쿠팡 고객 3370만명의 개인정보 유출은 몸집만 키우고 보안은 뒷전인 기업, 법 개정 등 제도 개선에 손 놓고 있었던 국회와 정부가 만들어낸 예견된 사태라는 목소리가 커지고 있다. 지난 4월 SK텔레콤(SKT) 유심(USIM·가입자 식별 모듈) 정보 유출 사태 이후 7개월이 넘도록 개인정보보호법 개정안은 단 한 건도 국회 문턱을 넘지 못했다. 소비자 불만이 폭발할 때 일시적으로 법안 발의가 이뤄지고, 정작 실질적인 법 개정으로 이어지지 않은 셈이다. 그 결과 개인정보 유출 이후 기업의 신속한 대응, 강제성 있는 조사, 처벌 강화 등은 여전히 기대하기 어려운 상황이다. 2일 서울신문 취재를 종합하면, SKT 해킹 사태가 발생한 4월부터 이날까지 7개월 동안 발의된 개인정보보호법 개정안은 모두 22건이지만, 모두 소관위원회인 정무위원회 심사 단계 문턱도 넘지 못했다. 발의된 의안 중 유출된 개인정보가 누구 것인지 특정할 수 없을 때 모든 정보주체에게 신속하게 법정 통지사항을 알리는 내용이 8건에 달한다. 하지만 법안 통과가 늦어지면서 이번 쿠팡 사태에서도 뒤늦게 안내를 받는 사례가 속출하고 있다. 곽진 아주대 사이버보안학과 교수는 “소비자가 스미싱 등 2차 범죄에 대응하려면 정보유출 여부를 사전에 아는 것이 매우 중요하다”고 말했다. 민관합동조사단의 조사도 사실상 강제력이 없다는 지적이 이어졌으나 이 부분 역시 개선되지 않고 있다. 국회입법조사처는 지난 5월 ‘통신사 해킹 사고 사후대응의 문제점과 입법과제’를 통해 “사업자가 자료 제출을 거부해도 제재는 1000만원 이하 과태료 부과에 그친다. 이를 상향하거나 이행강제금을 부과해 조사 강제력을 강화해야 한다”고 지적했다. 개인정보 유출 관련 제도 개선이 이뤄지지 않는 건 ‘보안=비용’으로 보는 인식이 커서다. 한국인터넷기업협회도 관련 법 개정에 대해 국회 정무위원회에 “신중한 검토가 필요하다”는 의견을 제출했다. 김명주 서울여대 지능정보보호학부 교수는 “기업 입장에서는 개인정보 보호 관련 규제가 ‘비용’이기 때문에 의견 협의가 이뤄지지 않고 있다”고 말했다. 황석진 동국대 국제정보보호대학원 교수는 “여야는 관련 법안을 민생 법안으로 보고 서둘러 제정해야 한다”고 건의했다. 박대준 쿠팡 대표는 이날 국회 과학기술정보방송통신위원회 긴급 현안질의에서 ‘김범석 쿠팡 의장이 사과할 의향은 없느냐’는 이훈기 더불어민주당 의원의 질의에 “제가 현재 이 사건에 대해 전체 책임을 지고 있다. 한국 법인 대표로서 사태를 해결하겠다”고 말했다. 한편 민관합동조사단을 꾸리고 쿠팡의 개인정보 유출 사고 조사에 나선 과학기술정보통신부는 현안질의에서 “식별된 공격 기간은 지난 6월 24일부터 11월 8일까지”라고 공식 발표했다. 총 138일 간이다. 류제명 과기정통부 2차관은 “3000만개 이상 계정의 개인 정보가 유출됐다”며 “KT 무단 소액결제 사고처럼 ‘관리 부실’이 이번 쿠팡 개인정보 유출 사고의 배경”이라고 밝혔다. 아울러 금융감독원은 쿠팡의 결제 자회사 쿠팡페이에 대해 일주일간 현장조사에 착수했다.

쿠팡의 퇴사한 중국인 직원이 회원 3370만명의 개인정보를 유출한 사고와 관련, 박대준 쿠팡 대표가 유출된 정보 중에 휴면 상태이거나 탈퇴한 회원의 정보도 포함됐을 수 있다고 2일 밝혔다. 박 대표는 이날 국회 과학기술정보방송통신위원회의 현안질의에서 휴면 및 탈퇴 회원의 정보가 유출됐을 가능성을 묻는 질문에 “일부 포함됐을 것이라고 생각한다”면서 이같이 말했다. 박 대표는 휴면 및 탈퇴 여부와 관련 없이 피해를 본 모든 회원들에게 개인정보 유출 사실을 안내했다고 설명했다. 다만 정보가 유출된 휴면 또는 탈퇴 회원이 몇 명인지를 묻는 질문에는 “정확히 세는 건 어렵다”고 답했다. 쿠팡에 따르면 이번 사고로 유출된 개인정보는 이용자들의 이름과 전화번호, 주소록에 입력한 배송지 주소, 주문 정보다. 비밀번호와 결제 카드 등 결제에 필요한 정보는 유출되지 않았다고 쿠팡은 설명했지만, 박 대표는 이용자들이 배송 주소록에 입력하는 공동현관 비밀번호도 일부 유출됐을 가능성이 있다고 시인했다. 이번 사태의 피해 규모는 지난해 SK텔레콤에서 발생한 해킹 사태(2300만명 피해)를 뛰어넘는다. SK텔레콤은 당시로는 역대 최대 규모인 1347억 9000만원의 과징금을 부과받았는데, 정치권에서는 쿠팡에 대해 1조원대의 과징금을 부과해야 한다는 주장이 나오고 있다. 황정아 더불어민주당 의원은 “(개인정보보호법에 따르면) 매출액의 3%, 1조 3000억원의 과징금을 물 수 있다고 한다”며 “개인정보보호위원회에서 과징금을 부과하면 소송전 없이 수용할 생각인가?”라고 물었다. 이에 박 대표는 “책임을 회피하고 싶은 생각이 없다”며 “책임이 있는 부분이 있다면 당연히 책임져야 된다고 생각한다”고 답했다.

12월 1일부터 모집…착수금 1인당 만 원 최근 쿠팡에서 3,370만 건에 달하는 고객 개인정보가 무단 유출된 사실이 드러난 가운데, 법률사무소 화음(대표변호사 정재권)이 쿠팡 개인정보유출 피해자 집단소송 접수를 시작했다고 밝혔다. 법률사무소 화음은 지난 12월 1일부터 쿠팡 개인정보 유출 사태와 관련해 쿠팡 측에 집단소송을 제기하기 위한 참여자를 모집하고 있다. 법률사무소 화음 정재권 변호사는 “이번 개인정보유출 사건은 외부의 해킹이 아닌 ‘내부 직원’에 의한 유출이므로 쿠팡의 책임이 보다 막중하다”라며 “유출된 정보에는 이름, 휴대전화 번호와 이메일 주소가 포함되어 있어 다른 웹사이트에 대입하는 크리덴셜 스터핑 공격 시도의 가능성이 있으며, 2차 추가 피해의 우려가 있다. 배송 지연을 사칭한 스미싱, 가족과 지인의 정보까지 유추되어 활용되는 등 사생활 침해 위험도 매우 높아 보인다”라고 전했다. 이어 “개인정보보호법에 따르면 정보주체는 법 위반 행위로 손해를 입으면 개인정보처리자에게 배상을 청구할 수 있고, 이 경우 사업자가 고의·과실이 없음을 입증하지 못하면 책임을 면할 수 없다. 과거 카드사 정보 유출, 인터파크 해킹 사건 등에서 법원은 기업의 과실이 인정될 경우 피해자 1인당 10~20만 원 내외의 위자료를 인정한 바 있다. 이번 사건은 주소지(거주지) 정보가 포함돼 스토킹, 보이스피싱 등 오프라인 범죄 악용 가능성이 크므로 더 높은 위자료가 인정될 여지가 있다. 집단 소송을 통해 효율적인 권리 구제와 유사 사태 재발 방지가 최선의 선택이 될 수 있다”라고 전했다. 실제로 해당 사건은 온라인에서도 움직임이 확산되고 있다. 개인정보 유출 사실이 공개된 지 이틀 만에 네이버에는 쿠팡 집단소송 관련 카페가 10여 곳 개설됐으며, 현재도 가입자 수가 빠르게 늘고 있다. 이번에 유출된 계정 정보가 3,370만 개에 달하는 만큼 개인정보 유출 관련 국내 단체 소송 가운데 최대 규모가 될 수 있다는 전망이 나온다. 앞서 법률사무소 화음은 SKT 유심정보 유출 피해자 단체소송을 3차까지 진행한 바 있다. 특히 화음 정재권 대표변호사는 과학기술정보통신부 고문변호사로 고도의 경험과 전문성을 바탕으로 소송을 진행해 나간다. 현재 법률사무소 화음에서 진행하는 쿠팡 개인정보유출 집단소송은 착수금 1만 원으로 참여할 수 있으며, 홈페이지 내 신청서 작성 등의 방법으로 신청자를 모집하고 있다. 배상금은 최소 10만 원에서 최대 30만 원 정도로 예상하고 있으며, 진행 과정에서 구체적 사실관계의 확정 및 증거 현출에 따라 청구금액을 확장하는 방식으로 진행할 예정이다. 정 변호사는 “과학기술정보통신부 고문 변호사로서의 경험을 통해 축적된 정보통신 관련 법률 및 정책에 대한 높은 이해도는 이번 소송을 성공적으로 이끄는 데 큰 강점이 될 것”이라며 “더 이상 혼자 고민하지 마시고, 저희와 함께 목소리를 내주시길 바란다”라고 밝혔다. 한편, 법률사무소 화음은 과학기술정보통신부(과기부) 고문 변호사로 위촉된 정재권 대표변호사를 포함해 IT 분야의 전문성을 지닌 변호사들로 구성된 로펌이다.

