박대준 쿠팡 대표가 대규모 고객정보 유출 사건의 용의자로 지목된 전직 중국 국적 직원에 대해 “인증업무를 한 직원이 아니라 인증 시스템을 개발하는 개발자였다”고 밝혔다. 박 대표는 2일 국회 과학기술정보방송통신위원회 현안 질의에서 국민의힘 신성범 의원의 질의에 “혼자 일하는 개발자는 없다”며 “여러 인원이 역할을 나눠 팀 단위로 일한다”고 말했다. 피의자 규모와 관련해서는 “단수·복수라고 단정할 수 없다”며 “현재 수사 중이라 구체적으로 말하기 어렵다”고 답했다. ‘유출과 노출 중 어느 것이 맞느냐’는 질문에는 “유출이 맞다”고 밝혔다. 유출 여부를 놓고 논란이 이어졌던 사안에 대해 회사 대표가 국회에서 공식적으로 인정한 발언이다. 쿠팡은 전자서명키 악용 정황이 확인되면서 고객정보 대규모 유출 의혹이 불거졌고, 해당 직원의 중국 국적 여부와 역할을 둘러싸고 정치권과 업계의 관심이 집중돼 왔다.

-보건복지부 인증 ‘투세이프 블루 등급’ 획득…태아 안전성까지 검증 완료 수면 영양 전문 브랜드 녹트리서치는 자사의 수면 영양제 제품 ‘슬립케어’가 국내 수면 건강기능식품 중 최초로 임산부 독성 검사를 통과했다고 밝혔다. 녹트리서치 슬립케어는 임산부 안전 전문 인증기관 ‘투세이프(Two Safe)’로부터 ‘블루 그레이드(Blue Grade)’ 인증을 획득했다. 수면 건강기능식품이 이 같은 인증을 받은 사례는 2025년 11월 기준으로 국내에서 처음이자 유일하다. ‘투세이프 블루 등급’이란? 전문가의 철저한 평가로 임산부·태아 안전성 검사 인증 투세이프는 “엄마와 태아, 두 생명(Two)을 모두 안전하게(Safe) 지킨다”는 의미의 임산부 전용 안전 인증이다. 일반 성인을 기준으로 하는 화장품 안전 기준과 달리, 임산부와 태아에게 초점을 맞춰 생식 독성, 발달 독성, 모유 전이 여부 등을 전문적으로 검증한다. 보건복지부 산하 ‘마더세이프’가 생식발생독성 및 모태독성 전문가, 영양학자, 생화학자 그룹과 함께 제품의 성분, 함량, 제조 공정, 독성 평가 등 엄격한 기준을 통과한 제품에만 부여한다. 녹트리서치가 인증받은 투세이프 ‘블루 그레이드’는 투세이프 심사에서 부여하는 등급으로, 권장용법에 따라 사용 시 임신부에게 안전한 제품이라는 사실이 확인된 제품에만 부여한다. 투세이프 심사는 사용 금지 성분 및 제한 성분 함량을 확인하며, 가장 최신의 임상 결과 기반 문헌 자료를 토대로 유해성을 검증한다. 선천성기형, 유산, 사산, 조산, 저체중증, 신경발달이상, 암유발성 등 임신부와 아기 건강 전반을 위협할 수 있는 독성을 종합적으로 평가한다. 권위성을 인정받은 생식발생독성 전문가, 모태독성 전문가, 영양학자, 생화학자가 임신부 및 수유부가 섭취하거나 사용해도 되는 제품인지 안전성을 직접 평가 및 검증한다. 수면영양제 중에서 투세이프 인증을 받은 제품은 국내에서 녹트리서치 슬립케어가 처음이다. 안전한 해결책 드물었던 임신 중 불면증 문제, 투세이프 인증 수면영양제 주목 임산부의 약 78%가 임신 중 수면 문제를 겪는 것으로 알려져 있지만, 그동안 임신 중에도 안전하게 섭취할 수 있는 수면 보조제는 거의 없었다. 일반적으로 사용되는 멜라토닌은 호르몬 성분이라 임신 중 복용에 주의가 필요하며, 수면제는 태아에 영향을 미칠 가능성 때문에 사용이 어렵다. 슬립케어는 호르몬 성분인 멜라토닌 대신 락티움, L-테아닌, 마그네슘, 비타민B6 등 4중 기능성 원료를 배합했다. 이들 성분은 모두 식품의약품안전처로부터 기능성을 인정받은 성분으로, 긴장 완화와 숙면 유지를 돕는 것으로 확인됐다. 특히 주성분인 락티움은 우유 단백질에서 추출한 성분으로, 뇌의 가바(GABA) 수용체를 활성화해 긴장을 풀어주고 깊은 잠을 유도한다. 뉴트리언츠 저널에 발표된 임상시험 결과에 따르면, 락티움은 잠드는 시간을 단축하고 총 수면시간을 늘리는 효과가 확인됐다. “과학적 근거 바탕으로 안전한 수면 솔루션 제공” 녹트리서치는 한국과학기술원(KAIST) 출신 김소정 대표가 8년간의 불면 경험을 바탕으로 설립한 웰니스 스타트업이다. ‘잘 자는 몸을 만드는 안전한 수면 솔루션’을 철학으로 과학적 근거에 기반한 프리미엄 수면 영양 솔루션을 개발하고 있다. 김소정 녹트리서치 대표는 “스스로 수면 문제를 겪으면서 시중 제품들을 먹어봤지만 진짜 ‘숙면’을 도와주는 제품을 찾을 수 없어 직접 만들게 됐다”며 “멜라토닌의 부작용을 극복하는 비호르몬 제품으로 더 지속 가능하고 건강한 수면 솔루션을 제공하고자 한다”고 말했다. 슬립케어는 최근 신세계백화점 강남점 H&B 웰니스 편집숍에 입점했으며, 약사들 사이에서 입소문을 타면서 서울 시내 주요 약국에도 들어섰다.

쿠팡에서 3000만명이 넘는 고객의 정보가 유출된 사실이 드러난 가운데, 식별된 공격 기간은 올해 6월 24일부터 11월 8일까지인 것으로 나타났다. 2일 국회 과학기술정보방송통신위원회(과방위) 쿠팡 개인정보 유출 사고 관련 긴급 현안 질의에서 류제명 과학기술정보통신부 2차관은 대응 경과보고를 통해 “지난해 7월부터 올해 11월까지 전수 로그 분석을 한 결과 3000만개 이상 계정에서 개인정보가 유출됐다”며 이같이 밝혔다. 류 차관은 “공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했다”며 “이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 사용됐다”고 설명했다. 개인정보 유출 규모는 약 3370만건이다. 정보에는 고객 이름, 이메일 주소, 배송지 주소록(이름·전화번호·주소) 등이 포함됐다. 류 차관은 조사 과정에서 실제 피해 계정 수는 달라질 수 있다고 전했다. 현재는 퇴사한 중국인 인증 담당자가 개인정보를 유출했다는 의혹에 대해 류 차관은 “현재 언급되는 공격자의 신상에 대한 정보는 경찰 수사로 확인이 필요하다”며 “확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3000만건의 개인정보 유출을 주장했다”고 했다. 정부는 앞으로 민관 합동조사단을 통해 사고 경위와 쿠팡의 보안 문제점을 면밀히 규명하고 결과를 투명하게 공개하겠다는 방침이다. 류 차관은 스미싱 등 2차 피해 우려가 커진 만큼 “2차 피해 발생 여부를 지속 모니터링하고, 개인정보위·경찰청 등 관계기관과 공조해 추가 피해를 방지하겠다”고 밝혔다.

