지난달 29일 발생한 쿠팡의 대규모 개인정보 유출 사태로 우려가 커지는 가운데, 쿠팡 내 IT 인력 상당수가 중국인이라는 주장이 나왔다. 지난달 30일 직장인 익명 커뮤니티인 ‘블라인드’에 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저는 90% 이상이 중국 국적자”라며 “조직(쿠팡)이 ‘중국인 카르텔’에 의해 장악되고 있다”고 주장하는 글이 올라왔다. 자신을 쿠팡 개발자라고 주장한 글쓴이는 “매 분기 퇴사 인사는 한국인들이고, 매 분기 신규 입사자들을 소개하면 80%가 중국, 나머지가 인도와 한국인들”이라며 “(중국인이) 차근차근 비율을 높이면서 카르텔을 형성하고 있으며 잠실, 용산 등 최고급 주거시설과 자녀 국제학교 학비 등 한국인이 누리지 못하는 복지로 혜택을 보고 있다”고 밝혔다. 이어 “개인적으로 이번 사태는 무분별하게 중국인들을 (IT 인력으로) 데려다 쓴 결과라 생각한다”고 덧붙였다. 해당 글은 삭제됐으나 이미 온라인 커뮤니티를 중심으로 캡처 사진이 돌면서 논란이 확산하고 있다. 이와 관련해 쿠팡은 1일 “수사 영역이고 수사에 적극 협조 중”이라면서 “(블라인드에 올라온 글 내용은) 사실이 아니다”라고 입장을 밝혔다. 쿠팡, 퇴사한 중국인 직원의 데이터 접근 열쇠 갱신 안 했다1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 현재 쿠팡은 전 중국인 직원을 정보 유출자로 추정하고 있다. 문제는 쿠팡이 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 데이터 접근 열쇠인 액세스 토큰과 서명키를 곧바로 삭제하거나 갱신하지 않았다는 사실이다. 액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 의미한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 쿠팡 측이 제공한 자료에 따르면 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 직원 퇴사 이후에도 폐기하거나 갱신하지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다. 쿠팡 측은 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다. 쿠팡, 5개월 간 유출 시도 몰랐다이번 사고로 유출된 쿠팡 고객 계정은 약 3370만 개에 달한다. 쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 밝혔다. 사실상 고객 정보 탈취가 5개월 전부터 시작됐지만 쿠팡이 이를 뒤늦게야 인지한 셈이다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러나 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 더불어 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘는 규모다. 현재 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.

지난달 29일 발생한 쿠팡의 대규모 개인정보 유출 사태로 우려가 커지는 가운데, 쿠팡 내 IT 인력 상당수가 중국인이라는 주장이 나왔다. 지난달 30일 직장인 익명 커뮤니티인 ‘블라인드’에 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저는 90% 이상이 중국 국적자”라며 “조직(쿠팡)이 ‘중국인 카르텔’에 의해 장악되고 있다”고 주장하는 글이 올라왔다. 자신을 쿠팡 개발자라고 주장한 글쓴이는 “매 분기 퇴사 인사는 한국인들이고, 매 분기 신규 입사자들을 소개하면 80%가 중국, 나머지가 인도와 한국인들”이라며 “(중국인이) 차근차근 비율을 높이면서 카르텔을 형성하고 있으며 잠실, 용산 등 최고급 주거시설과 자녀 국제학교 학비 등 한국인이 누리지 못하는 복지로 혜택을 보고 있다”고 밝혔다. 이어 “개인적으로 이번 사태는 무분별하게 중국인들을 (IT 인력으로) 데려다 쓴 결과라 생각한다”고 덧붙였다. 해당 글은 삭제됐으나 이미 온라인 커뮤니티를 중심으로 캡처 사진이 돌면서 논란이 확산하고 있다. 이와 관련해 쿠팡은 1일 “수사 영역이고 수사에 적극 협조 중”이라면서 “(블라인드에 올라온 글 내용은) 사실이 아니다”라고 입장을 밝혔다. 쿠팡, 퇴사한 중국인 직원의 데이터 접근 열쇠 갱신 안 했다1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 현재 쿠팡은 전 중국인 직원을 정보 유출자로 추정하고 있다. 문제는 쿠팡이 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 데이터 접근 열쇠인 액세스 토큰과 서명키를 곧바로 삭제하거나 갱신하지 않았다는 사실이다. 액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 의미한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 쿠팡 측이 제공한 자료에 따르면 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 직원 퇴사 이후에도 폐기하거나 갱신하지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다. 쿠팡 측은 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다. 쿠팡, 5개월 간 유출 시도 몰랐다이번 사고로 유출된 쿠팡 고객 계정은 약 3370만 개에 달한다. 쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 밝혔다. 사실상 고객 정보 탈취가 5개월 전부터 시작됐지만 쿠팡이 이를 뒤늦게야 인지한 셈이다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러나 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 더불어 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘는 규모다. 현재 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.

청주에서 실종된 여성을 살해한 혐의를 받고 있는 A(54)씨가 범행 직후 경찰 수사망을 따돌리기 위해 치밀하게 움직였던 정황이 속속 드러나고 있다. 1일 경찰이 밝힌 A씨 행적을 요약하면 이렇다. A씨는 지난달 14일 전 연인관계였던 B(50대)씨를 만난 뒤 B씨의 차 안에서 흉기를 휘둘러 살해한 것으로 조사됐다. A씨는 범행 다음 날 저녁 B씨 시신을 마대에 담아 자신의 거래처인 음성군 생극면의 한 업체 오·폐수 처리조에 담가 은닉했다. A씨는 B씨 차량번호판을 가짜 번호판으로 교체한 뒤 장소를 옮겨가며 자신의 또 다른 거래처 두 곳에 숨겨놓기도 했다. A씨는 범행 직후 차량을 몰고 다니며 CCTV를 피하기 위해 갓길로 달리거나 역주행하기도 했다. 자신에 대한 수사망이 좁혀오자 A씨는 은닉한 B씨 차량을 충주호에 버린 뒤 준비한 자전거를 타고 충주 시내로 나와 택시를 타고 이동했다. A씨가 B씨 실종 전에 ‘안 아프게 죽는 법’ 등 수상한 검색을 하고 도로 CCTV를 조회한 사실도 확인됐다. A씨가 범행에 사용한 흉기는 아직 발견되지 않았다. A씨가 흉기를 버렸다고 진술한 지역이 너무 넓어서다. 경찰 관계자는 “흉기 출처 등 계획범죄 여부 등을 더 수사한 뒤 이번 주중에 사건을 검찰에 송치할 예정”이라며 “신상 공개 여부도 검토중에 있다”고 말했다. 한편 용의자 검거와 B씨 시신 발견이 실종신고 접수 한 달이 넘게 지나 이뤄지면서 초동수사 부실 논란이 일고 있다. 경찰은 실종 당일 B씨 휴대폰이 꺼진 데다 B씨 차량이 장기간 발견되지 않았고, 카드 사용 등 생활반응도 없었지만 실종신고 접수 2주가 지나서야 강력 사건으로 수사 방향을 틀었다. 이때가 돼서야 실종전담 수사팀에 강력계 형사가 투입됐다. 경찰이 A씨 조사를 시작한 것은 지난 11일이다. 경찰은 당시 조사에서 A씨의 수상한 행적을 발견하고 A씨를 우선 감금 혐의로 입건했지만 살인을 의심할 만한 물증은 확보하지 못했다. 그러던 중 A씨의 범행을 확신할 수 있는 B씨 지인의 제보가 접수되면서 수사가 급물살을 탔다. A씨가 범행을 자백하면서 B씨 시신은 실종신고 접수 44일만에 발견됐다. 경찰 관계자는 “수사 초기 여러 주변 인물 탐문수사, 피해자 차량 수색, 휴대폰 위치추적 등에 집중했었고, A씨는 여러 주변 인물 가운데 한명이었다”며 “B씨 가족들이 A씨를 위험인물로 언급하지 않았다”고 해명했다. 이어 “시간이 많이 소요된 점은 많이 아쉽다”고 덧붙였다.