쿠팡의 퇴사한 직원이 이용자 3370만명의 개인정보를 유출한 사태와 관련, 유출된 개인정보에 이용자들의 공동현관 비밀번호도 일부 포함된 것으로 확인됐다. 2일 국회 과학기술정보방송통신위원회의 쿠팡 개인정보 유출사고 관련 긴급 현안질의에서 박대준 쿠팡 대표는 “공동현관 비밀번호도 유출됐느냐”는 질의에 “일부 포함된 것으로 알고 있다”고 답했다. 노종면 더불어민주당 의원이 “그런데 왜 통지문(안내 문자)에 그 내용이 없느냐”고 물었고, 박 대표는 “(개별 이용자들의 정보에) 모두 항상 들어있는 것은 아니다”라고 답했다. 이에 노 의원은 “공동현관 비밀번호가 (유출 범위에) 포함된 경우 그 내용이 안내 문자에 들어가야 이용자들이 대응을 할 수 있지 않느냐”고 따졌고, 박 대표는 “세심하게 신경쓰겠다”라며 고개를 숙였다. 앞서 쿠팡은 지난달 30일부터 개인정보 유출 피해를 본 이용자들에게 안내 문자를 보내 “노출된 정보는 고객님 이름, 이메일 주소, 배송지 주소록, 주문정보 일부”라고 설명했다. 그러나 아파트 등 공동주택에 거주하는 이용자들은 공동현관 비밀번호를 주소록에 입력해놓고 있어 ‘현관 앞’에 도달하는 정보까지 유출됐을 가능성이 제기돼왔다. 공동현관 비밀번호와 세대 현관 비밀번호를 동일하게 설정하는 경우도 적지 않아 이용자들은 불안에 떨고 있다. 박 대표는 개인정보 유출 용의자로 지목된 전직 중국 직원과 관련해 “인증 시스템을 개발하는 개발자였다”라고 밝혔다. 박 대표는 “여러 인원으로 구성된 개발팀이 여러 역할을 갖고 팀을 구성한다”면서 피의자의 규모에 대해 “단수나 복수라 단정할 수 없다”고 덧붙였다. 또 피의자는 훔친 서명키를 이용해 인증 토큰을 생성해 개인정보를 빼낸 것으로 드러났다. 브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 “피의자는 훔친 서명키를 사용해 실제로 키에 서명을 해 다른 사용자인 것처럼 가장했다”라고 설명했다.

박대준 쿠팡 대표가 대규모 고객정보 유출 사건의 용의자로 지목된 전직 중국 국적 직원에 대해 “인증업무를 한 직원이 아니라 인증 시스템을 개발하는 개발자였다”고 밝혔다. 박 대표는 2일 국회 과학기술정보방송통신위원회 현안 질의에서 국민의힘 신성범 의원의 질의에 “혼자 일하는 개발자는 없다”며 “여러 인원이 역할을 나눠 팀 단위로 일한다”고 말했다. 피의자 규모와 관련해서는 “단수·복수라고 단정할 수 없다”며 “현재 수사 중이라 구체적으로 말하기 어렵다”고 답했다. ‘유출과 노출 중 어느 것이 맞느냐’는 질문에는 “유출이 맞다”고 밝혔다. 유출 여부를 놓고 논란이 이어졌던 사안에 대해 회사 대표가 국회에서 공식적으로 인정한 발언이다. 쿠팡은 전자서명키 악용 정황이 확인되면서 고객정보 대규모 유출 의혹이 불거졌고, 해당 직원의 중국 국적 여부와 역할을 둘러싸고 정치권과 업계의 관심이 집중돼 왔다.

이재명 대통령은 2일 쿠팡에서 개인정보가 대거 유출된 사태와 관련해 “관계부처는 해외 사례들을 참고해 과징금을 강화하고 징벌적 손해배상제도도 현실화하는 등 실질적인 또 실효적인 대책에 나서주시길 바란다”고 밝혔다. 이 대통령은 이날 국무회의를 주재하고 모두발언에서 “쿠팡 때문에 우리 국민들 걱정이 많다”며 이처럼 지시했다. 이 대통령은 “피해 규모가 약 3400만건으로 방대하지만 처음 사건이 발생하고 5개월 동안 회사가 유출 자체를 파악하지 못했다는 게 참으로 놀랍다”며 “이 정도인가 싶다”라고 비판했다. 이어 “사고 원인을 조속하게 규명하고 엄중하게 책임을 물어야되겠다”며 “유출 정보를 악용한 2차 피해를 막는 데도 가용 수단을 총동원해 주시길 바란다”고 했다. 또 “인공지능과 디지털 시대의 핵심 자산인 개인정보보호를 소홀하게 여기는 이 잘못된 관행 그리고 인식 역시 이번 기회에 완전히 바꿔야 한다”고 덧붙였다. 이 대통령은 또 12·3 비상계엄 사태 1년을 앞두고 내란 척결 의지를 다시 한번 강조했다. 이 대통령은 “곳곳에 숨겨진 내란의 어둠을 온전히 밝혀내서 진정으로 정의로운 국민 통합의 문을 활짝 열어야 한다”고 지적했다. 이어 “국민이 꿈꾼 다시 만날 새로운 세계를 향한 발걸음에 박차를 가해야되겠다”며 “국민의 삶을 개선하고 대한민국 대도약의 길을 우리 위대한 대한 국민들과 함께 열어나가겠다”고 했다. 이 대통령은 비상계엄 저지와 헌정질서 수호에 함께한 국민들에게 표창 등 의미 있는 증서를 수여하겠다는 뜻을 밝혔다. 이와 관련해 이 대통령은 3일 오후 7시 시민단체가 주최하는 ‘12·3 내란외환 청산과 종식, 사회 대개혁 시민 대행진’ 행사에 참석할 예정이다. 현직 대통령이 장외 집회에 참석하는 건 극히 이례적인 일이다. 이 대통령은 임금체불 문제도 지적했다. 이 대통령은 “올해 상반기 기준 피해액만도 역대 최대인 1조 1000억원을 넘고 있다”며 “일하고 월급을 또는 보수를 못 받으니 얼마나 참담하겠다”라고 안타까워했다. 이어 “어제부터 임금체불 신고 사건 전수조사가 진행 중인데 철저한 현장 점검과 상습 체불에 대한 처벌을 강화하는 방안을 함께 추진해주시길 바란다”고 당부했다.