중소기업중앙회가 1일 서울 여의도에서 중소기업과 소상공인의 성장을 가로막는 낡은 규제를 해소하기 위해 ‘중소기업 규제 합리화 현장 대화’를 개최했다. 중기중앙회는 이날 현장에서 발굴한 규제 합리화 과제 100건을 정부에 전달했다. 행사에는 김민석 국무총리를 비롯해 김용수 국무조정실 국무2차장, 노용석 중소벤처기업부 1차관, 류제명 과학기술정보통신부 2차관 등이 참석했다. 김기문 중기중앙회장은 “미국발 관세 인상과 무역경제 질서 변화 속에 인공지능(AI)과 첨단산업 경쟁이 갈수록 치열해지고 있다”며 “정부가 규제 개혁을 강조한 만큼 일관성 있게 추진해주길 바란다”고 말했다.

충남도가 기후 위기 주범인 이산화탄소(CO2)를 포집해 친환경 항공유(e-SAF)를 생산하는 탄소중립 신산업 선점에 나선다. 1일 도에 따르면 ‘이산화탄소 전환을 통한 e-SAF 생산 기술 개발’ 사업이 과학기술정보통신부 국가연구개발사업평가에서 예비 타당성 조사를 통과했다. 도는 이번 사업을 통해 보령화력에서 포집한 CO2 4000t을 e-SAF 700t으로 생산하는 기술 실증 프로젝트를 추진한다. LG화학이 주관하고, 한국과학기술연구원(KIST), HD현대오일뱅크가 참여해 2030년까지 1402억원을 투입한다. 앞서 도는 지난 9월 보령화력에서 e-SAF를 생산하는 ‘그린올’(Green-ol) 신에너지 기술 실증에 성공했다. 그린올은 CO2를 전기·물·미생물 등과 반응시켜 플라스틱 원료, 항공유 등으로 전환하는 차세대 CO2 포집·활용 기술이다. KIST가 개발했다. 안호 충남도 산업경제실장은 “이번 사업은 탄소 배출 최다 지역인 충남이 e-SAF 기반 탄소중립 신산업 중심지로 도약하는 계기가 될 것”이라고 말했다. 유럽연합(EU)와 국제민간항공기구는 e-SAF 의무 혼합 비율을 2027년 1%에서 2035년 7~10%로 강화할 계획이다.

“서버 접근권 말소 안 해 생긴 일”개인정보 문 열어 놓은 꼴… 대통령실 “징벌적 손배 필요” 쿠팡에서 인증 관련 담당자로 일하던 중국인 개발자가 고객 3370만명의 개인정보를 유출한 사태와 관련해 쿠팡 측의 안일한 대응에 대한 비판이 커지고 있다. 정부는 외부 해킹이 아닌 쿠팡 측의 방치에 따라 이번 사건이 벌어졌다고 보고 관련 책임을 엄중히 묻겠다는 입장이다. 원활한 피해자 보상을 위해 징벌적 손해배상제 개선 카드도 꺼내 들었다. 경찰도 범행에 사용된 인터넷주소(IP)를 확보하는 등 수사에 속도를 내고 있다. 1일 정부 고위 관계자는 “쿠팡이 서버 관리를 굉장히 부실하게 한 것이라 책임을 피하기 어려울 것”이라고 말했다. 이 관계자는 “인증 관리 업무를 담당하던 중국인 개발자가 퇴사한 후에도 계속 서버 접근 권한을 말소하지 않아서 생긴 일”이라며 “본질적으로 해킹을 당한 롯데카드와는 아예 다른 사건”이라고 진단했다. 그는 또 “(인증키를) 말소시키지 않으니 시스템은 정상적 접근이라고 본 것”이라며 “혹시 다른 해킹이 있을지 한국인터넷진흥원(KISA)이 들여다보고 있는데 현재까진 나온 게 없다”고 전했다. 그러면서 “피해자 숫자와 범위 등이 더 늘어날 가능성은 충분해 보인다”고도 했다. 국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원실 등에 따르면 고객 정보를 빼돌린 직원은 퇴사 이후인 지난 6월 24일부터 개인정보에 접근한 것으로 추정된다. 이 직원은 개인정보 탈취 과정에서 시스템에 로그인 없이 접근할 수 있는 ‘인증 토큰’을 이용한 것으로 보인다. 이와 관련해 강훈식 대통령실 비서실장은 “징벌적 손해배상 제도가 사실상 작동하지 않고 있는 현실은 대규모 유출 사고를 막는 데 한계가 있다”며 “기업의 책임이 명백한 경우 제도가 실효성 있게 작동할 수 있도록 개선 방안을 검토하라”고 밝혔다. 아울러 강 실장은 과학기술정보통신부 등에 “근본적인 제도 보완, 현장 점검 체계 재정비, 기업 보안 역량 강화 지원책 등을 신속히 보고해 달라”고도 지시했다. 국회는 쿠팡 및 유관 기관 관계자들을 출석시켜 긴급 현안 질의를 진행한다. 2일에는 국회 과학기술정보방송통신위원회에서, 3일에는 정무위원회에서 각각 현안 질의를 한다. 경찰도 관련 수사를 진행 중이다. 서울경찰청 관계자는 이날 “쿠팡 측으로부터 서버 로그 기록을 제출받아서 분석 중”이라며 “정보 유출 등으로 협박하는 내용이 담긴 이메일 계정 2개를 추적하고 있다”고 밝혔다. 경찰은 피의자의 국적과 함께 정보 유출 당사자가 협박성 이메일을 보낸 사람과 동일인인지 등을 파악하고 있다. 경찰 관계자는 “피의자를 특정하기 위한 수사를 진행 중”이라며 “IP 추적을 위한 해외 공조도 벌이고 있다”고 설명했다. 쿠팡은 지난달 18일 개인정보보호위원회 등에 고객 4500여명의 개인정보가 유출됐다며 신고했고, 이후 같은 달 25일 정보통신망 침입 혐의로 고소장을 제출했다. 쿠팡 측은 협박 메일이 발송된 지 이틀이 지나서야 대응에 나섰다. 경찰은 지난달 28일 쿠팡 측 관계자를 불러 조사했다. 쿠팡이 회사 외형을 키우는 데 몰두한 나머지 정보보호에는 무감각했다는 비판이 거세지고 있다. 2023년부터 매년 10조원가량 매출이 뛰며 급성장해 오는 동안 정보보호 투자 비중은 반대로 감소해서다. 2010년 출범한 쿠팡이 로켓배송에 나선 것은 2014년이었다. 2012년 이후 규제에 묶인 대형마트의 빈자리를 채우기 시작하면서 급격히 몸집을 불렸다. 쿠팡은 2023년 매출 31조 8298억원을 기록하며 이마트(연결 기준 매출 29조 4722억원)를 처음 넘어섰다. 지난해 매출 41조 2901억원을 올렸고 올해에는 50조원 달성도 가능하다는 예측이 나왔다. 반면 최근 4년간 쿠팡의 정보기술(IT) 투자 대비 정보보호 투자 비중은 꾸준히 하락했다. KISA 공시에 따르면 쿠팡은 전체 IT 부문에 1조 9171억원을 투자했으며 이 가운데 정보보호 부문에 투입한 금액은 890억원으로 전체의 4.6%에 그쳤다. 전체 정보보호 투자 공시 기업 773곳의 평균(6.28%)보다 낮은 수준이다. 쿠팡의 지난해 매출 대비 정보보호 부문 투자액은 0.2%로 같은 기간 카카오·SK텔레콤(0.7%), 네이버·KT(0.4%)보다 저조했다. 숱한 논란에도 쿠팡의 사업이 순항한 건 정치권 및 정부 출신 인사를 대거 영입해 온 점과 무관하지 않다. 올해 쿠팡 또는 그 계열사로 이직하기 위해 취업 심사를 받은 4급 보좌관은 총 9명이었다. 정부 출신 중 4급 이상 등 취업 심사 대상 퇴직자 9명이 올해 쿠팡이나 그 계열사에 취직했다.