한국여성단체협의회(여협)가 장경태 더불어민주당 의원의 성추행 의혹을 규탄하며 수사기관의 신속한 수사를 촉구했다. 1일 여협은 성명서를 내고 “장 의원의 성추행 보도를 접하며 깊은 배신감과 분노를 느낀다”고 밝혔다. 여협은 “국민을 대표한다는 국회의원이 주권자인 여성을 성적인 자기만족의 수단으로 삼았다”며 “더욱이 국회의원이 우월한 지위에서 보좌관의 인격권을 무시한 것은 어떤 변명으로도 용서받지 못할 만행”이라고 주장했다. 이어 “이번 장 의원의 성추행 사건은 소속 정당 차원의 징계는 물론이고, 수사기관의 신속하고 공정한 수사를 통해서 엄중한 책임을 물어야 한다”며 “민주당과 수사기관의 징계·수사가 필요하다”고 강조했다. 그러면서 “우리 사회에는 권력자의 성 추문 사건이 생기면 가해자는 일단 부인하고 가해자의 주변 인물들이 나서 오히려 피해자를 역공격하는 나쁜 패턴이 반복되고 있다”며 “그런 악습을 단호히 뿌리 뽑고 가해자가 반드시 상응하는 처벌을 받는 도덕적 관행을 확립해야 한다”고 말했다. 앞서 국회 비서관으로 알려진 여성 A씨는 지난달 25일 서울 영등포경찰서에 장 의원에 대한 고소장을 제출했다. 영등포경찰서는 사안의 중대성을 고려해 이 사건을 서울경찰청 여성청소년범죄수사계로 넘겼다. 반면 장 의원은 지난달 30일 긴급 기자회견을 열고 “추행은 없었다”고 반박했다. 이어 고소인을 무고죄로 고소하겠다고 예고했다.

쿠팡의 대규모 개인정보 유출 사태가 확인되면서 소니나 야후 해킹에 버금가는 수준의 글로벌급 사고로 번질 수 있다는 우려가 커지고 있다. 단순한 이메일·비밀번호 유출을 넘어 집주소·배송기록·공동현관 비밀번호 등 생활형 정보까지 포함된 것으로 알려져 2차 피해 경고도 잇따르고 있다. 경찰, 피의자 IP 확보…협박 메일 2개 계정 추적 중 서울경찰청 사이버수사대는 1일 “쿠팡 측으로부터 서버 로그기록을 제출받아 분석 중이며 피의자가 사용한 IP를 확보해 추적 중”이라고 밝혔다. 경찰은 ‘회원들의 개인정보를 가지고 있다’며 협박성 이메일을 보낸 계정 2개에 대해서도 송신 경로를 추적하고 있다. 이메일은 지난달 16일과 25일 두 차례 발송됐고 동일인 소행인지 실제 유출자와 동일인인지 여부가 수사 중이다. 앞서 쿠팡에서 근무했던 중국 국적의 전직 직원이 고객 정보를 빼돌린 뒤 협박성 이메일을 보낸 정황이 포착됐다. 피의자가 이미 퇴사 후 출국한 상태로 확인되자 경찰은 국제 공조 수사에 나섰다. 30억 계정 털린 야후…역대 최대 유출 사건 2013~2014년 발생한 야후 해킹 사건은 역사상 최대 규모의 개인정보 유출로 기록됐다. 당시 약 30억 개 계정의 이름, 이메일 주소, 전화번호, 생년월일, 암호화된 비밀번호, 보안 질문·답변이 노출됐다. 이 사건은 2017년 야후의 매각 과정에도 직접적인 영향을 미쳐 인수 주체였던 버라이즌이 인수가를 3억 5000만 달러(약 4000억 원·모든 원화 환산은 사건 발생 당시 환율 기준) 낮췄다. 야후는 결국 피해자들과의 집단소송에서 총 1억 1750만 달러(약 1338억 원)의 합의금을 지급했다. 다만 전체 30억 계정이 아닌 실제 보상 대상은 약 1억 9400만 명 규모로 추정됐고 신청서를 제출한 이용자만 최대 358달러(약 40만 원) 한도 내에서 보상받았다. 소니 PSN 해킹…“기업 신뢰 무너진 상징적 사건” 2011년에는 일본 소니의 플레이스테이션 네트워크(PSN)가 해킹당해 7700만 명의 회원정보와 신용카드 정보가 유출됐다. 소니는 24일간 서비스를 중단하고 PSN 이용자 전원에게 무료 게임 2편과 30일 무료 이용권을 제공하는 등 사과·보상 조치를 취했다. 영국 당국은 정보보호법 위반으로 과징금을 부과했고 일본에서는 “기업 신뢰 붕괴”라는 여론이 확산되며 ‘소니 쇼크’라는 표현이 등장했다. 에퀴팩스·메리어트 등 글로벌 기업들도 잇단 유출 2017년 미국 신용평가사 에퀴팩스는 시스템 취약점을 방치한 채 수개월간 보안 경고를 무시하다가 1억 4700만 명의 신용정보가 유출됐다. 이 사건으로 경영진이 사퇴하고 미 의회 청문회가 열리는 등 파문이 컸다. 회사는 집단소송 합의로 총 7억 달러(약 8300억 원) 규모의 보상·과징금 패키지를 마련했으나 피해자 대부분은 애초 약속된 125달러 대신 10~20달러(약 1만~2만 원대)의 실보상만 받았다. 이듬해에는 세계 최대 호텔 체인 메리어트 인터내셔널의 예약망이 해킹돼 최대 5억 명의 투숙객 정보가 새나갔다. 영국 정보보호당국은 1840만 파운드(약 276억 원)의 과징금을 부과했고 미국·캐나다 등에서도 집단소송이 제기됐으며 피해 신고 고객을 대상으로 최대 100달러(약 12만 원) 수준의 보상이 제공됐다. 쿠팡, 외부 해킹 아닌 내부자 소행 정황쿠팡의 피해 규모(3370만 건)는 야후(30억)나 메리어트(5억)에 비하면 작지만 노출된 정보의 현실적 민감도는 훨씬 높다는 평가가 나온다. 특히 이름·주소·휴대전화번호뿐 아니라 공동현관 비밀번호, 배송 위치, 가족 구성 등 생활 공간과 연결된 정보가 포함돼 피해가 장기화될 가능성이 제기된다. 쿠팡은 “시스템 외부 침입 흔적은 없다”며 내부 비인가 조회로 인한 유출임을 시사했다. 보안 업계는 “이건 단순한 기술적 해킹이 아니라 내부 통제 실패”라며 기업의 데이터 접근 권한 관리가 허술했다는 점을 문제로 지적하고 있다. 집단소송, 실제 보상은 얼마나 받나 이번 사태를 계기로 해외 기업의 집단소송 보상 구조에도 관심이 쏠리고 있다. 미국 등에서는 대표 원고와 변호사단이 전체 피해자를 대신해 소송을 제기하며 개별 피해자는 변호사비를 직접 내지 않지만 전체 합의금의 20~40%가 수임료와 행정비용으로 공제된다. 결과적으로 1인당 보상액은 매우 낮아지는 구조다. 예를 들어 에퀴팩스 사건의 경우 총 7억 달러 중 약 25%가 변호사비로 빠졌고 피해자 대부분은 약속된 125달러 대신 10~20달러 수준만 받았다. 이처럼 집단소송은 금전적 보상보다 기업의 책임을 공식화하는 징벌적 절차라는 평가가 많다. 정부 조사 및 과징금 전망정부는 개인정보보호위원회와 과기정통부, 민간 보안 전문가들이 참여하는 민관합동조사단을 구성해 사고 원인을 조사 중이다. 개인정보보호법 개정으로 위반 시 전년도 매출의 최대 3%까지 과징금을 부과할 수 있어 쿠팡이 수천억 원대 제재를 받을 가능성도 제기된다. 앞서 2024년 SK텔레콤은 개인정보 유출로 역대 최대인 1347억 원의 과징금을 부과받았다. “사과보다 복구 중심 대응이 신뢰 회복의 출발점”쿠팡 사태는 한 기업의 보안 실패를 넘어 국민 대다수의 생활 정보가 얼마나 취약한지 드러낸 사건으로 평가된다. 데이터가 곧 신뢰가 되는 시대, 이번 사태가 ‘한국판 개인정보 위기’로 기록되지 않으려면 신속하고 투명한 대응이 필요하다.

