요구하지 못한다면, 이 정권은 국민 기본권보다 중국 눈치를 먼저 보는 ‘친중 쎄쎄 정권’이라는 것을 자인하는 것”이라고 강조했다. 그는 아울러 “또한 정부는 국민의 2차 피해 방지 종합 대책도 즉시 마련해야 한다”며 “피해 규모 축소·은폐 의혹까지 자초한 쿠팡에도 이에 상응하는 책임을 반드시 물어야 한다”고 덧붙였다. 한편 쿠팡 고객 개인정보 유출 사고를 수사하는 경찰은 일각에서 쿠팡에서 근무했던 중국 국적 직원이 고객 정보를 유출했다는 의혹과 관련 신중한 입장인 것으로 전해졌다. 경찰은 지난달 21일 이 사건에 대해 입건 전 조사(내사)에 착수했으며, 25일 정보통신망법상 정보통신망 침입 혐의로 ‘성명불상자’를 수사해달라는 쿠팡의 고소장을 접수해 수사로 전환했다. 28일엔 쿠팡 측 고소인 조사를 마쳤다. 유재성 경찰청장 직무대행은 이날(30일) 정부서울청사에서 열린 관계 부처 긴급 대책회의에서 “다수의 국민이 피해를 입은 사안인 만큼 철저한 수사를 통해 진상을 규명하고 피의자를 신속히 검거하겠다”고 약속했다. 박대준 쿠팡 대표는 이날 관계부처 긴급 대책회의 출석 전 기자들과 만나 “이번 사태로 인해 피해를 보신 쿠팡 고객들과 국민들께 심려를 끼쳐드려 너무 죄송한 말씀과 사과의 말씀을 드린다”며 고개를 숙였다. 박 대표는 일각에서 제기된 ‘중국 국적 직원의 개인정보 유출’ 의혹과 관련해서는 “수사 영역이고 수사에 적극 협조 중”이라며 “그 얘기를 하는 것 자체가 수사에 영향을 주는 만큼 말씀드리기 어렵다”고 말을 아꼈다.

中업체, 고객 타기팅 정교화 우려SKT 사태보다 심각한 피해 예상배송지는 계정보다 더 많이 유출주소 이용 실제 범죄도 대응해야 쿠팡에서 국내 인구 4분의3에 이르는 약 3370만개의 고객 계정 정보가 유출되는 사고가 발생한 가운데 앞선 SK텔레콤 유심(USIM·가입자 식별 모듈) 정보 노출과 KT의 무단 소액결제 및 해킹 사태 때보다 피해가 훨씬 심각할 수 있다는 우려가 나왔다. 염흥열 순천향대 정보보호학과 명예교수는 30일 서울신문과의 통화에서 “통신 3사는 시장을 나눠 갖기에 한 기업에서 고객 정보 유출 사고가 발생해도 전체 국민이 피해를 보는 건 아니지만 쿠팡은 국민 대다수가 이용하고 있는 만큼 정보 유출 사고로서는 역대급일 것”이라고 설명했다. 염 교수는 특히 2차, 3차 피해 가능성이 통신사의 개인정보 유출 사고보다 심각하다고 설명했다. SK텔레콤의 해킹 사건은 탈취된 유심 정보가 복제폰을 만드는 데 악용될 수 있어 유심을 교체하는 조치가 필요했다면, 쿠팡에서 유출된 정보의 경우 온라인 범죄는 물론 실제 범죄에 쓰일 가능성에도 대비해야 한다는 것이다. 염 교수는 “전화번호와 주소가 같은 데이터베이스 안에 매핑돼 있어 전화번호만 알면 주소를 알 수 있다. 주소에 접근해 물리적 범행을 할 가능성도 존재하기에 추가 범행을 막을 조치가 필요하다”고 말했다. 김명주 서울여대 지능정보보호학부 교수는 “국내 소비자가 알리바바나 테무 등 중국 이커머스를 사용하지 않고 쿠팡을 택한 가장 큰 이유는 중국에 개인정보가 유출되는 걸 우려하기 때문인데, 이번 사태로 어떤 제품을 샀는지 기질·성향을 나타내는 개인 식별 정보가 넘어가게 될 경우 중국 이커머스가 고객 타기팅을 더 정교화하는 데 쓰일 수 있다”고 지적했다. 이 경우 쿠팡뿐 아니라 국내 이커머스 산업 전체가 타격을 받을 수도 있다. 김 교수는 “다크웹을 이용해 다른 사이트에서 유출된 정보와 결합하면 새로운 범죄 가능성이 커진다”며 “이 경우 2차 피해가 즉각 일어나지 않고 소비자 경계가 느슨해진 뒤에 발생하기 때문에 쿠팡 때문인지 알 수 없게 되는 등 원인과 규모를 특정하기도 어려워 소비자 피해는 더 커질 수 있다”고 경고했다. 특히 배송지 정보는 유출된 고객 계정 수인 3370만개보다 더 많이 유출됐을 가능성도 제기된다. 쿠팡에서는 주문을 하고 본인이 수령하는 경우뿐 아니라 지인·가족에게 보내기 위해 1인당 2~3개 이상의 배송지 정보를 입력했을 가능성이 높기 때문이다. 정보가 유출되고도 통지를 받지 못한 사람이 상당할 것이라는 전망도 나온다.