지난달 29일 발생한 쿠팡의 대규모 개인정보 유출 사태로 우려가 커지는 가운데, 쿠팡 내 IT 인력 상당수가 중국인이라는 주장이 나왔다. 지난달 30일 직장인 익명 커뮤니티인 ‘블라인드’에 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저는 90% 이상이 중국 국적자”라며 “조직(쿠팡)이 ‘중국인 카르텔’에 의해 장악되고 있다”고 주장하는 글이 올라왔다. 자신을 쿠팡 개발자라고 주장한 글쓴이는 “매 분기 퇴사 인사는 한국인들이고, 매 분기 신규 입사자들을 소개하면 80%가 중국, 나머지가 인도와 한국인들”이라며 “(중국인이) 차근차근 비율을 높이면서 카르텔을 형성하고 있으며 잠실, 용산 등 최고급 주거시설과 자녀 국제학교 학비 등 한국인이 누리지 못하는 복지로 혜택을 보고 있다”고 밝혔다. 이어 “개인적으로 이번 사태는 무분별하게 중국인들을 (IT 인력으로) 데려다 쓴 결과라 생각한다”고 덧붙였다. 해당 글은 삭제됐으나 이미 온라인 커뮤니티를 중심으로 캡처 사진이 돌면서 논란이 확산하고 있다. 이와 관련해 쿠팡은 1일 “수사 영역이고 수사에 적극 협조 중”이라면서 “(블라인드에 올라온 글은) 사실과 다르다”고 밝혔다. 쿠팡, 퇴사한 중국인 직원의 데이터 접근 열쇠 갱신 안 했다1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 현재 쿠팡은 전 중국인 직원을 정보 유출자로 추정하고 있다. 문제는 쿠팡이 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 데이터 접근 열쇠인 액세스 토큰과 서명키를 곧바로 삭제하거나 갱신하지 않았다는 사실이다. 액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 의미한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 쿠팡 측이 제공한 자료에 따르면 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 직원 퇴사 이후에도 폐기하거나 갱신하지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다. 쿠팡 측은 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다. 쿠팡, 5개월 간 유출 시도 몰랐다이번 사고로 유출된 쿠팡 고객 계정은 약 3370만 개에 달한다. 쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 밝혔다. 사실상 고객 정보 탈취가 5개월 전부터 시작됐지만 쿠팡이 이를 뒤늦게야 인지한 셈이다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러나 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 더불어 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘는 규모다. 현재 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.

쿠팡에서 국민 4명 중 3명에 해당하는 대규모 정보 유출 사고가 발생한 것을 두고 회사 외형을 키우는 데 몰두한 나머지 정보보호에는 무감각했다는 비판이 거세지고 있다. 2023년부터 매년 10조원가량 매출이 뛰며 급속 성장을 해오는 동안 정보보호 투자 비중은 반대로 감소한 것으로 나타났다. 2010년 파격적인 할인 가격에 상품을 파는 ‘소셜커머스’로 출발했던 쿠팡이 로켓배송에 나선 것은 2014년이었다. 2012년 전통시장 활성화와 소상공인 보호라는 목적으로 개정된 유통산업발전법이 시행된 후였다. 개정법에 따라 대형 마트는 월 2회의 의무휴업일을 두고 밤 12시부터 오전 10시까지 영업을 할 수 없게 됐다. 점포 영업뿐 아니라 점포를 활용해 물건을 배송하는 새벽 배송에도 대형 마트가 나서지 못했던 이유다. 대형 마트가 규제를 받는 사이 빈자리를 쿠팡이 채우기 시작하면서 급속한 성장을 이뤘다. 지난 10년간 6조 2000억원을 들여 전국에 100여개의 물류 인프라를 구축했다. 쿠팡은 2023년 매출 31조 8298억원을 기록하며 이마트(연결 기준 매출 29조 4722억원)를 처음 넘어섰다. 지난해엔 매출 41조 2901억원을 기록했고 올해는 50조원 달성도 가능하단 예측이 나왔다. 반면 최근 4년간 쿠팡의 정보기술(IT) 투자 대비 정보보호 투자 비중은 꾸준히 하락했다. 한국인터넷진흥원(KISA)의 올해 공시에 따르면 쿠팡은 전체 IT 부문에 1조 9171억원을 투자했으며, 이 가운데 정보보호 부문에 투입한 금액은 890억원으로 전체의 4.6%에 그쳤다. 전체 정보보호 투자 공시 기업 773곳의 평균(6.28%)보다 낮은 수준이다. 정보보호 투자 비중을 연도별로 보면 2022년 7.1%(535억원), 2023년 6.9%(639억원), 지난해 5.6%(660억원)로 해마다 감소했다. 절대 규모만 놓고 보면 삼성전자, KT에 이어 세 번째로 많은 수준이지만 전체 IT 투자 증가 속도를 따라가지 못해 비중이 떨어진 셈이다. 매출 대비로 정보보호 투자 비중은 더 낮다. 쿠팡의 지난해 매출 대비 정보보호 부문 투자액은 0.2%로 같은 기간 카카오·SK텔레콤(0.7%), 네이버· KT(0.4%)보다 저조했다. 이를 두고 업계에선 “보안 투자에 상대적으로 소홀했던 것 아니냐”는 지적이 제기된다. 시장 지배자로 성장한 쿠팡은 구설에도 많이 올랐다. 지난해 검색 순위와 상품 후기를 조작했단 혐의로 공정거래위원회로부터 유통업계 사상 최대인 1682억원의 과징금을 부과받았다. 올해 국회 국정감사에선 물류 자회사인 쿠팡풀필먼트서비스의 퇴직금 미지급 사건과 관련해 검찰 내에서 불기소 압력이 있었단 의혹이 제기됐다. 최근엔 쿠팡이츠의 불공정한 약관에 대해서 공정위가 시정 조치를 내리기도 했다. 숱한 논란에도 쿠팡의 사업이 순항한 건 정치권과 정부 출신 인사를 대거 영입해온 것과 무관하지 않다. 올해 쿠팡 또는 그 계열사로 이직하기 위해 취업 심사를 받은 4급 보좌관은 총 9명이었다. 정부 출신 중에서 4급 이상 등 취업 심사 대상 퇴직자 9명이 올해 쿠팡이나 그 계열사에 취직했다. 일각에서는 쿠팡이 대관과 로비에만 집중하고 정작 보안이나 내부 근로환경 개선에는 소극적이었다는 비판이 제기된다. 한편 국회는 쿠팡 및 유관 기관 관계자들을 출석시켜 긴급 현안 질의를 진행한다. 2일에는 국회 과학기술정보방송통신위원회에서, 3일에는 정무위원회에서 각각 현안 질의를 한다.