쿠팡의 대규모 개인정보 유출 사태가 확인되면서 소니나 야후 해킹에 버금가는 수준의 글로벌급 사고로 번질 수 있다는 우려가 커지고 있다. 단순한 이메일·비밀번호 유출을 넘어 집주소·배송기록·공동현관 비밀번호 등 생활형 정보까지 포함된 것으로 알려져 2차 피해 경고도 잇따르고 있다. 경찰, 피의자 IP 확보…협박 메일 2개 계정 추적 중 서울경찰청 사이버수사대는 1일 “쿠팡 측으로부터 서버 로그기록을 제출받아 분석 중이며 피의자가 사용한 IP를 확보해 추적 중”이라고 밝혔다. 경찰은 ‘회원들의 개인정보를 가지고 있다’며 협박성 이메일을 보낸 계정 2개에 대해서도 송신 경로를 추적하고 있다. 이메일은 지난달 16일과 25일 두 차례 발송됐고 동일인 소행인지 실제 유출자와 동일인인지 여부가 수사 중이다. 앞서 쿠팡에서 근무했던 중국 국적의 전직 직원이 고객 정보를 빼돌린 뒤 협박성 이메일을 보낸 정황이 포착됐다. 피의자가 이미 퇴사 후 출국한 상태로 확인되자 경찰은 국제 공조 수사에 나섰다. 30억 계정 털린 야후…역대 최대 유출 사건 2013~2014년 발생한 야후 해킹 사건은 역사상 최대 규모의 개인정보 유출로 기록됐다. 당시 약 30억 개 계정의 이름, 이메일 주소, 전화번호, 생년월일, 암호화된 비밀번호, 보안 질문·답변이 노출됐다. 이 사건은 2017년 야후의 매각 과정에도 직접적인 영향을 미쳐 인수 주체였던 버라이즌이 인수가를 3억 5000만 달러(약 4000억 원·모든 원화 환산은 사건 발생 당시 환율 기준) 낮췄다. 야후는 결국 피해자들과의 집단소송에서 총 1억 1750만 달러(약 1338억 원)의 합의금을 지급했다. 다만 전체 30억 계정이 아닌 실제 보상 대상은 약 1억 9400만 명 규모로 추정됐고 신청서를 제출한 이용자만 최대 358달러(약 40만 원) 한도 내에서 보상받았다. 소니 PSN 해킹…“기업 신뢰 무너진 상징적 사건” 2011년에는 일본 소니의 플레이스테이션 네트워크(PSN)가 해킹당해 7700만 명의 회원정보와 신용카드 정보가 유출됐다. 소니는 24일간 서비스를 중단하고 PSN 이용자 전원에게 무료 게임 2편과 30일 무료 이용권을 제공하는 등 사과·보상 조치를 취했다. 영국 당국은 정보보호법 위반으로 과징금을 부과했고 일본에서는 “기업 신뢰 붕괴”라는 여론이 확산되며 ‘소니 쇼크’라는 표현이 등장했다. 에퀴팩스·메리어트 등 글로벌 기업들도 잇단 유출 2017년 미국 신용평가사 에퀴팩스는 시스템 취약점을 방치한 채 수개월간 보안 경고를 무시하다가 1억 4700만 명의 신용정보가 유출됐다. 이 사건으로 경영진이 사퇴하고 미 의회 청문회가 열리는 등 파문이 컸다. 회사는 집단소송 합의로 총 7억 달러(약 8300억 원) 규모의 보상·과징금 패키지를 마련했으나 피해자 대부분은 애초 약속된 125달러 대신 10~20달러(약 1만~2만 원대)의 실보상만 받았다. 이듬해에는 세계 최대 호텔 체인 메리어트 인터내셔널의 예약망이 해킹돼 최대 5억 명의 투숙객 정보가 새나갔다. 영국 정보보호당국은 1840만 파운드(약 276억 원)의 과징금을 부과했고 미국·캐나다 등에서도 집단소송이 제기됐으며 피해 신고 고객을 대상으로 최대 100달러(약 12만 원) 수준의 보상이 제공됐다. 쿠팡, 외부 해킹 아닌 내부자 소행 정황쿠팡의 피해 규모(3370만 건)는 야후(30억)나 메리어트(5억)에 비하면 작지만 노출된 정보의 현실적 민감도는 훨씬 높다는 평가가 나온다. 특히 이름·주소·휴대전화번호뿐 아니라 공동현관 비밀번호, 배송 위치, 가족 구성 등 생활 공간과 연결된 정보가 포함돼 피해가 장기화될 가능성이 제기된다. 쿠팡은 “시스템 외부 침입 흔적은 없다”며 내부 비인가 조회로 인한 유출임을 시사했다. 보안 업계는 “이건 단순한 기술적 해킹이 아니라 내부 통제 실패”라며 기업의 데이터 접근 권한 관리가 허술했다는 점을 문제로 지적하고 있다. 집단소송, 실제 보상은 얼마나 받나 이번 사태를 계기로 해외 기업의 집단소송 보상 구조에도 관심이 쏠리고 있다. 미국 등에서는 대표 원고와 변호사단이 전체 피해자를 대신해 소송을 제기하며 개별 피해자는 변호사비를 직접 내지 않지만 전체 합의금의 20~40%가 수임료와 행정비용으로 공제된다. 결과적으로 1인당 보상액은 매우 낮아지는 구조다. 예를 들어 에퀴팩스 사건의 경우 총 7억 달러 중 약 25%가 변호사비로 빠졌고 피해자 대부분은 약속된 125달러 대신 10~20달러 수준만 받았다. 이처럼 집단소송은 금전적 보상보다 기업의 책임을 공식화하는 징벌적 절차라는 평가가 많다. 정부 조사 및 과징금 전망정부는 개인정보보호위원회와 과기정통부, 민간 보안 전문가들이 참여하는 민관합동조사단을 구성해 사고 원인을 조사 중이다. 개인정보보호법 개정으로 위반 시 전년도 매출의 최대 3%까지 과징금을 부과할 수 있어 쿠팡이 수천억 원대 제재를 받을 가능성도 제기된다. 앞서 2024년 SK텔레콤은 개인정보 유출로 역대 최대인 1347억 원의 과징금을 부과받았다. “사과보다 복구 중심 대응이 신뢰 회복의 출발점”쿠팡 사태는 한 기업의 보안 실패를 넘어 국민 대다수의 생활 정보가 얼마나 취약한지 드러낸 사건으로 평가된다. 데이터가 곧 신뢰가 되는 시대, 이번 사태가 ‘한국판 개인정보 위기’로 기록되지 않으려면 신속하고 투명한 대응이 필요하다.