쿠팡에서 3000만명이 넘는 고객의 정보가 유출된 사실이 드러난 가운데, 식별된 공격 기간은 올해 6월 24일부터 11월 8일까지인 것으로 나타났다. 2일 국회 과학기술정보방송통신위원회(과방위) 쿠팡 개인정보 유출 사고 관련 긴급 현안 질의에서 류제명 과학기술정보통신부 2차관은 대응 경과보고를 통해 “지난해 7월부터 올해 11월까지 전수 로그 분석을 한 결과 3000만개 이상 계정에서 개인정보가 유출됐다”며 이같이 밝혔다. 류 차관은 “공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했다”며 “이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 사용됐다”고 설명했다. 개인정보 유출 규모는 약 3370만건이다. 정보에는 고객 이름, 이메일 주소, 배송지 주소록(이름·전화번호·주소) 등이 포함됐다. 류 차관은 조사 과정에서 실제 피해 계정 수는 달라질 수 있다고 전했다. 현재는 퇴사한 중국인 인증 담당자가 개인정보를 유출했다는 의혹에 대해 류 차관은 “현재 언급되는 공격자의 신상에 대한 정보는 경찰 수사로 확인이 필요하다”며 “확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3000만건의 개인정보 유출을 주장했다”고 했다. 정부는 앞으로 민관 합동조사단을 통해 사고 경위와 쿠팡의 보안 문제점을 면밀히 규명하고 결과를 투명하게 공개하겠다는 방침이다. 류 차관은 스미싱 등 2차 피해 우려가 커진 만큼 “2차 피해 발생 여부를 지속 모니터링하고, 개인정보위·경찰청 등 관계기관과 공조해 추가 피해를 방지하겠다”고 밝혔다.

쿠팡에서 3370만건의 개인정보가 한꺼번에 빠져나간 데 이어 유출 정보를 ‘언론에 공개하겠다’는 협박 이메일까지 등장했다. 단순한 사고를 넘어 국가적 사이버 보안 사태가 이미 2차 범죄 단계에 진입했다는 의미다. 어제 금융당국이 보이스피싱·스미싱 등 각종 금융사기에 악용될 우려가 높다는 이유로 소비자경보 ‘주의’를 발령했다. 가입자 규모에 비춰 상당수 국민들이 잠재적 피해자가 될 수 있다는 우려도 높아지는 상황이다. 불안에 떨고 있는 국민에게 당장 필요한 것은 2차 피해 차단을 위한 실행 계획이다. 정부는 유출 정보가 암거래 게시판이나 해킹 커뮤니티 등으로 흘러가는지 24시간 추적하고, 거래나 공유 시도가 포착되는 즉시 삭제 요청과 차단 조치를 해야 한다. 금융기관·포털·통신·택배사와 연동한 피싱 자동 감지 체계도 적극 검토해야 한다. 쿠팡 역시 이용자의 불안을 낮추는 실질적 조치에 나서야 한다. 피해 계정 비밀번호·OTP(일회용 인증 비밀번호) 일괄 초기화, 배송지 주소록 암호화 및 재동의 절차, 로그인 위치·기기 이상 탐지 시스템 구축은 지금도 실행할 수 있다. 안내 문자 발송만으로는 책임을 면할 수 없다. 개인정보 자산을 잠재적 범죄 도구로 전락시킨 책임은 전적으로 기업이 감당해야 한다. 우리는 이미 생활·결제·택배·병원·쇼핑의 70% 이상을 플랫폼을 통해 처리한다. 내부 직원 단 한 명이 두 차례 보안 절차를 우회해 정보를 반출할 수 있었으니 우리 데이터가 얼마나 쉽게 위험에 노출되는지 적나라하게 확인한 셈이다. 이번 사태는 쿠팡뿐만이 아니라 한국 디지털 경제 전체에 울린 경고음이다. 정부는 개인정보를 다루는 기업의 내부 반출 차단 시스템(DLP) 도입 의무화 등 제도적 개선에 나서야 한다. 이번 사태를 전환점으로 디지털 보안 체계를 한 단계 끌어올리지 못한다면 제2·제3의 쿠팡 사태는 언제든 반복될 수 있다.

징계 회피 막으려 5개 기관 확인이직에 시간 걸리고 인선도 지연3급 임기제 채용 땐 3주 기다려야지방자치단체가 공무원을 임용하거나 면직할 경우 중앙부처와 협의·비위 사실조회 절차를 간소화하고 기간도 단축해야 한다는 목소리가 높다. 모든 업무가 전산화된 디지털 시대에 행정안전부·감사원·수사기관 등과 협의·조회 기간이 필요 이상으로 길어 업무 공백 등 지역 행정이 차질을 빚기 때문이다. 1일 서울신문 취재를 종합하면 연말·연시를 앞두고 명예퇴직을 신청하는 지자체 공무원은 지방공무원법에 따라 예외 없이 비위 사실조회 절차를 거쳐야 한다. 비위 연루 공무원이 징계 회피 수법으로 의원면직을 악용할 수 없도록 만든 제도다. 그러나 사실조회 기간이 최소 10~14일이 걸려 해당 공무원의 불만이 많다. 공직을 사퇴하고 다른 직장으로 옮기거나 자영업을 준비하는 경우 조회 기간이 길어 어려움을 겪는 경우가 적지 않다는 것이다. 지자체 인사행정도 지연되기는 마찬가지다. 사실조회 기간이 긴 이유는 검찰·경찰·감사원·행안부에 소속 지자체까지 5개 기관으로부터 퇴직해도 문제가 없다는 사실을 각각 확인받아야 하기 때문이다. 특히, 개인정보 유출 방지를 이유로 공문을 통해 관련 내용을 주고받아야 하는 것도 기간이 길어지는 주요인이다. 지자체의 한 관계자는 “공무원의 징계·감사·수사 내용은 행정정보 공공이용 시스템 등 전산상으로 빠르게 확인이 가능한데 업무 처리가 장기간 지연되는 이유를 모르겠다”고 꼬집었다. 지자체가 3급 이상 전문임기제를 채용하는 경우에도 행안부와 협의 기간이 최소 2~3주나 소요된다. 무분별한 임기제 공무원 확대를 막기 위한 절차이긴 하지만 이미 협의가 끝난 보직의 후임자를 결정할 때마다 다시 협의를 거치도록 한 것은 지자체의 인사 자율성을 필요 이상으로 제한한다는 지적이다. 전북도의 경우 3급 전문임기제 임용을 위해 지난달 중순 행안부에 협의를 요청했으나 절차를 밟느라 임용이 늦어지고 있다. 지난달 명퇴 신청을 한 전북도청 공무원들도 비위 사실조회가 진행 중이어서 퇴직 시기를 특정하기 어렵다. 전북도 관계자는 “비위 사실조회는 보안을 유지하면서 신속 처리할 수 있는 시스템이 있는 만큼 기간을 대폭 단축해야 한다”면서 “3급 이상 전문임기제 임용 관련 행안부 협의 규정 역시 개선이 시급하다”고 말했다.

尹, 2월 내란 혐의 1심 선고 가능성이적죄·직권남용 등 4개 재판 받아 12·3 비상계엄 사태 발생 1년을 앞두고 관련 재판도 마무리 국면으로 접어들고 있다. 검찰 특별수사본부와 군검찰 기소 사건에 더해 지난 6월 현판을 내건 내란 특별검사팀의 수사가 이어지면서 윤석열 전 대통령을 포함해 관련자 24명에 대한 재판이 진행되고 있다. 내란 특검이 오는 14일 수사 기간 종료를 앞두고 있어 비상계엄과 관련해 재판받게 되는 피고인의 수는 더욱 늘어날 것으로 보인다. 1일 법조계에 따르면 우선 내년 1월 21일로 예정된 한덕수 전 국무총리의 내란 우두머리 방조·내란 중요임무 종사 등 혐의 1심 선고 결과가 향후 다른 내란 재판의 가늠자가 될 전망이다. 윤 전 대통령을 비롯한 내란 주요 인물들의 재판이 각기 다른 재판부에서 심리 중이지만, 사실관계가 대부분 겹치는 만큼 한 전 총리가 유죄판결을 받을 경우 다른 사건도 정반대의 결론이 나오기는 쉽지 않을 것이라는 관측에서다. 지난 8월 29일 내란 특검에 의해 기소된 한 전 총리는 5개월여 만에 내란 관련 사건 중에서는 처음으로 1심 결과를 받아들게 됐다. 서울중앙지법 형사합의33부(부장 이진관) 심리로 지난달 26일 열린 결심공판에서 특검은 한 전 총리에게 징역 15년을 구형했다. 오는 15일에는 비상계엄 관련 인물에 대한 ‘1호 선고’가 예정돼 있다. 서울중앙지법 형사합의21부(부장 이현복)는 이날 노상원 전 국군정보사령관의 개인정보보호법 위반·알선수재 혐의 사건 1심 선고기일을 연다. 노 전 사령관은 군 인사 관계자들과의 친분을 앞세워 진급 청탁 명목으로 금품을 수수하고 군사정보를 제공받은 혐의를 받는다. 특검은 노 전 사령관에게 징역 3년 및 추징금 2390만원을 구형했다. 내란 관련 재판의 핵심인 윤 전 대통령 사건도 8부 능선을 넘었다. 윤 전 대통령을 비롯한 관련자들의 내란 재판을 심리하고 있는 서울중앙지법 형사합의25부(부장 지귀연)는 지난달 13일 공판에서 내년 1월에 재판을 마무리할 계획을 밝히며 “내년 1월 7·9·12일을 추가 기일로 지정하고 14·15일을 예비 기일로 잡아 두겠다”고 말했다. 재판부는 김용현 전 국방부 장관을 비롯해 여인형 전 방첩사령관 등 군 간부들과 조지호 경찰청장·김봉식 전 서울경찰청장 등 경찰 간부들의 내란 중요임무 종사 혐의 사건을 윤 전 대통령 사건과 병합해 선고할 계획이다. 지 부장판사가 내년 2월 중순 법관 정기 인사 대상자여서 2월 초에는 선고가 이뤄질 가능성이 크다. 공소 유지를 맡은 특검이 윤 전 대통령에게 최대 형량인 사형을 구형할 가능성도 제기된다. 차장검사 출신 한 변호사는 “윤 전 대통령에 대해선 상징적인 차원에서라도 법정 최고형을 구형할 것”이라고 내다봤다. 이 밖에 내란 특검은 지난 7월 윤 전 대통령을 특수공무집행방해 등의 혐의로 추가 기소한 데 이어 지난달 10일에는 일반이적죄 등을 적용해 윤 전 대통령과 김 전 장관 등을 재차 기소했다. 여기에 채해병 특검이 지난달 21일 윤 전 대통령을 직권남용 권리행사방해 혐의로 기소하면서 윤 전 대통령은 모두 4개의 형사재판을 받게 됐다.