강훈식 대통령비서실장은 1일 쿠팡에서 발생한 대규모 개인정보 유출 사고와 관련해 “우리 사회 전체의 개인정보보호 체계의 구조적 허점이 있음을 보여준다”라고 지적했다. 전은수 대통령실 부대변인은 강 비서실장이 이날 수석보좌관회의에서 이 같이 말하며 관계부처에 근본적인 제도 보완을 지시했다고 밝혔다. 강 비서실장은 쿠팡의 개인정보 유출 사고와 관련해 “2021년 이후 4차례나 반복됐다”라며 “데이터가 기업 경쟁력의 핵심이 된 시대에 겉으로는 가장 엄격한 보호조치를 내세우면서도 정작 실제 관리 체계는 뒷문이 열려있는 형국”이라고 질타했다. 그러면서 과학기술정보통신부와 개인정보보호위원회에 근본적인 제도 보완과 함께 현장 점검 체계 정비, 기업의 보안 역량 강화 지원책 등을 마련해 보고할 것을 지시했다. 강 비서실장은 또한 “징벌적 손해배상제도가 사실상 작동하지 않은 현실은 대규모 개인정보 유출 사고를 막는 데 한계가 있다”며 “기업의 책임이 명백한 경우 제도가 실효성 있게 작동할 수 있도록 개선 방안을 검토하라”고 주문했다.

묵가는 춘추전국시대 유가, 도가, 법가와 어깨를 나란히 하며 제자백가 4대 학파 중 하나로 자리매김했다. 기원전 400년대 말 활동했던 묵자가 창시한 묵가는 조건 없이 사람들을 사랑하라는 ‘겸애’와 전쟁은 공격이 아닌 방어만을 위한 것이어야 한다는 ‘비공’ 등을 주장했다. 유가와 경쟁했던 묵가는 진시황의 통일 이후 갑자기 사라졌다. 2500년 전에 등장해 주목받다 사라진 묵가를 현대 인공지능(AI) 시대에 주목할 필요가 있다는 주장이 제기돼 눈길을 끈다. 정재현 서강대 철학과 교수는 ‘묵경에 대한 철학적 이해’(아카넷)에서 묵가의 사상을 논리학, 윤리학, 과학의 범주로 나눠 살펴봤다. 특히 눈길을 끄는 것은 과학 측면이다. 묵가는 공자와 맹자로 대표되는 유가로부터 오랫동안 비판의 대상이 됐다. 특히 유가는 겸애설을 이단적인 것으로 배척했다. 그러다 보니, 유학을 국가사상으로 받들었던 조선에서도 묵가를 철저히 외면했다. 그렇지만, 서구 근대문명이 유입되기 시작한 19세기부터 묵가를 바라보는 시각이 바뀌었다. 묵가의 ‘비공’ 때문이었다. 묵자를 따르던 이들 중에는 기본적으로 성곽 축성, 군사 무기, 수레 등 다양한 기물을 만드는 기술자가 많았다. 현대적 관점에서 보면 이들은 투박하지만 기하학과 역학, 광학 같은 물리학 등에 대한 전문적 지식을 지녔다. 서양 과학처럼 인과론적 사유에 바탕을 둔 과학적 세계관을 갖고 있었던 묵가는 고대 중국의 대표적 사상이라고 할 수 있는 오행론 같은 상관적·유기체적 세계관에 대해 비판적이었다. 정 교수는 “한마디로 묵가의 입장은 형이상학에 대한 과학의 도전”이라고 해석했다. 법가의 비조(鼻祖) 한비자는 묵자를 일컬어 ‘세상에서 가장 두드러진 학문’이라고 평했다. 조선 후기 실학자 중 가장 박식했던 것으로 알려진 이덕무도 “묵가는 국가와 백성을 위해 지혜를 활용해 다양한 기계 장치를 만들고 허례허식을 타파한 것을 높이 평가할 만하다”고 했다. 현대 과학의 핵심은 ‘관찰과 실험을 통해 현재 이론이 언제든지 틀릴 수 있다는 것을 인정하는 것’이다. 묵가 역시 이런 사상적 배경을 갖고 있다. 정 교수는 “묵가는 모든 갈등은 주어진 현상 속에서 생기는 것이 아니라, 주어진 현상의 이면에 있는 그 본질의 차이 때문에 생긴다는 점을 꿰뚫어 봤다”며 “그들은 늘 사물을 하나의 측면만 보고 절대시하지 않아야 한다고 했다”고 설명했다. 많은 사람이 고대 동아시아 세계에는 과학이 없었다고 주장하지만, 묵가는 과학적 성취와 철학을 결합한 독특한 사상 체계를 만들었다고 정 교수는 강조했다. 그래서 묵가는 AI로 대변되는 기술 중심 시대이자, 철학 없는 과학기술 시대를 살아가는 오늘날 우리에게 보다 특별하게 다가온다.