대통령실은 최근 소셜미디어(SNS)상에서 이재명 대통령을 사칭한 가짜 계정들이 확인됐다며 주의를 당부했다. 전은수 대통령실 부대변인은 1일 서면 브리핑에서 “최근 틱톡이나 엑스(X) 등 SNS 플랫폼에서 제21대 대통령을 사칭하는 가짜 계정들이 확인됐다”고 밝혔다. 가짜 계정들은 프로필에 ‘제21대 대통령’이라는 직함과 성명을 기재하고, 대통령 공식 계정의 사진과 영상 등을 무단 도용하고 있는 것으로 나타났다. 특히 단순 사칭을 넘어 이 계정을 활용해 금품을 요구한 정황도 포착됐다고 한다. 전 부대변인은 “대통령실은 이를 명백한 범죄행위로 판단하고 있다”며 “현재 경찰청 국가수사본부가 수사에 착수했으며, 법과 원칙에 따라 엄중하게 처벌할 것”이라고 강조했다. 이어 “국민 여러분께도 각별한 주의를 요청한다”며 “가짜 계정에서 연락받을 경우 절대 응하지 말고 경찰에 신고해주시길 바란다”고 당부했다.

경찰이 장경태 더불어민주당 의원의 성추행 의혹 관련 영상을 확보해 분석 중이라고 1일 밝혔다. 서울경찰청 관계자는 이날 서울 종로구 서울경찰청에서 열린 정례 기자간담회에서 관련 질문에 “촬영자가 제출한 식당 내부 영상을 일부 확보했다. 추가 자료를 확보하는 중”이라고 말했다. 다만 1년 전 사건인 탓에 폐쇄회로(CC)TV 영상 확보에는 난항을 겪는 것으로 전해졌다. 경찰은 당일 출동 일지도 확인한 상태다. 경찰 관계자는 ‘일지에 장 의원 언급이 있느냐’는 질문에 “당시에는 장 의원에 대해 수사가 이뤄지지 않았다”고 답했다. 다만 112 신고 내용에 대해서는 확인해 주기 어렵다고 밝혔다. 이 관계자는 “동석자 조사를 조율하고 있다”며 고소인 조사는 아직 이뤄지지 않았다고 전했다. 고소인 조사 일정에 대해선 “말하기 어려운 단계”라고 했다. 무고죄 ‘맞고소’를 시사한 장 의원의 고소장은 아직 경찰에 들어오지 않았다. 앞서 지난달 25일 장 의원이 지난해 10월 서울 여의도의 한 식당 모임 자리에서 국회 비서관으로 알려진 여성 A씨를 성추행했다는 취지의 고소장이 경찰에 접수됐다. 이튿날인 26일 서울청 여성청소년범죄수사과는 서울 영등포경찰서로부터 사건을 이첩받아 정식 수사 절차에 착수했다. 장 의원은 지난달 27일 기자들과 만나 “당사자의 남자친구라는 사람이 행패를 부려 자리를 떴다”며 고소장에 적힌 준강제추행 혐의를 부인했다. 장 의원은 이어 지난달 30일엔 국회 소통관에서 긴급 기자회견을 열어 A씨와 그의 남자친구 B씨를 고소·고발하겠다고 밝혔다. 장 의원은 “(당시 저녁 자리에) 갑자기 한 남성이 나타나 큰 소리를 지르며 폭력을 행사하기 시작했고, (저는) 황급히 그 자리를 떴다”며 “그 이후 누군가 남성의 폭력행위를 막기 위해 경찰에 신고했다”고 말했다. 그러면서 사건의 본질은 B씨의 ‘데이트 폭력’이라고 주장했다.

쿠팡이 퇴사한 직원에 의해 3370만명의 개인정보가 유출된 사건과 관련해 경찰이 피의자의 IP를 확보해 추적하고 있다고 1일 밝혔다. 서울경찰청 관계자는 이날 정례 간담회에서 “현재 쿠팡 측으로부터 서버 로그기록을 제출받아서 분석 중”이라며 “피의자가 범행에 사용한 IP를 확보해 추적 중”이라고 말했다. 경찰은 또한 “회원들의 개인정보를 가지고 있다”며 협박 이메일을 보낸 계정 2개도 추적하고 있다. 경찰에 따르면 지난달 16일 쿠팡 고객들에게, 이어 25일 쿠팡 고객센터 이메일 계정으로 협박 메일이 발송됐다. 경찰은 두 차례의 메일을 보낸 사람이 동일인인지, 또 쿠팡에서 개인정보를 유출해간 사람과 동일인인지를 파악 중이다. 피의자가 쿠팡에서 퇴사한 중국인으로 알려진 가운데 경찰은 “여러 가능성이 있어 제출된 자료를 바탕으로 분석하고 있다”고 설명했다. 쿠팡에서 근무했던 중국 국적 직원이 고객 정보를 유출했다는 의혹에 대해 서울청 관계자는 “여러 가능성이 있어 제출된 자료를 바탕으로 분석하고 있다”며 “(유력 용의자가 중국 국적일 가능성을) 포함해 수사 중이고 국적에 대해서는 말씀드리기 어렵다”라고 밝혔다. 이번에 개인정보가 유출된 3370만명은 사실상 쿠팡 전체 가입 계정 전체에 달하는 규모이며, 성인 4명 중 3명에 육박한다. 가입자의 이름과 전화번호, 주소 등 쉽게 바꿀 수 없는 인적 사항뿐 아니라 가입자들이 주문한 내역까지 유출된 탓에 피해 범위와 파장이 크다고 전문가들은 분석한다. 가입자들의 집 현관 앞까지 도달하는 택배 배송과 관련된 정보는 물론 가입자의 가족 구성원 및 생활 패턴을 들여다볼 수 있는 내밀한 정보까지 뚫린 셈이다. 가입자들은 쿠팡 탈퇴는 물론 아파트 공동현관에서 사용해왔던 출입 비밀번호를 바꾸는 등 대응에 나서고 있지만 이미 속수무책이라는 지적이 나온다. 7년 넘게 쿠팡을 이용해왔던 김모(39)씨는 “사실상 속옷 사이즈 관련 정보까지 넘어간 셈”이라며 “인제 와서 쿠팡을 탈퇴해봤자 늦은 것 같다. 내 개인정보는 해외에서 공공재처럼 떠돌아다닐 것”이라고 토로했다. 업계에서는 쿠팡이 수천억원대의 과징금 철퇴를 맞을 수 있다는 관측이 나온다. 2023년 개정된 개인정보보호법에 따르면 법 위반 시 전년도 전체 매출액의 최대 3%까지 과징금을 부과할 수 있다. 지난해 발생한 SK텔레콤의 개인정보 유출 사고와 관련해 SK텔레콤은 역대 최대 규모인 1347억 9000만원의 과징금을 부과받았다.