국내 이커머스 1위 업체 쿠팡의 대규모 고객정보 유출 사태와 관련해 집단소송 움직임이 본격화되고 있다. 현재까지 알려진 피해자 숫자만 3370만명에 달해 소송 규모도 역대 최대가 될 것으로 관측된다. 다만 과거 사례에 비춰 봤을 때 소송의 실익이 크지 않을 것이라는 지적도 나온다. 쿠팡 이용자 14명은 1일 쿠팡을 상대로 1인당 위자료 20만원을 청구하는 손해배상 청구 소송을 서울중앙지법에 제기했다. 소송을 대리하는 곽준호 법무법인 청 대표변호사는 “개인정보 유출에 따른 보상 책임 및 유출 사실을 고객에게 통보하기까지 시간이 지연된 데 대한 책임 등을 재판에서 강조할 것”이라며 “소송 인원은 늘어날 수 있다”고 밝혔다. 이날 기준 네이버 등에는 집단소송 준비 카페가 다수 개설돼 전체 가입자 수가 25만명을 넘어섰다. 하지만 실제 소송을 통해 피해를 보상받기는 쉽지 않을 것이라는 게 법조계 중론이다. 개인정보 유출 손해배상 소송은 피해자가 피해 규모 및 기업의 중대 과실 여부를 입증해야 하기 때문이다. 이날 대통령실에서 언급한 징벌적 손해배상 확대 도입의 필요성도 제기된다. 현행 손해배상 제도는 인과관계가 입증된 구체적인 손해에 대해서만 배상하는 것이 원칙이다. 개인정보보호법에도 중대한 과실이 확인될 경우 최대 5배까지 징벌적 손해배상을 하도록 정하고 있지만, 손해배상의 기준이 되는 손해액 책정 자체가 쉽지 않아 실효성이 부족하다는 지적이다. 일각에선 쿠팡에 최대 1조원대의 과징금이 부과될 수 있다는 전망도 나온다. 개인정보보호법에 따르면 개인정보 유출 시 관련 매출액의 최대 3%까지 과징금 부과가 가능하다. 쿠팡의 지난해 매출은 약 41조원이었다.

“서버 접근권 말소 안 해 생긴 일”개인정보 문 열어 놓은 꼴… 대통령실 “징벌적 손배 필요” 쿠팡에서 인증 관련 담당자로 일하던 중국인 개발자가 고객 3370만명의 개인정보를 유출한 사태와 관련해 쿠팡 측의 안일한 대응에 대한 비판이 커지고 있다. 정부는 외부 해킹이 아닌 쿠팡 측의 방치에 따라 이번 사건이 벌어졌다고 보고 관련 책임을 엄중히 묻겠다는 입장이다. 원활한 피해자 보상을 위해 징벌적 손해배상제 개선 카드도 꺼내 들었다. 경찰도 범행에 사용된 인터넷주소(IP)를 확보하는 등 수사에 속도를 내고 있다. 1일 정부 고위 관계자는 “쿠팡이 서버 관리를 굉장히 부실하게 한 것이라 책임을 피하기 어려울 것”이라고 말했다. 이 관계자는 “인증 관리 업무를 담당하던 중국인 개발자가 퇴사한 후에도 계속 서버 접근 권한을 말소하지 않아서 생긴 일”이라며 “본질적으로 해킹을 당한 롯데카드와는 아예 다른 사건”이라고 진단했다. 그는 또 “(인증키를) 말소시키지 않으니 시스템은 정상적 접근이라고 본 것”이라며 “혹시 다른 해킹이 있을지 한국인터넷진흥원(KISA)이 들여다보고 있는데 현재까진 나온 게 없다”고 전했다. 그러면서 “피해자 숫자와 범위 등이 더 늘어날 가능성은 충분해 보인다”고도 했다. 국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원실 등에 따르면 고객 정보를 빼돌린 직원은 퇴사 이후인 지난 6월 24일부터 개인정보에 접근한 것으로 추정된다. 이 직원은 개인정보 탈취 과정에서 시스템에 로그인 없이 접근할 수 있는 ‘인증 토큰’을 이용한 것으로 보인다. 이와 관련해 강훈식 대통령실 비서실장은 “징벌적 손해배상 제도가 사실상 작동하지 않고 있는 현실은 대규모 유출 사고를 막는 데 한계가 있다”며 “기업의 책임이 명백한 경우 제도가 실효성 있게 작동할 수 있도록 개선 방안을 검토하라”고 밝혔다. 아울러 강 실장은 과학기술정보통신부 등에 “근본적인 제도 보완, 현장 점검 체계 재정비, 기업 보안 역량 강화 지원책 등을 신속히 보고해 달라”고도 지시했다. 국회는 쿠팡 및 유관 기관 관계자들을 출석시켜 긴급 현안 질의를 진행한다. 2일에는 국회 과학기술정보방송통신위원회에서, 3일에는 정무위원회에서 각각 현안 질의를 한다. 경찰도 관련 수사를 진행 중이다. 서울경찰청 관계자는 이날 “쿠팡 측으로부터 서버 로그 기록을 제출받아서 분석 중”이라며 “정보 유출 등으로 협박하는 내용이 담긴 이메일 계정 2개를 추적하고 있다”고 밝혔다. 경찰은 피의자의 국적과 함께 정보 유출 당사자가 협박성 이메일을 보낸 사람과 동일인인지 등을 파악하고 있다. 경찰 관계자는 “피의자를 특정하기 위한 수사를 진행 중”이라며 “IP 추적을 위한 해외 공조도 벌이고 있다”고 설명했다. 쿠팡은 지난달 18일 개인정보보호위원회 등에 고객 4500여명의 개인정보가 유출됐다며 신고했고, 이후 같은 달 25일 정보통신망 침입 혐의로 고소장을 제출했다. 쿠팡 측은 협박 메일이 발송된 지 이틀이 지나서야 대응에 나섰다. 경찰은 지난달 28일 쿠팡 측 관계자를 불러 조사했다. 쿠팡이 회사 외형을 키우는 데 몰두한 나머지 정보보호에는 무감각했다는 비판이 거세지고 있다. 2023년부터 매년 10조원가량 매출이 뛰며 급성장해 오는 동안 정보보호 투자 비중은 반대로 감소해서다. 2010년 출범한 쿠팡이 로켓배송에 나선 것은 2014년이었다. 2012년 이후 규제에 묶인 대형마트의 빈자리를 채우기 시작하면서 급격히 몸집을 불렸다. 쿠팡은 2023년 매출 31조 8298억원을 기록하며 이마트(연결 기준 매출 29조 4722억원)를 처음 넘어섰다. 지난해 매출 41조 2901억원을 올렸고 올해에는 50조원 달성도 가능하다는 예측이 나왔다. 반면 최근 4년간 쿠팡의 정보기술(IT) 투자 대비 정보보호 투자 비중은 꾸준히 하락했다. KISA 공시에 따르면 쿠팡은 전체 IT 부문에 1조 9171억원을 투자했으며 이 가운데 정보보호 부문에 투입한 금액은 890억원으로 전체의 4.6%에 그쳤다. 전체 정보보호 투자 공시 기업 773곳의 평균(6.28%)보다 낮은 수준이다. 쿠팡의 지난해 매출 대비 정보보호 부문 투자액은 0.2%로 같은 기간 카카오·SK텔레콤(0.7%), 네이버·KT(0.4%)보다 저조했다. 숱한 논란에도 쿠팡의 사업이 순항한 건 정치권 및 정부 출신 인사를 대거 영입해 온 점과 무관하지 않다. 올해 쿠팡 또는 그 계열사로 이직하기 위해 취업 심사를 받은 4급 보좌관은 총 9명이었다. 정부 출신 중 4급 이상 등 취업 심사 대상 퇴직자 9명이 올해 쿠팡이나 그 계열사에 취직했다.