지난달 29일 발생한 쿠팡의 대규모 개인정보 유출 사태로 우려가 커지는 가운데, 쿠팡 내 IT 인력 상당수가 중국인이라는 주장이 나왔다. 지난달 30일 직장인 익명 커뮤니티인 ‘블라인드’에 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저는 90% 이상이 중국 국적자”라며 “조직(쿠팡)이 ‘중국인 카르텔’에 의해 장악되고 있다”고 주장하는 글이 올라왔다. 자신을 쿠팡 개발자라고 주장한 글쓴이는 “매 분기 퇴사 인사는 한국인들이고, 매 분기 신규 입사자들을 소개하면 80%가 중국, 나머지가 인도와 한국인들”이라며 “(중국인이) 차근차근 비율을 높이면서 카르텔을 형성하고 있으며 잠실, 용산 등 최고급 주거시설과 자녀 국제학교 학비 등 한국인이 누리지 못하는 복지로 혜택을 보고 있다”고 밝혔다. 이어 “개인적으로 이번 사태는 무분별하게 중국인들을 (IT 인력으로) 데려다 쓴 결과라 생각한다”고 덧붙였다. 해당 글은 삭제됐으나 이미 온라인 커뮤니티를 중심으로 캡처 사진이 돌면서 논란이 확산하고 있다. 이와 관련해 쿠팡은 1일 “수사 영역이고 수사에 적극 협조 중”이라면서 “(블라인드에 올라온 글 내용은) 사실이 아니다”라고 입장을 밝혔다. 쿠팡, 퇴사한 중국인 직원의 데이터 접근 열쇠 갱신 안 했다1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 현재 쿠팡은 전 중국인 직원을 정보 유출자로 추정하고 있다. 문제는 쿠팡이 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 데이터 접근 열쇠인 액세스 토큰과 서명키를 곧바로 삭제하거나 갱신하지 않았다는 사실이다. 액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 의미한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 쿠팡 측이 제공한 자료에 따르면 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 직원 퇴사 이후에도 폐기하거나 갱신하지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다. 쿠팡 측은 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다. 쿠팡, 5개월 간 유출 시도 몰랐다이번 사고로 유출된 쿠팡 고객 계정은 약 3370만 개에 달한다. 쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 밝혔다. 사실상 고객 정보 탈취가 5개월 전부터 시작됐지만 쿠팡이 이를 뒤늦게야 인지한 셈이다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러나 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 더불어 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘는 규모다. 현재 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.

지난달 29일 발생한 쿠팡의 대규모 개인정보 유출 사태로 우려가 커지는 가운데, 쿠팡 내 IT 인력 상당수가 중국인이라는 주장이 나왔다. 지난달 30일 직장인 익명 커뮤니티인 ‘블라인드’에 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저는 90% 이상이 중국 국적자”라며 “조직(쿠팡)이 ‘중국인 카르텔’에 의해 장악되고 있다”고 주장하는 글이 올라왔다. 자신을 쿠팡 개발자라고 주장한 글쓴이는 “매 분기 퇴사 인사는 한국인들이고, 매 분기 신규 입사자들을 소개하면 80%가 중국, 나머지가 인도와 한국인들”이라며 “(중국인이) 차근차근 비율을 높이면서 카르텔을 형성하고 있으며 잠실, 용산 등 최고급 주거시설과 자녀 국제학교 학비 등 한국인이 누리지 못하는 복지로 혜택을 보고 있다”고 밝혔다. 이어 “개인적으로 이번 사태는 무분별하게 중국인들을 (IT 인력으로) 데려다 쓴 결과라 생각한다”고 덧붙였다. 해당 글은 삭제됐으나 이미 온라인 커뮤니티를 중심으로 캡처 사진이 돌면서 논란이 확산하고 있다. 이와 관련해 쿠팡은 1일 “수사 영역이고 수사에 적극 협조 중”이라면서 “(블라인드에 올라온 글 내용은) 사실이 아니다”라고 입장을 밝혔다. 쿠팡, 퇴사한 중국인 직원의 데이터 접근 열쇠 갱신 안 했다1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 현재 쿠팡은 전 중국인 직원을 정보 유출자로 추정하고 있다. 문제는 쿠팡이 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 데이터 접근 열쇠인 액세스 토큰과 서명키를 곧바로 삭제하거나 갱신하지 않았다는 사실이다. 액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 의미한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 쿠팡 측이 제공한 자료에 따르면 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 직원 퇴사 이후에도 폐기하거나 갱신하지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다. 쿠팡 측은 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다. 쿠팡, 5개월 간 유출 시도 몰랐다이번 사고로 유출된 쿠팡 고객 계정은 약 3370만 개에 달한다. 쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 밝혔다. 사실상 고객 정보 탈취가 5개월 전부터 시작됐지만 쿠팡이 이를 뒤늦게야 인지한 셈이다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러나 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 더불어 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘는 규모다. 현재 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.

쿠팡에서 3370만명의 개인정보를 대량 유출한 쿠팡 전 직원이 쿠팡에서 인증 관련 업무를 했다는 주장이 나왔다. 1일 정보통신기술(ICT) 업계와 최민희 국회 과학기술정보방송통신위원장에 따르면 쿠팡에서 고객 정보를 빼돌린 전 직원은 쿠팡에서 인증 관련 담당자였던 것으로 전해졌다. 해당 직원은 퇴사 이후 개인정보를 유출하는 과정에서 ‘인증 토큰’과 관련된 보안 취약점을 노린 것으로 추정된다. 인증 토큰은 로그인에 필요한 ‘일회용 출입증’이며, 서명키는 출입증을 찍어주는 도장 역할을 한다. 최 의원실은 “출입증이 있어도 출입을 허가하는 인증 도장이 없다면 출입할 수 없다”면서 “하지만 서명 키를 오래 방치해서 누가 계속해서 도장인 서명 키를 몰래 찍어서 쓴 것과 다름없다”고 설명했다. 인증 토큰은 생성과 폐기 주기가 비교적 짧고, 이를 생성하기 위해 서명키가 필요하다. 최 의원실이 쿠팡으로부터 받은 자료에 따르면 쿠팡은 “토큰 서명키 유효 인증 기간과 관련해 5~10년으로 설정하는 사례가 많다는 걸로 알고 있다”라면서 “로테이션 기간이 길며, 키 종류에 따라 매우 다양하다”고 설명했다. 쿠팡 로그인 시스템상 토큰을 생성하고 즉시 폐기되는 상황임에도, 토큰 생성에 필요한 서명 정보를 담당 직원이 퇴사할 때 삭제하거나 갱신하지 않아 내부 직원이 악용했다는 게 의원실의 분석이다. 의원실은 “서명키 갱신은 가장 기본적인 내부 절차임에도, 쿠팡은 이를 지키지 않았다”며 “장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증 체계를 방치한 쿠팡의 조직적·구조적 문제의 결과”라고 지적했다. 앞서 서울경찰청 사이버수사대는 지난 25일 쿠팡으로부터 이번 사태에 대한 고소장을 받아 수사에 착수했다. 쿠팡 측과 경찰은 개인정보를 유출한 사람에 대해 밝히지 않았지만, 쿠팡에 근무했던 중국 국적자가 내부에서 고객 정보를 비인가 조회했으며 현재 한국을 떠난 상태인 것으로 알려졌다. 쿠팡은 현재까지 고객 계정 약 3370만개가 유출된 것을 확인했는데, 이는 사실상 쿠팡 전체 가입자에 맞먹는 규모다. 유출 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보 등이다.