쿠팡에서 3370만명의 개인정보를 대량 유출한 쿠팡 전 직원이 쿠팡에서 인증 관련 업무를 했다는 주장이 나왔다. 1일 정보통신기술(ICT) 업계와 최민희 국회 과학기술정보방송통신위원장에 따르면 쿠팡에서 고객 정보를 빼돌린 전 직원은 쿠팡에서 인증 관련 담당자였던 것으로 전해졌다. 해당 직원은 퇴사 이후 개인정보를 유출하는 과정에서 ‘인증 토큰’과 관련된 보안 취약점을 노린 것으로 추정된다. 인증 토큰은 로그인에 필요한 ‘일회용 출입증’이며, 서명키는 출입증을 찍어주는 도장 역할을 한다. 최 의원실은 “출입증이 있어도 출입을 허가하는 인증 도장이 없다면 출입할 수 없다”면서 “하지만 서명 키를 오래 방치해서 누가 계속해서 도장인 서명 키를 몰래 찍어서 쓴 것과 다름없다”고 설명했다. 인증 토큰은 생성과 폐기 주기가 비교적 짧고, 이를 생성하기 위해 서명키가 필요하다. 최 의원실이 쿠팡으로부터 받은 자료에 따르면 쿠팡은 “토큰 서명키 유효 인증 기간과 관련해 5~10년으로 설정하는 사례가 많다는 걸로 알고 있다”라면서 “로테이션 기간이 길며, 키 종류에 따라 매우 다양하다”고 설명했다. 쿠팡 로그인 시스템상 토큰을 생성하고 즉시 폐기되는 상황임에도, 토큰 생성에 필요한 서명 정보를 담당 직원이 퇴사할 때 삭제하거나 갱신하지 않아 내부 직원이 악용했다는 게 의원실의 분석이다. 의원실은 “서명키 갱신은 가장 기본적인 내부 절차임에도, 쿠팡은 이를 지키지 않았다”며 “장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증 체계를 방치한 쿠팡의 조직적·구조적 문제의 결과”라고 지적했다. 앞서 서울경찰청 사이버수사대는 지난 25일 쿠팡으로부터 이번 사태에 대한 고소장을 받아 수사에 착수했다. 쿠팡 측과 경찰은 개인정보를 유출한 사람에 대해 밝히지 않았지만, 쿠팡에 근무했던 중국 국적자가 내부에서 고객 정보를 비인가 조회했으며 현재 한국을 떠난 상태인 것으로 알려졌다. 쿠팡은 현재까지 고객 계정 약 3370만개가 유출된 것을 확인했는데, 이는 사실상 쿠팡 전체 가입자에 맞먹는 규모다. 유출 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보 등이다.

동남아시아로 쏠린 국내 수사기관의 감시를 피해 아랍에미리트 두바이에 거점을 두고 불법 도박사이트를 운영한 일당이 경찰에 붙잡혔다. 강원경찰청 형사기동대는 도박공간개설과 범죄단체 조직·가입·활동, 국민체육진흥법 위반 혐의로 26명을 검거했다고 1일 밝혔다. 이 중 총책 A(32)씨 등 10명은 구속했다. 나머지 16명과 도박 참여자 58명은 불구속 상태로 검찰에 넘겼다. A씨를 비롯한 조직원들은 지난 4년간 두바이와 국내에 거점을 두고 불법 도박사이트 2개를 개설해 도박 참여자들에게 돈을 받고 게임을 제공한 혐의를 받고 있다. 도박사이트에서 오고 간 판돈은 1200억원대에 이르는 것으로 파악됐다. 이들은 홍보팀, 대포통장 모집·관리팀, 자금세탁팀으로 나눠 역할을 분담했고, SNS와 유튜브 등을 통해 도박 참여자를 모집했다. 고수익을 보장한다고 속여 하부 조직원을 영입한 뒤 두바이로 보내 도박사이트 관리를 맡기기도 했다. 조직원들은 범죄 수익으로 고가의 차량과 명품 가방 구입 등 사치를 누리거나 유흥을 즐긴 것으로 조사됐다. 경찰은 A씨 등을 대상으로 범죄 수익 60억 8000만원을 추징·보전했다.

나경원 국민의힘 의원이 국내 전자상거래 1위 업체인 쿠팡에서 3000만건이 넘는 대규모 개인정보 유출 사고가 발생한 것과 관련, “이재명 대통령은 지금 즉시 중국 정부에 (유출 용의자) 체포와 국내 송환을 공식 요구해야 한다”고 주장했다. 나 의원은 지난 30일 자신의 페이스북에 올린 글에서 “쿠팡 고객 3370만명의 개인정보 유출 용의자인 중국인 쿠팡 전 직원이 중국으로 달아났다고 한다”며 이같이 말했다. 그는 “이름, 전화번호, 주소, 이메일, 일부 주문 내역까지 포함한 3370만 개인정보가 유출됐다. 싸이월드·SK텔레콤 사태를 뛰어넘는 역대급 개인정보 참사”라고 언급한 뒤 “중국의 수사력과 통제력을 감안하면 의지만 있으면 주요 용의자의 소재 파악과 신병 확보는 하루면 가능하다”고 했다. 나 의원은 이어 “이 대통령이 이 정도 사건에도 중국 정부에 정식 수사·체포·송환을 분명하게 요구하지 못한다면, 이 정권은 국민 기본권보다 중국 눈치를 먼저 보는 ‘친중 쎄쎄 정권’이라는 것을 자인하는 것”이라고 강조했다. 그는 아울러 “또한 정부는 국민의 2차 피해 방지 종합 대책도 즉시 마련해야 한다”며 “피해 규모 축소·은폐 의혹까지 자초한 쿠팡에도 이에 상응하는 책임을 반드시 물어야 한다”고 덧붙였다. 한편 쿠팡 고객 개인정보 유출 사고를 수사하는 경찰은 일각에서 쿠팡에서 근무했던 중국 국적 직원이 고객 정보를 유출했다는 의혹과 관련 신중한 입장인 것으로 전해졌다. 경찰은 지난달 21일 이 사건에 대해 입건 전 조사(내사)에 착수했으며, 25일 정보통신망법상 정보통신망 침입 혐의로 ‘성명불상자’를 수사해달라는 쿠팡의 고소장을 접수해 수사로 전환했다. 28일엔 쿠팡 측 고소인 조사를 마쳤다. 유재성 경찰청장 직무대행은 이날(30일) 정부서울청사에서 열린 관계 부처 긴급 대책회의에서 “다수의 국민이 피해를 입은 사안인 만큼 철저한 수사를 통해 진상을 규명하고 피의자를 신속히 검거하겠다”고 약속했다. 박대준 쿠팡 대표는 이날 관계부처 긴급 대책회의 출석 전 기자들과 만나 “이번 사태로 인해 피해를 보신 쿠팡 고객들과 국민들께 심려를 끼쳐드려 너무 죄송한 말씀과 사과의 말씀을 드린다”며 고개를 숙였다. 박 대표는 일각에서 제기된 ‘중국 국적 직원의 개인정보 유출’ 의혹과 관련해서는 “수사 영역이고 수사에 적극 협조 중”이라며 “그 얘기를 하는 것 자체가 수사에 영향을 주는 만큼 말씀드리기 어렵다”고 말을 아꼈다.