지난달 29일 발생한 쿠팡의 대규모 개인정보 유출 사태로 우려가 커지는 가운데, 쿠팡 내 IT 인력 상당수가 중국인이라는 주장이 나왔다. 지난달 30일 직장인 익명 커뮤니티인 ‘블라인드’에 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저는 90% 이상이 중국 국적자”라며 “조직(쿠팡)이 ‘중국인 카르텔’에 의해 장악되고 있다”고 주장하는 글이 올라왔다. 자신을 쿠팡 개발자라고 주장한 글쓴이는 “매 분기 퇴사 인사는 한국인들이고, 매 분기 신규 입사자들을 소개하면 80%가 중국, 나머지가 인도와 한국인들”이라며 “(중국인이) 차근차근 비율을 높이면서 카르텔을 형성하고 있으며 잠실, 용산 등 최고급 주거시설과 자녀 국제학교 학비 등 한국인이 누리지 못하는 복지로 혜택을 보고 있다”고 밝혔다. 이어 “개인적으로 이번 사태는 무분별하게 중국인들을 (IT 인력으로) 데려다 쓴 결과라 생각한다”고 덧붙였다. 해당 글은 삭제됐으나 이미 온라인 커뮤니티를 중심으로 캡처 사진이 돌면서 논란이 확산하고 있다. 이와 관련해 쿠팡은 1일 “수사 영역이고 수사에 적극 협조 중”이라면서 “(블라인드에 올라온 글은) 사실과 다르다”고 밝혔다. 쿠팡, 퇴사한 중국인 직원의 데이터 접근 열쇠 갱신 안 했다1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 현재 쿠팡은 전 중국인 직원을 정보 유출자로 추정하고 있다. 문제는 쿠팡이 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 데이터 접근 열쇠인 액세스 토큰과 서명키를 곧바로 삭제하거나 갱신하지 않았다는 사실이다. 액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 의미한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 쿠팡 측이 제공한 자료에 따르면 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 직원 퇴사 이후에도 폐기하거나 갱신하지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다. 쿠팡 측은 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다. 쿠팡, 5개월 간 유출 시도 몰랐다이번 사고로 유출된 쿠팡 고객 계정은 약 3370만 개에 달한다. 쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 밝혔다. 사실상 고객 정보 탈취가 5개월 전부터 시작됐지만 쿠팡이 이를 뒤늦게야 인지한 셈이다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러나 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 더불어 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘는 규모다. 현재 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.

강훈식 대통령비서실장은 1일 쿠팡에서 발생한 대규모 개인정보 유출 사고와 관련해 “우리 사회 전체의 개인정보보호 체계의 구조적 허점이 있음을 보여준다”라고 지적했다. 전은수 대통령실 부대변인은 강 비서실장이 이날 수석보좌관회의에서 이 같이 말하며 관계부처에 근본적인 제도 보완을 지시했다고 밝혔다. 강 비서실장은 쿠팡의 개인정보 유출 사고와 관련해 “2021년 이후 4차례나 반복됐다”라며 “데이터가 기업 경쟁력의 핵심이 된 시대에 겉으로는 가장 엄격한 보호조치를 내세우면서도 정작 실제 관리 체계는 뒷문이 열려있는 형국”이라고 질타했다. 그러면서 과학기술정보통신부와 개인정보보호위원회에 근본적인 제도 보완과 함께 현장 점검 체계 정비, 기업의 보안 역량 강화 지원책 등을 마련해 보고할 것을 지시했다. 강 비서실장은 또한 “징벌적 손해배상제도가 사실상 작동하지 않은 현실은 대규모 개인정보 유출 사고를 막는 데 한계가 있다”며 “기업의 책임이 명백한 경우 제도가 실효성 있게 작동할 수 있도록 개선 방안을 검토하라”고 주문했다.

지난달 29일 발생한 쿠팡의 대규모 개인정보 유출 사태로 우려가 커지는 가운데, 쿠팡 내 IT 인력 상당수가 중국인이라는 주장이 나왔다. 지난달 30일 직장인 익명 커뮤니티인 ‘블라인드’에 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저는 90% 이상이 중국 국적자”라며 “조직(쿠팡)이 ‘중국인 카르텔’에 의해 장악되고 있다”고 주장하는 글이 올라왔다. 자신을 쿠팡 개발자라고 주장한 글쓴이는 “매 분기 퇴사 인사는 한국인들이고, 매 분기 신규 입사자들을 소개하면 80%가 중국, 나머지가 인도와 한국인들”이라며 “(중국인이) 차근차근 비율을 높이면서 카르텔을 형성하고 있으며 잠실, 용산 등 최고급 주거시설과 자녀 국제학교 학비 등 한국인이 누리지 못하는 복지로 혜택을 보고 있다”고 밝혔다. 이어 “개인적으로 이번 사태는 무분별하게 중국인들을 (IT 인력으로) 데려다 쓴 결과라 생각한다”고 덧붙였다. 해당 글은 삭제됐으나 이미 온라인 커뮤니티를 중심으로 캡처 사진이 돌면서 논란이 확산하고 있다. 이와 관련해 쿠팡은 1일 “수사 영역이고 수사에 적극 협조 중”이라면서 “(블라인드에 올라온 글 내용은) 사실이 아니다”라고 입장을 밝혔다. 쿠팡, 퇴사한 중국인 직원의 데이터 접근 열쇠 갱신 안 했다1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 현재 쿠팡은 전 중국인 직원을 정보 유출자로 추정하고 있다. 문제는 쿠팡이 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 데이터 접근 열쇠인 액세스 토큰과 서명키를 곧바로 삭제하거나 갱신하지 않았다는 사실이다. 액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 의미한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 쿠팡 측이 제공한 자료에 따르면 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 직원 퇴사 이후에도 폐기하거나 갱신하지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다. 쿠팡 측은 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다. 쿠팡, 5개월 간 유출 시도 몰랐다이번 사고로 유출된 쿠팡 고객 계정은 약 3370만 개에 달한다. 쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 밝혔다. 사실상 고객 정보 탈취가 5개월 전부터 시작됐지만 쿠팡이 이를 뒤늦게야 인지한 셈이다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러나 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 더불어 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘는 규모다. 현재 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.