SNT다이내믹스가 연구개발(R&D)과 품질 경쟁력 강화를 바탕으로 글로벌 엔지니어링 기업으로의 전환에 속도를 내고 있다. 1일 회사에 따르면 SNT다이내믹스는 지난달 대전컨벤션센터에서 열린 ‘한국군사과학기술학회 추계학술대회’에서 총 13편의 연구논문을 발표했다. 이로써 회사가 2021년 이후 학계에 발표한 연구개발 논문은 약 110편으로 늘었다. 특히 이번 학술대회 발표 논문 다수가 최근 입사한 청년 엔지니어들이 주저자로 참여한 연구라는 점은 눈길을 끈다. 회사는 연구개발 역량 강화를 위해 사내 연구논문 심사제도 운용, 전문 학회·세미나 참가 지원, 방산 전시회 단체견학 등 다양한 프로그램을 운용 중이다. 또 기술적 상상력(T·I)과 세계 시장 감각(M·I)을 키우는 내부 교육 프로그램도 매달 진행하고 있다. 지난 11월 특강에서는 ‘사용자 관점의 무기체계 개발 방향’을 주제로 우리 군 실전 경험과 최신 무기체계 운용 지식 등이 공유됐다. 품질 경쟁력에서도 성과가 이어지고 있다. 생산 분야 신입사원으로 구성된 품질 분임조 ‘원스텝’은 지난달 열린 제51회 국가품질경영대회에서 금상을 받았다. 회사는 3년 연속 품질분임조 금상을 수상하게 됐다. SNT다이내믹스는 2004년부터 ISO 9001, AS 9100 등 국제 인증 체계를 도입해 품질경영 기반을 갖췄고 그 결과 2012년 국가품질대상을 수상했다. SNT다이내믹스는 인력 확보에도 투자를 이어가고 있다. 2021년 이후 연구개발, 품질, 생산기술, 기술마케팅 등 전 부문에서 약 220명을 신규 채용했으며, 이는 현재 재직 인원의 61% 수준이다. 회사는 청년 연구인력 확대를 기반으로 글로벌 수준의 엔지니어 육성을 목표로 하고 있다. SNT다이내믹스 관계자는 “적극적인 R&D 투자와 품질 혁신을 통해 기업 경쟁력을 강화하는 동시에 청년 일자리 창출과 지역 상생에도 힘쓰고 있다”며 “글로벌 TOP 엔지니어링 기업으로 도약하겠다”고 말했다.

CCU 메가 프로젝트 예타 통과1402억 원 투입 e-SAF 생산 실증1년 4000t CO2감축…소나무 170만 그루 충남도가 기후 위기 주범인 이산화탄소(CO2)를 포집해 친환경 항공유(e-SAF)를 생산하는 탄소중립 미래 신산업 선점에 나선다. 1일 도에 따르면 ‘이산화탄소 전환을 통한 e-SAF 생산 기술 개발(보령 탄소 전환 e-SAF)’ 사업이 과학기술정보통신부 국가연구개발사업평가 총괄위원회에서 예비 타당성 조사를 통과했다. 앞서 도는 9월 예타 통과를 위해 보령화력에서 ‘그린올(Green-ol) 신에너지 기술 실증’을 진행했다. ‘그린올’은 CO2를 전기·물·미생물 등과 반응해 플라스틱 원료, 지속 가능 항공유(e-SAF) 등으로 전환하는 차세대 이산화탄소 포집·활용(CCU) 기술이다. 한국과학기술연구원(KIST)이 개발했다. 이번 사업은 LG화학이 주관하고, KIST, HD현대오일뱅크가 참여해 중부발전 화력발전소(보령화력)에서 발생하는 이산화탄소를 포집, e-SAF를 생산하는 기술 실증 프로젝트를 추진한다. 2030년까지 1402억원을 투입한다. LG화학은 세계 최고 수준의 이산화탄소 직접 전환 및 간접 전환 기술을 보유하고 있다. 실증 규모는 연간 이산화탄소 4000톤 전환, e-SAF 700t 생산으로 설정했다. 도는 보령 탄소 전환 e-SAF를 통해 저감 하는 연간 4000t 규모의 이산화탄소가 30년생 소나무 170만 그루를 심는 효과와 맞먹을 것으로 보고 있다. 2034년 산업화가 추진되면, 연간 4900억원 규모 경제 효과 발생도 기대한다. 안호 충남도 산업경제실장은 “이번 예타 통과는 탄소 배출 최다 지역인 충남이 e-SAF 기반 탄소중립 신산업 중심지로 도약하는 계기가 될 것”이라며 “산업화와 일자리 창출로 이어질 수 있도록 속도감 있게 사업을 추진하겠다”고 말했다. EU와 국제민간항공기구(ICAO)는 e-SAF 의무 혼합 비율을 2027년 1%에서 2035년 7~10%로 강화할 계획이다. 국제에너지기구도 2070년 전세계 이산화탄소 감축량의 15%를 CCU가 담당할 것으로 예상했다.