실종됐던 오스트리아의 한 여성 뷰티 인플루언서가 시신으로 발견됐다. 범인은 전 남자친구인 것으로 드러났다. 지난달 29일(현지시간) 데일리메일 등 외신에 따르면 오스트리아의 여성 뷰티 인플루언서 슈테파니 파이퍼(31)는 슬로베니아의 한 숲에서 숨진 채 발견됐다. 수사 당국은 파이퍼의 전 남자친구 A(31)씨가 파이퍼를 목 졸라 살해하고 시신을 여행 가방에 넣어 슬로베니아의 한 숲에 유기한 사실을 자백했다고 밝혔다. 파이퍼는 지난달 23일 오스트리아의 자택 앞에서 친구와 함께 택시에서 내리는 모습이 마지막으로 목격된 이후 자취를 감췄다. 다음 날 예정된 사진 촬영장에 나타나지 않자 파이퍼의 가족과 동료들이 경찰에 신고했다. 당시 경찰이 파이퍼의 집을 수색했을 때 파이퍼의 반려견만 있는 상태였으며 파이퍼의 휴대전화 전원도 꺼져 있었다. 이후 수사 결과 A씨가 용의선상에 오른 가운데 슬로베니아 경찰은 지난달 24일 국경 근처 한 카지노의 주차장에서 A씨를 체포했다. 그는 이후 오스트리아로 신병이 인도됐다. A씨는 차를 타고 슬로베니아와 오스트리아를 여러 차례 이동한 것으로 조사됐다. 현지 매체 보도에 따르면 파이퍼는 지난달 23일 택시를 타고 집에 도착한 이후 소셜미디어(SNS)로 친구에게 여러 건의 메시지를 보냈다고 한다. 집에 무사히 도착했다는 내용과 함께 ‘계단에 누군가 있는 것 같다’, ‘검은 형체를 봤다’ 등의 메시지를 보낸 것으로 알려졌다. 오스트리아 경찰은 이번 사건과 관련해 A씨의 가족 2명도 추가로 체포했다. 경찰은 이들을 상대로 범행 경위와 동기 등을 조사하고 있다.

국내 전자상거래 1위 업체인 쿠팡에서 3000만건이 넘는 대규모 개인정보 유출 사고가 발생한 가운데 쿠팡이 ‘유출 정보를 공개하겠다’는 협박을 받은 것으로 드러났다. 1일 연합뉴스에 따르면 사건을 수사 중인 서울경찰청 사이버수사2대는 쿠팡이 “회원들의 개인정보를 보유하고 있다”며 “보안을 강화하지 않으면 유출 사실을 언론에 알리겠다”는 협박성 이메일을 받은 사실을 확인한 것으로 전해졌다. 다만 금전 요구는 없었다고 한다. 경찰은 이 이메일이 쿠팡 이용자들의 개인정보를 빼돌린 인물과 동일인이 보낸 것인지 추적 중이다. 현재 쿠팡 고객 정보는 쿠팡에 근무했던 중국 국적자가 유출한 것으로 알려졌다. 경찰은 지난달 21일 해당 사건에 대해 입건 전 조사(내사)에 착수했으며, 같은 달 25일 정보통신망법상 정보통신망 침입 혐의로 ‘성명불상자’를 수사해달라는 쿠팡의 고소장을 접수해 수사로 전환했다. 경찰은 이후 쿠팡으로부터 서버 기록 등 이번 사건과 관련한 자료를 임의제출 받아 분석에 들어갔다. 쿠팡은 지난달 18일 4500여개 계정의 개인정보가 무단으로 노출된 사실을 인지했다고 밝혔으나 이후 조사 과정에서 노출된 계정 수가 3370만개에 이르는 것으로 확인됐다. 쿠팡 측은 고객 이름과 이메일 주소, 배송지 주소록에 입력된 정보 등이 유출됐으나 결제 정보와 로그인 정보 등은 유출 대상에 포함되지 않았다고 밝혔다.

대구의 한 제지공장에서 20대 노동자가 작업 중 롤러에 끼여 숨지는 사고가 발생했다. 30일 고용노동부에 따르면 이날 오전 7시 6분쯤 대구 달성군에 있는 한국제지 공장에서 A(27)씨가 사망했다. 사고 당시 A씨는 롤러에 묻은 이물질을 제거하는 작업을 하던 중 롤러에 끼인 것으로 파악됐다. 소방당국은 신고받고 현장에 도착했으나 A씨는 이미 숨져 있었다. 관할청인 노동부 대구청 산재예방지도과와 대구서부지청 산재예방지도과는 즉시 사고 조사에 착수하고 작업 중지 등 조치에 나섰다. 아울러 산업안전보건법 및 중대재해법 위반 여부 등에 대한 수사에 착수했다. 경찰은 정확한 사고 경위를 조사하고 있다.

12·3 비상계엄으로 항명에 대한 가치와 인식이 변화하긴 했지만 실제 군에서 항명죄가 무죄를 받는 사례는 거의 없는 것으로 30일 파악됐다. 박정훈 전 해병대 수사단장이 지극히 이례적인 사안일 뿐 그 외에는 ‘부당한 명령’을 인정한 판례가 없었다. 서울신문이 국회 국방위원장인 성일종 국민의힘 의원실을 통해 받은 자료에 따르면 2022년 7월부터 지난 10월까지 항명죄 관련 재판은 총 24건 진행됐다. 연도별로는 2023년 5건, 2024년 9건, 올해는 10월까지 8건으로 다소 늘어나는 추세를 보였다. 이 기간에 항명 사건이 무죄로 종결된 것은 단 2건이었다. 박 전 단장의 경우 군사법원은 수사기록 이첩 중단 명령이 애초에 정당하지 않다고 판단했다. 군사법원에 재판권이 없는 범죄의 경우 수사단은 경찰 등에 지체 없이 사건을 이첩해야 할 의무가 있다. 이를 중단하라는 명령은 근거가 없기 때문에 이를 어긴 것 역시 항명이 아니라고 본 것이다. 다른 한 건의 무죄 사례는 2021년 발생한 공군 사건이다. 조종사는 훈령에 따라 항공기 내에서 흡연이 금지되는데 이를 위반했다는 게 기소 이유였다. 그러나 하나뿐인 증거 진술이 오락가락해 증거 불충분으로 무죄가 나왔다. 다른 사건에서 재판부는 ‘상관의 정당한 명령에 복종하지 아니하였다’고 일관되게 판단했다. ‘(코로나 관련) PCR 검사를 해라’, ‘기상하고 훈련에 참가해라’, ‘업무에 제때 복귀해라’ 등이 위법하지 않다고 봤다. 군에서 다뤄지는 항명죄 사건에서는 상급자가 위법하게 명령을 내려 문제가 되는 경우보다 하급자가 정당한 명령을 거부해 문제가 된 사례가 대다수였다. 실제 위법한 명령에 따른 항명 사례가 없던 만큼 국회 내에서 진행 중인 항명 관련 규정 개정에 신중하게 접근해야 한다는 의견도 나온다. 특히 12·3 비상계엄과 같은 특수한 상황을 계기로 군 조직의 운영 원리와 직결되는 명령 복종 의무 등을 손보는 것이 과하다는 목소리도 적지 않다. 성 위원장은 “지휘관들도 위법성을 의식해 무리한 명령을 내리는 경우가 거의 없다”면서 “‘위법한 명령은 거부할 수 있다’는 식의 항명 관련 법 개정은 군인에게 명령을 넘어선 가치판단을 강요하는 내용이어서 국가안보를 저해할 우려가 있다”고 말했다.