지난달 29일 발생한 쿠팡의 대규모 개인정보 유출 사태로 우려가 커지는 가운데, 쿠팡 내 IT 인력 상당수가 중국인이라는 주장이 나왔다. 지난달 30일 직장인 익명 커뮤니티인 ‘블라인드’에 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저는 90% 이상이 중국 국적자”라며 “조직(쿠팡)이 ‘중국인 카르텔’에 의해 장악되고 있다”고 주장하는 글이 올라왔다. 자신을 쿠팡 개발자라고 주장한 글쓴이는 “매 분기 퇴사 인사는 한국인들이고, 매 분기 신규 입사자들을 소개하면 80%가 중국, 나머지가 인도와 한국인들”이라며 “(중국인이) 차근차근 비율을 높이면서 카르텔을 형성하고 있으며 잠실, 용산 등 최고급 주거시설과 자녀 국제학교 학비 등 한국인이 누리지 못하는 복지로 혜택을 보고 있다”고 밝혔다. 이어 “개인적으로 이번 사태는 무분별하게 중국인들을 (IT 인력으로) 데려다 쓴 결과라 생각한다”고 덧붙였다. 해당 글은 삭제됐으나 이미 온라인 커뮤니티를 중심으로 캡처 사진이 돌면서 논란이 확산하고 있다. 이와 관련해 쿠팡은 1일 “수사 영역이고 수사에 적극 협조 중”이라면서 “(블라인드에 올라온 글 내용은) 사실이 아니다”라고 입장을 밝혔다. 쿠팡, 퇴사한 중국인 직원의 데이터 접근 열쇠 갱신 안 했다1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 현재 쿠팡은 전 중국인 직원을 정보 유출자로 추정하고 있다. 문제는 쿠팡이 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 데이터 접근 열쇠인 액세스 토큰과 서명키를 곧바로 삭제하거나 갱신하지 않았다는 사실이다. 액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 의미한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 쿠팡 측이 제공한 자료에 따르면 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 직원 퇴사 이후에도 폐기하거나 갱신하지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다. 쿠팡 측은 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다. 쿠팡, 5개월 간 유출 시도 몰랐다이번 사고로 유출된 쿠팡 고객 계정은 약 3370만 개에 달한다. 쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 밝혔다. 사실상 고객 정보 탈취가 5개월 전부터 시작됐지만 쿠팡이 이를 뒤늦게야 인지한 셈이다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러나 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 더불어 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘는 규모다. 현재 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.

쿠팡의 퇴사한 직원에 의해 가입자 3370만명의 개인정보가 유출돼 파장이 일고 있는 가운데, 쿠팡 측이 설정한 복잡한 탈퇴 경로도 비판의 도마 위에 올랐다. 이용자들의 탈퇴를 어렵게 해 회원 수를 유지하려는 전형적인 ‘다크 패턴(눈속임 상술)’이라는 지적이다. 1일 업계에 따르면 쿠팡의 개인정보 유출 사태로 온라인 커뮤니티 등에서는 ‘쿠팡 탈퇴’ 움직임이 일고 있다. 개인정보 유출 피해를 입은 이용자들은 쿠팡 계정 자체를 해지하거나 ‘와우 멤버십’ 해지, 결제 카드 정보 변경, 간편결제 비밀번호 변경 등으로 대응하고 있다. 그러나 이용자들은 “쿠팡 앱에서 탈퇴하는 과정이 복잡하다”고 호소한다. 실제 기자가 쿠팡 앱에서 ‘회원 탈퇴’ 메뉴를 찾아봤으나, 앱 메인 화면은 물론 주문 내역 등을 확인할 수 있는 개인 페이지, ‘설정’ 페이지 등 어디에서도 탈퇴 메뉴를 찾을 수 없었다. 이에 ‘전체메뉴’를 통해 가장 아래에 있는 ‘고객센터’를 찾아 ‘탈퇴’ 키워드를 검색하자 질의응답(FAQ) 리스트 중에서 “회원 탈퇴는 어떻게 하나”라는 질문을 찾았고, 비로소 ‘회원 탈퇴하기’ 메뉴를 찾을 수 있었다. 그러나 정작 메뉴로 들어가 비밀번호를 입력하고 나자 “회원 탈퇴는 PC 버전으로 이동해 진행할 수 있다”는 하단의 안내 문구와 함께 ‘PC버전으로 이동’ 메뉴로 연결됐다. 이후에도 본인 확인과 이용내역 확인, 설문조사 등을 거쳐야 한다. ‘쿠팡에 바라는 점’ 등 설문조사까지 마쳐야 탈퇴가 가능하다. PC 버전으로 이동해야 탈퇴…“귀찮아서 포기”이 같은 과정을 거쳤더라도 쿠팡의 유료 멤버십인 ‘와우 멤버십’에 가입돼 있는 이용자는 먼저 와우 멤버십을 해지해야 한다. 그런데 와우 멤버십 해지 역시 복잡하다. 앱 내 ‘와우 멤버십’ 해지 메뉴로 들어가면 “지금 해지하면 쿠팡플레이 혜택을 즐길 수 없다”, “와우할인가로 구매할 수 없다”, “새벽배송, 당일배송 혜택이 사라진다”, “무료 이용권을 더 써보고 결정해라” 등의 안내문이 줄줄이 뜬다. 스크롤을 한참 내려야 ‘와우 전용 혜택 그만 받기’ 버튼이 나타나는데, 버튼을 눌러도 “혜택을 포기하면 와우 전용 쿠폰이 사라진다” 등 이중삼중의 질문을 해 답변을 유도한다. 이 같은 앱의 이용자 환경(UI)은 ‘다크 패턴’이라고 비판받는다. 다크 패턴은 스마트폰 애플리케이션 등의 UI을 교묘하게 설정해 이용자들에게 의도하지 않은 소비를 유도하거나 회원 탈퇴를 어렵게 하는 등의 눈속임을 뜻한다. 쿠팡의 탈퇴 절차가 지나치게 복잡한 탓에 네이버 카페 등 온라인 커뮤니티에서는 “쿠팡 탈퇴 방법”이 공유되고 있다. 쿠팡을 7년간 이용해왔다는 회사원 김모(39)씨는 “쿠팡 탈퇴 메뉴에 들어갔다 ‘PC 버전으로 이동’ 안내를 보고 바쁘고 짜증나서 포기했다”면서 “어차피 내 개인정보는 이미 공공재가 된 것 아니냐”라고 한탄했다. 쿠팡 측은 이용자들에게 보낸 문자메시지를 통해 “노출된 정보는 이름과 이메일 주소, 배송지 주소록, 주문정보”라며 결제 카드와 비밀번호 등은 노출되지 않았다고 설명했다. 다만 쿠팡의 이 같은 해명에도 이용자들의 불안은 가시지 않고 있다. 아파트 등 공동주택에 거주하는 이용자들은 자신의 주소록에 집 주소뿐 아니라 세대로 진입할 수 있는 공동현관 비밀번호도 입력하는 탓이다. 부모가 타지에서 사는 자녀들의 이름과 주소, 전화번호를 등록해 자녀에게 필요한 물건을 대신 배송해주는 사례도 적잖다. 사실상 온 가족의 ‘현관 앞’으로 도달할 수 있는 민감한 개인정보가 유출됐을 가능성에 이용자들은 불안을 호소한다. 쿠팡 측은 “쿠팡을 사칭하는 전화, 문자 등에 주의해달라”는 안내 외에는 이용자들이 취해야 할 조치를 안내하지 않았다. 그런데도 이용자들 사이에서는 자신이 아닌 누군가가 자신의 계정으로 로그인한 기록을 찾아 로그아웃하는 방법이 공유되는가 하면, 쿠팡 앱으로 해외 직구를 이용한 경우 ‘개인통관고유부호’도 유출됐을 수 있으니 바꿔야 한다는 주장까지 나오고 있다.