6월 24일 발생… 11월 18일에 인지“정상적 로그인 없이 고객정보 유출”“서버 보안인증 취약점 악용해 공격”정부, 국가 배후 범죄 가능성도 논의일부 집단소송 카페·단톡방 개설도 이번 쿠팡의 정보 유출을 두고 특히 사고를 인지하기까지 5개월이나 걸렸다는 데 대한 비판이 거세다. 회사의 깜깜이 대응에 실망한 소비자들은 집단소송 등 단체 행동에 나설 움직임도 보이고 있다. 30일 쿠팡에 따르면 고객 계정과 관련된 개인정보 무단 접근은 지난 6월 24일부터 시작됐지만 쿠팡은 이를 지난 18일에야 인지하게 됐다. 쿠팡은 그동안 공격자 입장에서 취약점을 찾는 ‘레드팀’과 선제적 위협 탐지·대응을 맡는 ‘고스트팀’을 운영하면서 수준 높은 보안 조직을 갖췄다고 홍보했지만, 정작 개인정보 노출 기간이나 사고 발생 원인에 대해서는 ‘조사 중’이라며 함구하고 있다. 쿠팡 측은 “현재까지 2차 피해는 보고된 바 없다”고 했지만 소비자의 불안과 불신은 확산하고 있다. 민관합동조사단을 꾸리고 쿠팡 본사에서 현장 조사를 진행 중인 정부는 쿠팡 서버 인증 체계에 취약점이 있었다고 짚었다. 이날 배경훈 부총리 겸 과학기술정보통신부 장관은 정부서울청사에서 관계 부처 긴급회의를 열고 “공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 3000만개 이상 고객 계정의 고객명, 이메일, 발송지 전화번호 및 주소를 유출한 것으로 확인했다”고 설명했다. 정부는 회의에서 국가 배후 범죄 가능성에 대해서도 논의했으며 쿠팡 서버에서 악성 코드는 발견되지 않았다고 밝혔다. 쿠팡의 개인정보보호법상 안전조치의무 위반이 확인되면 엄정 제재할 방침이다. 이번 사고가 쿠팡의 내부 직원 소행이라는 추측이 나오면서 내부 보안 대책에 허점이 있었다는 비판도 피할 수 없게 됐다. 특히 수천만명의 정보가 새 나가는 동안 자체적으로 부정·불법행위를 탐지해 내지 못할 정도로 쿠팡 서버의 모니터링 체계가 미흡했다는 지적이 나온다. 염흥열 순천향대 정보보호학과 명예교수는 “유출자가 직장 상사 등의 ID와 비밀번호를 확보해 타인의 접근 권한까지 가졌을 가능성이 있다”며 “서버 접속 과정에서 2차 인증이 필요한데도 1차 인증만으로 통과되는 등 인증 체계에 취약점이 있는 것으로 추정된다”고 말했다. 쿠팡의 책임과 보상을 촉구하기 위한 소비자 움직임도 확산하고 있다. 지난 29일 네이버에 개설된 ‘쿠팡 정보유출 집단소송 카페’ 운영진은 “3370만명이 피해를 본 초유의 사태에 대해 법적 책임을 묻고 공동 대응 방안을 마련하겠다”며 출범 취지를 밝혔다. 카카오톡에서 ‘쿠팡 정보유출 피해자 모임’ 채팅방을 개설한 이모(49)씨도 “개인의 힘으로는 거대 기업인 쿠팡의 안일한 대응에 맞서기 어렵다고 판단했다”면서 “집단분쟁조정 신청이나 공동소송까지 고려하고 있다”고 설명했다. 손해배상 집단소송을 준비 중인 김경호 변호사(법무법인 호인)는 “핵심 쟁점은 쿠팡이 개인정보보호법 제29조에 따른 안전조치의무를 다했는지 여부”라면서 “해킹 기술이 고도화됐다 하더라도 쿠팡이 당시 기술 수준에서 요구되는 접근 통제, 접속 기록 보관, 암호화 조치 등을 소홀히 했다면 과실이 인정된다”고 주장했다.

2021년과 2024년 두 차례나 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 취득한 쿠팡이 잇달아 대규모 개인정보 유출 사고를 일으키며 도마 위에 올랐다. 정부 인증체계의 실효성을 되짚어 봐야 한다는 지적이 나오는 까닭이다. 30일 국회 정무위원회 소속 한창민 사회민주당 의원이 개인정보보호위원회에서 제출받은 자료에 따르면 쿠팡은 ISMS-P 인증을 최초 취득한 2021년 3월 이후 올해까지 네 차례의 유출 사고를 냈다. 2021년 10월 앱을 업데이트하면서 테스트를 소홀히 해 14건의 유출 사고를 냈고, 2020년 8월부터 2021년 11월까지 쿠팡이츠 배달원 13만여명의 개인정보가 유출됐다. 2023년 12월에는 판매자 전용 시스템 오류로 2만여명의 개인정보가 노출됐다. ISMS-P 인증은 과학기술정보통신부와 개인정보위가 공동으로 운영하는 국내 유일의 정보보호 및 개인정보보호 관리체계 인증제도다. 2018년 과기정통부의 ‘정보보호 관리체계 인증’(ISMS)과 개인정보위의 ‘개인정보보호 관리체계 인증’(PIMS)을 통합했다. 쿠팡은 전년도 정보통신서비스 부문 매출액이 100억원 이상으로 인증 의무 대상인데, 취득 이후에도 사고가 계속 발생했다는 점이 문제다. ISMS-P는 인증 당시 기준에 맞는지를 평가하는 것으로, 그동안에도 사후 관리 강화 등 보완이 시급하다는 지적이 이어져 왔다. 개인정보위가 장관급 중앙행정기관으로 격상된 2020년 이후부터 이달까지 총 27개의 ISMS-P 인증 기업에서 34건의 정보 유출 사고가 일어났다. 논란이 커지자 정부는 지난 10월 심사 방식을 서류 중심에서 현장 중심으로 전환했다.

이번 쿠팡의 정보 유출은 특히 사고를 인지하기까지 5개월이나 걸렸다는 데 대한 비판이 거세다. 회사의 깜깜이 대응에 실망한 소비자들은 집단소송 등 단체 행동에 나설 움직임도 보이고 있다. 30일 쿠팡에 따르면 고객 계정과 관련된 개인정보 무단 접근은 지난 6월 24일부터 시작됐지만, 쿠팡은 이를 지난 18일에야 인지하게 됐다. 쿠팡은 그동안 공격자 입장에서 취약점을 찾는 ‘레드팀’과 선제적 위협 탐지·대응을 맡은 ‘고스트팀’을 운영하면서 수준 높은 보안 조직을 갖췄다고 홍보했지만 정작 개인정보 노출 기간이나 사고 발생 원인에 대해서는 ‘조사 중’이라며 함구하고 있다. 쿠팡 측은 “현재까지 2차 피해는 보고된 바 없다”고 했지만 소비자의 불안과 불신은 확산하고 있다. 민관합동조사단을 꾸리고 쿠팡 본사에서 현장 조사를 진행 중인 정부는 쿠팡 서버 인증 체계에 취약점이 있었다고 짚었다. 이날 배경훈 부총리 겸 과학기술정보통신부 장관은 정부서울청사에서 관계 부처 긴급회의를 열고 “공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 3000만개 이상 고객 계정의 고객명, 이메일, 발송지 전화번호 및 주소를 유출한 것으로 확인했다”고 설명했다. 정부는 회의에서 국가 배후 범죄 가능성에 대해서도 논의했으며, 쿠팡 서버에서 악성코드는 발견되지 않았다고 밝혔다. 쿠팡의 개인정보보호법상 안전조치의무 위반이 확인되면 엄정 제재할 방침이다. 이번 사고가 쿠팡의 내부 직원 소행이라는 추측이 나오면서 내부 보안 대책에 허점이 있었다는 비판도 피할 수 없게 됐다. 특히 수천만명의 정보가 새 나가는 동안 자체적으로 부정·불법 행위를 탐지해 내지 못할 정도로 쿠팡 서버의 모니터링 체계가 미흡했다는 지적이 나온다. 염흥열 순천향대 정보보호학과 명예교수는 “유출자가 직장 상사 등의 ID와 비밀번호를 확보해 타인의 접근 권한까지 가졌을 가능성이 있다”며 “서버 접속 과정에서 2차 인증이 필요한데도 1차 인증만으로 통과되는 등 인증 체계의 취약점이 추정된다”고 말했다. 쿠팡의 책임과 보상을 촉구하기 위한 소비자 움직임도 확산하고 있다. 지난 29일 네이버에 개설된 ‘쿠팡 정보유출 집단소송 카페’ 운영진은 “3370만명이 피해를 본 초유의 사태에 대해 법적 책임을 묻고 공동 대응 방안을 마련하겠다”며 출범 취지를 밝혔다. 카카오톡에서 ‘쿠팡 정보유출 피해자 모임’ 채팅방을 개설한 이모(49)씨도 “개인의 힘으로는 거대 기업인 쿠팡의 안일한 대응에 맞서기 어렵다고 판단했다”면서 “집단 분쟁 조정 신청이나 공동소송까지 고려하고 있다”고 설명했다. 손해배상 집단소송을 준비 중인 김경호 변호사(법무법인 호인)는 “핵심 쟁점은 쿠팡이 개인정보보호법 제29조에 따른 ‘안전조치의무’를 다했는지 여부”라면서 “해킹 기술이 고도화됐다 하더라도 쿠팡이 당시 기술 수준에서 요구되는 접근 통제, 접속 기록 보관, 암호화 조치 등을 소홀히 했다면 과실이 인정된다”고 주장했다.