3370만명 고객정보 무단 노출 확인중국 국적 전 직원이 정보 빼돌린 듯카드·통신 사고 이어 불안감 확산 국내 1위 온라인 유통 기업인 쿠팡에서 우리나라 국민의 절반이 넘는 약 3370만명의 고객 계정 정보가 무단으로 노출되는 초유의 사고가 벌어지면서 국민 불안이 소위 포비아(공포증) 수준으로 치닫고 있다. 역대 최대 규모의 고객 정보 유출인 데다 쿠팡이 5개월간 지속된 개인정보 탈취 시도조차 인지하지 못했기 때문이다. 이번 사고가 중국 국적의 내부자 소행이라는 언급도 나온다. 전문가들은 이 사태가 스미싱(문자로 악성 링크 클릭을 유도하는 피싱 공격)이나 보이스피싱 등 추가 피해로 연결될 가능성을 경고했다. 쿠팡이 고객 계정의 이름, 이메일, 배송지 주소록(입력한 이름·전화번호·주소), 일부 주문 정보가 노출된 사실을 지난 29일 확인한 가운데 박대준 쿠팡 대표는 30일 정부서울청사에서 “국민 여러분께 불편을 끼쳐 드려 진심으로 사과드린다”며 첫 사과에 나섰다. 쿠팡은 지난 18일 약 4500개 계정의 개인정보가 노출된 사실을 인지했다고 밝혔지만 후속 조사에서 7500배나 많은 3370만개가 유출된 것으로 확인됐다. 쿠팡 구매 이력이 있는 고객 수(2470만명)보다 900만명이나 많고, 역대 최대 과징금인 1348억원 처분을 받은 SK텔레콤의 개인정보 유출 규모(2324만명)도 크게 웃돈다. 쿠팡은 지난 6월 24일부터 5개월 동안 지속된 개인정보 탈취 시도를 전혀 파악하지 못했다는 점에서도 책임을 피하기 어려워 보인다. 여기에 중국 국적의 전 쿠팡 직원이 고객 정보를 유출했다는 의혹도 제기됐다.  경찰은 쿠팡으로부터 서버 기록 등 이번 사건과 관련한 자료를 임의 제출받아 분석 중이다. 경찰은 “모든 가능성을 열어 두고 절차에 따라 수사하고 있다”고 전했다. 다만 쿠팡 측은 내부 직원 소행 가능성에 대해선 확인이 어렵다는 입장이다. 쿠팡은 이날 오후 웹사이트와 애플리케이션에 게재한 사과문에서 “결제 정보, 신용카드 번호, 로그인 정보는 노출되지 않아 고객이 계정 관련해 조치를 취할 필요는 없다”고 밝혔다. 하지만 전문가들은 이번 사고가 스미싱이나 보이스피싱 등 추가 피해로 연결될 가능성을 경고한다. 한국인터넷진흥원(KISA)은 ‘피해 보상’이나 ‘피해 사실 조회’, ‘환불’ 등의 키워드로 피해 기업(쿠팡)을 사칭하는 스미싱이나 보이스피싱 등에 주의할 것을 권고했다. 김기형 아주대 사이버보안학과 교수는 “최근 주문 건에 문제가 있다며 주소나 연락처를 다시 확인하라는 식의 피싱이 대표적”이라면서 “문자, 전화, 카카오톡 등 어떤 채널에서도 모르는 링크는 클릭하지 않는 것이 중요하다”고 말했다. 정보 유출 경로가 오리무중인 상황에서 피해를 본 소비자들은 분통을 터뜨리고 있다. 빠른 배송 때문에 쿠팡을 애용했다는 구정순(62)씨는 이번 사태가 터지자마자 쿠팡을 탈퇴했다. 구씨는 “회사가 정확한 진단이나 대책을 내놓지 못해 정보가 유출된 피해자만 발을 동동 구르고 있다”며 “‘전화번호는 노출됐는데 카드 정보와 비밀번호는 노출되지 않았다’는 회사의 설명을 어떻게 믿겠느냐”고 말했다. 일부 고객 사이에서는 공동 현관 비밀번호도 털렸을 수 있다는 불안감이 높은 상황이다. 쿠팡의 경우 음식이나 택배 배송 요청란에 아파트 공동 현관 비밀번호를 쓰는 경우가 많고 이를 배송 정보로 관리하기 때문이다.

‘홈캠’으로 불리며 범죄 예방 등을 위해 가정집 등에 설치된 인터넷 프로토콜(IP) 카메라 12만여대를 해킹해 성 착취물 수백개를 제작·판매한 피의자들이 검거됐다. 경찰청 국가수사본부는 IP 카메라를 해킹한 피의자 4명을 검거하고, 이 가운데 영상물을 성착취물로 제작하거나 판매한 A씨 등 3명을 구속했다고 30일 밝혔다. 피의자들은 범행을 공모한 공범 관계는 아닌 걸로 조사됐다. IP 카메라는 인터넷을 통해 다른 기기로 실시간 영상 송출이 가능한 장비로, 흔히 가정집에서 반려동물, 자녀나 노인의 안전을 확인하거나 범죄 예방 등 목적으로 설치하는 경우가 많다. 경찰에 따르면 무직인 A씨는 6만 3000대의 IP 카메라를 해킹해 탈취한 영상으 545개의 성 착취물을 제작한 혐의를 받는다. A씨는 이렇게 제작한 불법 영상을 해외 사이트에 팔아 3500만원어치의 가상자산을 챙긴 것으로 조사됐다. 피의자 중엔 회사원도 있었다. B씨는 IP 카메라 7만대를 해킹하고 648개의 성 착취물을 제작·판매해 가상자산 1800만원어치를 챙긴 혐의를 받는다. 두 사람이 만든 영상은 최근 1년간 특정 사이트에 게시된 영상의 62%에 달했다. 이 해외 사이트는 다양한 국가 피해자들의 불법 촬영 영상이 올라오고 있다. 현재 경찰은 해외 수사기관과 공조해 해당 사이트 운영자에 대한 법적 조치를 진행하고 있다. 이밖에 자영업자인 C씨는 IP 카메라 1만 5000대, 또 다른 회사원 D씨는 136대를 해킹한 것으로 조사됐다. 심지어 C씨는 해킹한 영상으로 아동·청소년 성착취물을 제작했다. 다만 경찰은 두 사람이 영상을 유포하거나 판매한 정황은 없는 것으로 파악했다. 피의자들에게 영상을 사들인 불법 사이트에서 성 착취물을 구매하고 시청한 3명도 붙잡혔다. 경찰 관계자는 “성착취물 구매자와 시청자들에 대한 수사도 이어가고 있다”고 말했다. 대량으로 해킹된 IP 카메라들은 아이디와 비밀번호가 동일하게 단순 반복되거나, 숫자나 문자 조합이 단순한 형태로 설정됐던 것으로 전해졌다. 인터넷망에 연결돼 영상을 실시간 송출하는 방식인 IP 카메라는 외부 접속이 차단된 폐쇄회로(CC)TV보다 설치가 간단하고 저렴하지만, 보안에는 더 취약하다. 경찰은 수사 과정에서 확인된 피해 장소 58곳에 대해서는 수사관이 직접 방문하거나 전화 또는 우편을 통해 피해 사실을 통지하고 비밀번호 변경 등을 안내했다. 방송미디어통신심의위원회에 해당 사이트 접속 차단을 요청했고, 외국 법집행기관과 협력해 폐쇄를 추진 중이다. 경찰 관계자는 “IP 카메라 사용자는 계정 비밀번호를 8자리 이상으로 특수문자를 포함해 변경하고, 제품이 이중 인증을 지원하면 반드시 활성화하는 게 보다 안전하다”며 “6개월에 한 번 이상 비밀번호를 변경하고 관련 소프트웨어를 최신 버전으로 유지할 필요도 있다”고 강조했다.