쿠팡이 전 국민 4명 중 3명꼴인 3370만명의 개인정보 유출 사태를 빚은 데에는 그만큼 쿠팡이 유통시장 내에서 독점적 지위를 갖고 있었기 때문이란 평가가 지배적이다. 특히 이마트, 롯데 등 오프라인 유통 강자들이 영업시간 제한 탓에 발 빠르게 온라인 전환에 나서지 못한 상황에서 쿠팡이 반사이익을 얻으며 ‘유통 공룡’으로 성장했다. 2010년 파격적인 할인 가격으로 공동 구매자를 모아 ‘딜’을 성사시키는 ‘소셜커머스’로 출발했던 쿠팡이 로켓배송에 나선 것은 2014년의 일이었다. 2012년 전통시장 활성화와 소상공인 보호라는 목적으로 개정된 유통산업발전법이 시행된 후였다. 개정법에 따라 대형 마트는 월 2회의 의무휴업일을 두고 밤 12시부터 오전 10시까지 영업을 할 수 없게 됐다. 점포 영업 뿐 아니라 점포를 활용해 물건을 배송하는 새벽 배송에도 대형 마트가 나서지 못했던 이유다. 대형 마트가 규제를 받는 사이 빈자리를 쿠팡이 채우기 시작하면서 급속한 성장을 이뤘다. 지난 10년간 6조 2000억원을 들여 전국에 100여개의 물류 인프라를 구축했다. 지난해부터 또 다시 3조원을 투자해 2027년엔 로켓배송 권역을 전국으로 확대하겠단 청사진도 제시했다. 쿠팡은 2023년 매출(31조 8298억원)로 전통의 유통 강자인 이마트(연결 기준 매출 29조 4722억원)를 처음 넘어섰다. 흑자 전환과 함께 그간 따라붙던 ‘사업 지속성에 대한 의문’도 해소했다 지난해엔 매출 41조 2901억원을 기록하며 더욱 격차를 벌렸다. 시장 지배자로 성장한 쿠팡이지만 그만큼 구설에도 많이 올랐다. 최근 노동계에서 과로를 유발한다며 촉발시킨 새벽 배송 논란이 대표적이다. 실제 쿠팡에서 물류를 담당하다 숨진 물류센터 노동자와 택배 기사 사례가 있다. 지난해엔 검색 순위와 상품 후기를 조작했다는 혐의로 공정거래위원회로부터 유통업계 사상 최대인 1682억원의 과징금을 부과받기도 했다. 다만 쿠팡은 과징금 처분에 대해 취소 소송으로 다투고 있다. 올해 국회 국정감사에서는 쿠팡 퇴직금 불기소 외압 의혹이 불거졌다. 쿠팡의 물류 자회사인 쿠팡풀필먼트서비스의 퇴직금 미지급 사건 관련해 검찰 내에서 기소하지 말라는 압력이 있었단 의혹이다. 이 의혹은 결국 상설특검 수사를 받게 됐다. 지난 10월엔 공정위가 쿠팡이츠에 불공정한 약관 조항을 60일 이내 시정하라는 권고조치를 내린 일도 있었다. 해당 조항은 할인 전 금액에 수수료를 부과하고, 배달 가능 지역을 일방적으로 제한하는 내용 등을 담고 있다. 숱한 논란에도 쿠팡이 사업을 지속할 수 있었던 배경에는 정치권 인사를 대거 영입해온 것과 무관하지 않다는 게 중론이다. 국회사무처 감사관실에 따르면 올해 쿠팡으로 이직하기 위해 4급 보좌관 9명이 취업 심사를 받았다. 정부 출신 가운데서도 취업 심사 대상 퇴직자 9명이 쿠팡 또는 그 계열사에 취직했다. 쿠팡의 물류 자회사인 쿠팡로지스틱스서비스는 지난 5~7월 고용노동부 공무원 8명을 영입했다. 이들 중 상당수는 쿠팡의 대관 업무를 위해 영입된 것으로 보인다. 정부와 국회 출신이 내부 사정에 밝고 친분을 활용해 쿠팡의 영향력을 높이는 데 도움이 되기 때문이다. 박대준 쿠팡 대표 또한 LG전자와 네이버에서 대관을 담당했던 인물이며 쿠팡의 모회사인 쿠팡Inc로 옮긴 강한승 전 대표도 판사 출신으로 이명박 정부 청와대 법무비서관을 지낸 인물이다. 일각에서는 쿠팡이 대관과 로비에만 집중하고 정작 보안이나 내부 근로환경 개선에는 소극적이었다는 비판이 제기된다. 쿠팡의 창업주이자 실질적 경영자인 김범석 쿠팡Inc 의장은 논란 속에서도 모습을 드러내지 않고 있다. 국감에도 여러 차례 불출석해왔고 지난 1월 국회 환경노동위원회 청문회에도 도널드 트럼프 미국 대통령 취임식 참석을 이유로 출석하지 않았다. 지난해 4월 공정위가 공시대상기업집단을 발표하며 쿠팡의 동일인을 김 의장이 아닌 법인으로 지정해 논란이 일기도 했다. 김 의장은 미국 국적이라 동일인 지정을 피해 왔다. 공정위는 그가 쿠팡 한국법인의 지분이 없고 계열사 경영에 참여한 친족도 없다는 점을 이유로 들었다.

쿠팡의 대규모 개인정보 유출 사태가 확인되면서 소니나 야후 해킹에 버금가는 수준의 글로벌급 사고로 번질 수 있다는 우려가 커지고 있다. 단순한 이메일·비밀번호 유출을 넘어 집주소·배송기록·공동현관 비밀번호 등 생활형 정보까지 포함된 것으로 알려져 2차 피해 경고도 잇따르고 있다. 경찰, 피의자 IP 확보…협박 메일 2개 계정 추적 중 서울경찰청 사이버수사대는 1일 “쿠팡 측으로부터 서버 로그기록을 제출받아 분석 중이며 피의자가 사용한 IP를 확보해 추적 중”이라고 밝혔다. 경찰은 ‘회원들의 개인정보를 가지고 있다’며 협박성 이메일을 보낸 계정 2개에 대해서도 송신 경로를 추적하고 있다. 이메일은 지난달 16일과 25일 두 차례 발송됐고 동일인 소행인지 실제 유출자와 동일인인지 여부가 수사 중이다. 앞서 쿠팡에서 근무했던 중국 국적의 전직 직원이 고객 정보를 빼돌린 뒤 협박성 이메일을 보낸 정황이 포착됐다. 피의자가 이미 퇴사 후 출국한 상태로 확인되자 경찰은 국제 공조 수사에 나섰다. 30억 계정 털린 야후…역대 최대 유출 사건 2013~2014년 발생한 야후 해킹 사건은 역사상 최대 규모의 개인정보 유출로 기록됐다. 당시 약 30억 개 계정의 이름, 이메일 주소, 전화번호, 생년월일, 암호화된 비밀번호, 보안 질문·답변이 노출됐다. 이 사건은 2017년 야후의 매각 과정에도 직접적인 영향을 미쳐 인수 주체였던 버라이즌이 인수가를 3억 5000만 달러(약 4000억 원·모든 원화 환산은 사건 발생 당시 환율 기준) 낮췄다. 야후는 결국 피해자들과의 집단소송에서 총 1억 1750만 달러(약 1338억 원)의 합의금을 지급했다. 다만 전체 30억 계정이 아닌 실제 보상 대상은 약 1억 9400만 명 규모로 추정됐고 신청서를 제출한 이용자만 최대 358달러(약 40만 원) 한도 내에서 보상받았다. 소니 PSN 해킹…“기업 신뢰 무너진 상징적 사건” 2011년에는 일본 소니의 플레이스테이션 네트워크(PSN)가 해킹당해 7700만 명의 회원정보와 신용카드 정보가 유출됐다. 소니는 24일간 서비스를 중단하고 PSN 이용자 전원에게 무료 게임 2편과 30일 무료 이용권을 제공하는 등 사과·보상 조치를 취했다. 영국 당국은 정보보호법 위반으로 과징금을 부과했고 일본에서는 “기업 신뢰 붕괴”라는 여론이 확산되며 ‘소니 쇼크’라는 표현이 등장했다. 에퀴팩스·메리어트 등 글로벌 기업들도 잇단 유출 2017년 미국 신용평가사 에퀴팩스는 시스템 취약점을 방치한 채 수개월간 보안 경고를 무시하다가 1억 4700만 명의 신용정보가 유출됐다. 이 사건으로 경영진이 사퇴하고 미 의회 청문회가 열리는 등 파문이 컸다. 회사는 집단소송 합의로 총 7억 달러(약 8300억 원) 규모의 보상·과징금 패키지를 마련했으나 피해자 대부분은 애초 약속된 125달러 대신 10~20달러(약 1만~2만 원대)의 실보상만 받았다. 이듬해에는 세계 최대 호텔 체인 메리어트 인터내셔널의 예약망이 해킹돼 최대 5억 명의 투숙객 정보가 새나갔다. 영국 정보보호당국은 1840만 파운드(약 276억 원)의 과징금을 부과했고 미국·캐나다 등에서도 집단소송이 제기됐으며 피해 신고 고객을 대상으로 최대 100달러(약 12만 원) 수준의 보상이 제공됐다. 쿠팡, 외부 해킹 아닌 내부자 소행 정황쿠팡의 피해 규모(3370만 건)는 야후(30억)나 메리어트(5억)에 비하면 작지만 노출된 정보의 현실적 민감도는 훨씬 높다는 평가가 나온다. 특히 이름·주소·휴대전화번호뿐 아니라 공동현관 비밀번호, 배송 위치, 가족 구성 등 생활 공간과 연결된 정보가 포함돼 피해가 장기화될 가능성이 제기된다. 쿠팡은 “시스템 외부 침입 흔적은 없다”며 내부 비인가 조회로 인한 유출임을 시사했다. 보안 업계는 “이건 단순한 기술적 해킹이 아니라 내부 통제 실패”라며 기업의 데이터 접근 권한 관리가 허술했다는 점을 문제로 지적하고 있다. 집단소송, 실제 보상은 얼마나 받나 이번 사태를 계기로 해외 기업의 집단소송 보상 구조에도 관심이 쏠리고 있다. 미국 등에서는 대표 원고와 변호사단이 전체 피해자를 대신해 소송을 제기하며 개별 피해자는 변호사비를 직접 내지 않지만 전체 합의금의 20~40%가 수임료와 행정비용으로 공제된다. 결과적으로 1인당 보상액은 매우 낮아지는 구조다. 예를 들어 에퀴팩스 사건의 경우 총 7억 달러 중 약 25%가 변호사비로 빠졌고 피해자 대부분은 약속된 125달러 대신 10~20달러 수준만 받았다. 이처럼 집단소송은 금전적 보상보다 기업의 책임을 공식화하는 징벌적 절차라는 평가가 많다. 정부 조사 및 과징금 전망정부는 개인정보보호위원회와 과기정통부, 민간 보안 전문가들이 참여하는 민관합동조사단을 구성해 사고 원인을 조사 중이다. 개인정보보호법 개정으로 위반 시 전년도 매출의 최대 3%까지 과징금을 부과할 수 있어 쿠팡이 수천억 원대 제재를 받을 가능성도 제기된다. 앞서 2024년 SK텔레콤은 개인정보 유출로 역대 최대인 1347억 원의 과징금을 부과받았다. “사과보다 복구 중심 대응이 신뢰 회복의 출발점”쿠팡 사태는 한 기업의 보안 실패를 넘어 국민 대다수의 생활 정보가 얼마나 취약한지 드러낸 사건으로 평가된다. 데이터가 곧 신뢰가 되는 시대, 이번 사태가 ‘한국판 개인정보 위기’로 기록되지 않으려면 신속하고 투명한 대응이 필요하다.