현지인 171명 구금 이틀만에 풀려나경찰 조사 늦어지며 구속영장 기각돼구금 외국인 31명 중엔 한국 국적도경찰 “‘피해자’ 없어 조사 진전 안 돼” 말레이시아의 한 ‘남성 전용’ 시설에서 의사, 검사 등 사회 고위층을 포함한 남성 202명이 벌거벗은 채 체포됐다가 이중 상당수는 풀려난 일이 벌어졌다고 30일(현지시간) 더스타 등 현지 매체가 전했다. 보도에 따르면 현지 경찰은 지난 28일 오후 8시쯤 수도 쿠알라룸푸르 시내 라자 라우트로(路)에 있는 한 웰니스 센터를 대상으로 연방직할지 이슬람종교국(JAWI)과 합동 단속 작전을 진행했다. 해당 업소는 2층 규모로 체육관, 사우나, 스파, 수영장, 휴게실 등을 갖추고 있었는데 남성 전용 건강·웰니스 시설로 위장했으나 실제로는 성행위를 목적으로 한 장소로 운영돼오고 있던 것으로 확인됐다. 이용객들은 최초 등록비 10링깃(약 3500원)에 방문할 때마다 35링깃(약 1만 2000원)을 낸 후 시설을 이용했다. 업소는 퇴근 후 휴식을 원하는 남성을 주 고객으로 해 오후 5시부터 늦은 밤까지 영업했으며, 소셜미디어(SNS)를 통해 홍보했다. 이같은 방법으로 업소 운영은 8개월간 이어져 온 것으로 파악됐다. 수사당국은 ‘남성 이용객들의 부도덕한 활동이 의심된다’는 제보를 받고 2주간 정보 수집과 감시를 한 끝에 해당 업소를 급습했다. 그 결과 19세부터 60세까지의 남성 202명을 형법 377조(비자연적 성행위 관련)를 위반한 혐의로 체포했다. 말레이시아 현행법은 ‘남성 생식기를 타인의 항문이나 입에 삽입하는 행위’를 합의 여부에 상관없이 처벌할 수 있도록 한다. 이는 동성뿐 아니라 이성간 관계에도 적용될 수 있다. 다만 실제 적용 사례는 대부분 동성애자를 처벌하는 데 이용되고 있는 것으로 알려져 있다. 체포된 202명 중 17명은 공무원으로 확인됐으며 의사, 고위직 검사, 행정·외교관, 교사 등도 있었다. 또 현지인뿐 아니라 한국, 중국, 인도네시아, 독일 등 국적자도 포함된 것으로 전해졌다. 202명 중 무슬림 80명에 대해서는 JAWI가 샤리아(이슬람 율법) 형법 29조(공공장소 부적절 행위)를 적용했다. 종교의 자유는 있으나 헌법상 이슬람을 국교로 정한 말레이시아에서는 무슬림 국민에 대해선 일반 형법보다 샤리아가 우선 적용된다. 현지 매체는 이날(30일) 후속 보도를 통해 구금됐던 남성 중 현지인 171명은 구속영장 청구가 기각돼 석방됐다고 전했다. 외국인 31명은 이틀째 구금 상태인 것으로 알려졌다. 말레이시아 법원은 청구가 늦게 이뤄졌다는 이유로 구속영장을 발부하지 않았다. 경찰 관계자는 “성착취, 매춘 등 관련 범죄에는 피해자가 반드시 있어야 하는데 구금자 중 누구도 자신이 피해자라고 주장하지 않았기 때문에 이 사건 조사가 진전될 수 없었다”고 말했다. 200명 넘는 구금자에 대한 경찰의 개별적 조사가 빠르게 진행되지 않으면서 구속영장 청구가 늦어진 것으로 전해졌다.

국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡이 대규모 개인정보 유출 사고에 대해 공개 사과했다. 박대준 쿠팡 대표는 30일 오후 정부서울청사에서 기자들과 만나 이같은 뜻을 밝혔다. 박 대표는 “이번 사태로 인해 피해를 보신 쿠팡 고객들과 국민들에게 심려를 끼쳐드려 너무 죄송한 말씀과 사과의 말씀을 드린다”고 고개를 숙였다. 그러면서 이번 사태의 원인이 빠르게 규명될 수 있도록 노력하겠다는 뜻도 전달했다. 쿠팡은 지난 18일 약 4500개 계정의 개인정보가 무단으로 노출된 사실을 인지했다고 밝혔으나 후속 조사 과정에서 노출된 계정 수가 3370만개로 확인됐다. 고객 이름, 이메일 주소, 배송지 주소록에 입력된 정보 등이 유출됐지만 결제 정보와 로그인 정보 등은 유출 대상에 포함되지 않았다는 게 쿠팡 측 설명이다. 쿠팡은 지난 25일 정보통신망법상 정보통신망 침입 혐의로 ‘성명불상자’를 수사해달라고 경찰에 고소장을 제출한 바 있다. 회사도 이날 박 대표 명의의 사과문을 내고 “올해 6월 24일 시작된 쿠팡의 최근 사고에 유감을 표명한다”며 “국민 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과드린다”고 밝혔다. 이어 “올해 6월부터 최근까지 고객 정보에 대한 무단 접근이 발생했다”며 “무단 접근된 고객 정보는 이름과 이메일, 전화번호, 배송지 주소, 특정 주문 정보로 제한됐다”고 밝혔다. 쿠팡은 “모든 고객 정보를 보호하는 것이 가장 중요한 우선순위”라며 “종합적인 데이터 보호 및 보안 조치와 프로세스를 유지하고 있다”고 덧붙였다. 이어 “과학기술정보통신부와 개인정보보호위원회, 한국인터넷진흥원, 경찰청 등 민관합동조사단과 긴밀히 협력해 추가적인 피해 예방을 위해 최선을 다하겠다”고 밝혔다. 쿠팡은 “앞으로 이러한 사건으로부터 고객 데이터를 더 안전하게 보호할 수 있도록, 현재 기존 데이터 보안 장치와 시스템에 어떤 변화를 줄 수 있는지 검토하고 있다”고 부연했다.