쿠팡의 대규모 개인정보 유출 사태가 확인되면서 소니나 야후 해킹에 버금가는 수준의 글로벌급 사고로 번질 수 있다는 우려가 커지고 있다. 단순한 이메일·비밀번호 유출을 넘어 집주소·배송기록·공동현관 비밀번호 등 생활형 정보까지 포함된 것으로 알려져 2차 피해 경고도 잇따르고 있다. 경찰, 피의자 IP 확보…협박 메일 2개 계정 추적 중 서울경찰청 사이버수사대는 1일 “쿠팡 측으로부터 서버 로그기록을 제출받아 분석 중이며 피의자가 사용한 IP를 확보해 추적 중”이라고 밝혔다. 경찰은 ‘회원들의 개인정보를 가지고 있다’며 협박성 이메일을 보낸 계정 2개에 대해서도 송신 경로를 추적하고 있다. 이메일은 지난달 16일과 25일 두 차례 발송됐고 동일인 소행인지 실제 유출자와 동일인인지 여부가 수사 중이다. 앞서 쿠팡에서 근무했던 중국 국적의 전직 직원이 고객 정보를 빼돌린 뒤 협박성 이메일을 보낸 정황이 포착됐다. 피의자가 이미 퇴사 후 출국한 상태로 확인되자 경찰은 국제 공조 수사에 나섰다. 30억 계정 털린 야후…역대 최대 유출 사건 2013~2014년 발생한 야후 해킹 사건은 역사상 최대 규모의 개인정보 유출로 기록됐다. 당시 약 30억 개 계정의 이름, 이메일 주소, 전화번호, 생년월일, 암호화된 비밀번호, 보안 질문·답변이 노출됐다. 이 사건은 2017년 야후의 매각 과정에도 직접적인 영향을 미쳐 인수 주체였던 버라이즌이 인수가를 3억 5000만 달러(약 4000억 원·모든 원화 환산은 사건 발생 당시 환율 기준) 낮췄다. 야후는 결국 피해자들과의 집단소송에서 총 1억 1750만 달러(약 1338억 원)의 합의금을 지급했다. 다만 전체 30억 계정이 아닌 실제 보상 대상은 약 1억 9400만 명 규모로 추정됐고 신청서를 제출한 이용자만 최대 358달러(약 40만 원) 한도 내에서 보상받았다. 소니 PSN 해킹…“기업 신뢰 무너진 상징적 사건” 2011년에는 일본 소니의 플레이스테이션 네트워크(PSN)가 해킹당해 7700만 명의 회원정보와 신용카드 정보가 유출됐다. 소니는 24일간 서비스를 중단하고 PSN 이용자 전원에게 무료 게임 2편과 30일 무료 이용권을 제공하는 등 사과·보상 조치를 취했다. 영국 당국은 정보보호법 위반으로 과징금을 부과했고 일본에서는 “기업 신뢰 붕괴”라는 여론이 확산되며 ‘소니 쇼크’라는 표현이 등장했다. 에퀴팩스·메리어트 등 글로벌 기업들도 잇단 유출 2017년 미국 신용평가사 에퀴팩스는 시스템 취약점을 방치한 채 수개월간 보안 경고를 무시하다가 1억 4700만 명의 신용정보가 유출됐다. 이 사건으로 경영진이 사퇴하고 미 의회 청문회가 열리는 등 파문이 컸다. 회사는 집단소송 합의로 총 7억 달러(약 8300억 원) 규모의 보상·과징금 패키지를 마련했으나 피해자 대부분은 애초 약속된 125달러 대신 10~20달러(약 1만~2만 원대)의 실보상만 받았다. 이듬해에는 세계 최대 호텔 체인 메리어트 인터내셔널의 예약망이 해킹돼 최대 5억 명의 투숙객 정보가 새나갔다. 영국 정보보호당국은 1840만 파운드(약 276억 원)의 과징금을 부과했고 미국·캐나다 등에서도 집단소송이 제기됐으며 피해 신고 고객을 대상으로 최대 100달러(약 12만 원) 수준의 보상이 제공됐다. 쿠팡, 외부 해킹 아닌 내부자 소행 정황쿠팡의 피해 규모(3370만 건)는 야후(30억)나 메리어트(5억)에 비하면 작지만 노출된 정보의 현실적 민감도는 훨씬 높다는 평가가 나온다. 특히 이름·주소·휴대전화번호뿐 아니라 공동현관 비밀번호, 배송 위치, 가족 구성 등 생활 공간과 연결된 정보가 포함돼 피해가 장기화될 가능성이 제기된다. 쿠팡은 “시스템 외부 침입 흔적은 없다”며 내부 비인가 조회로 인한 유출임을 시사했다. 보안 업계는 “이건 단순한 기술적 해킹이 아니라 내부 통제 실패”라며 기업의 데이터 접근 권한 관리가 허술했다는 점을 문제로 지적하고 있다. 집단소송, 실제 보상은 얼마나 받나 이번 사태를 계기로 해외 기업의 집단소송 보상 구조에도 관심이 쏠리고 있다. 미국 등에서는 대표 원고와 변호사단이 전체 피해자를 대신해 소송을 제기하며 개별 피해자는 변호사비를 직접 내지 않지만 전체 합의금의 20~40%가 수임료와 행정비용으로 공제된다. 결과적으로 1인당 보상액은 매우 낮아지는 구조다. 예를 들어 에퀴팩스 사건의 경우 총 7억 달러 중 약 25%가 변호사비로 빠졌고 피해자 대부분은 약속된 125달러 대신 10~20달러 수준만 받았다. 이처럼 집단소송은 금전적 보상보다 기업의 책임을 공식화하는 징벌적 절차라는 평가가 많다. 정부 조사 및 과징금 전망정부는 개인정보보호위원회와 과기정통부, 민간 보안 전문가들이 참여하는 민관합동조사단을 구성해 사고 원인을 조사 중이다. 개인정보보호법 개정으로 위반 시 전년도 매출의 최대 3%까지 과징금을 부과할 수 있어 쿠팡이 수천억 원대 제재를 받을 가능성도 제기된다. 앞서 2024년 SK텔레콤은 개인정보 유출로 역대 최대인 1347억 원의 과징금을 부과받았다. “사과보다 복구 중심 대응이 신뢰 회복의 출발점”쿠팡 사태는 한 기업의 보안 실패를 넘어 국민 대다수의 생활 정보가 얼마나 취약한지 드러낸 사건으로 평가된다. 데이터가 곧 신뢰가 되는 시대, 이번 사태가 ‘한국판 개인정보 위기’로 기록되지 않으려면 신속하고 투명한 대응이 필요하다.