국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡이 대규모 개인정보 유출 사고에 대해 공개 사과했다. 박대준 쿠팡 대표는 30일 오후 정부서울청사에서 기자들과 만나 이같은 뜻을 밝혔다. 박 대표는 “이번 사태로 인해 피해를 보신 쿠팡 고객들과 국민들에게 심려를 끼쳐드려 너무 죄송한 말씀과 사과의 말씀을 드린다”고 고개를 숙였다. 그러면서 이번 사태의 원인이 빠르게 규명될 수 있도록 노력하겠다는 뜻도 전달했다. 쿠팡은 지난 18일 약 4500개 계정의 개인정보가 무단으로 노출된 사실을 인지했다고 밝혔으나 후속 조사 과정에서 노출된 계정 수가 3370만개로 확인됐다. 고객 이름, 이메일 주소, 배송지 주소록에 입력된 정보 등이 유출됐지만 결제 정보와 로그인 정보 등은 유출 대상에 포함되지 않았다는 게 쿠팡 측 설명이다. 쿠팡은 지난 25일 정보통신망법상 정보통신망 침입 혐의로 ‘성명불상자’를 수사해달라고 경찰에 고소장을 제출한 바 있다. 회사도 이날 박 대표 명의의 사과문을 내고 “올해 6월 24일 시작된 쿠팡의 최근 사고에 유감을 표명한다”며 “국민 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과드린다”고 밝혔다. 이어 “올해 6월부터 최근까지 고객 정보에 대한 무단 접근이 발생했다”며 “무단 접근된 고객 정보는 이름과 이메일, 전화번호, 배송지 주소, 특정 주문 정보로 제한됐다”고 밝혔다. 쿠팡은 “모든 고객 정보를 보호하는 것이 가장 중요한 우선순위”라며 “종합적인 데이터 보호 및 보안 조치와 프로세스를 유지하고 있다”고 덧붙였다. 이어 “과학기술정보통신부와 개인정보보호위원회, 한국인터넷진흥원, 경찰청 등 민관합동조사단과 긴밀히 협력해 추가적인 피해 예방을 위해 최선을 다하겠다”고 밝혔다. 쿠팡은 “앞으로 이러한 사건으로부터 고객 데이터를 더 안전하게 보호할 수 있도록, 현재 기존 데이터 보안 장치와 시스템에 어떤 변화를 줄 수 있는지 검토하고 있다”고 부연했다.

3370만개에 달하는 쿠팡 고객 계정의 개인정보 유출은 외부 해킹이 아닌 내부자 소행으로 보이는 정황이 있는 것으로 전해졌다. 30일 연합뉴스 등에 따르면 서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아 개인정보 유출 사태에 대한 수사에 착수했다. 쿠팡의 고소장에 피고소인이 특정되지 않고 ‘성명불상자’로 기재됐지만, 내부에서 고객 정보를 비인가 조회한 주체가 쿠팡에 근무했던 중국 국적자로 추정된다고 연합뉴스는 보도했다. 이 직원이 외국 국적자인 데다 이미 쿠팡을 퇴사해 한국을 떠난 것으로 전해지면서 수사가 쉽지 않은 것 아니냐는 우려도 나온다. 쿠팡은 앞서 이번 정보 유출 사고가 해킹 등 외부 요인에 따른 것이 아님을 시사한 바 있다. 쿠팡은 정보 유출 피해 고객 계정이 4500여개라고 발표했던 지난 20일 당시 입장문에서 “고객 개인정보가 비인가 조회된 것으로 확인됐다. 쿠팡 시스템과 내부 네트워크망의 외부 침입 흔적은 없는 것으로 확인했다”고 밝혔다. 쿠팡은 현재까지 고객 계정 약 3370만개가 유출된 것을 확인했다. 이는 국내 성인 4명 중 3명의 정보에 해당하며 사실상 쿠팡 전체 계정에 맞먹을 것으로 추정되는 규모다. 유출 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보 등이다. 또 쿠팡은 정보 침탈 시도가 이미 5개월 전인 지난 6월 24일 시작된 것으로 보고 있다. SK텔레콤과 KT 등 최근 발생한 대규모 정보 유출 사건은 주로 외부 해킹에 의한 것이었으나, 이번 사태는 내부 직원의 소행으로 추정되면서 쿠팡의 내부 관리 허점이 드러났다는 지적이 나온다. 쿠팡의 이번 고객 정보 유출 규모는 지난 2011년 약 3500만명이 정보 유출 사태를 겪은 싸이월드·네이트 사례와 맞먹는다. 당시 이 사고는 해킹으로 인한 것이었다. 개인정보 보호 위반으로 개인정보보호위원회로부터 역대 최대 과징금(1348억원) 처분을 받은 SK텔레콤의 개인정보 유출 역시 해킹 사고였다. 한편 경찰 수사와 별개로 정부는 민간과 합동조사단을 꾸려 사고 원인 분석에 나선 상황이다. 과학기술정보통신부는 쿠팡 침해사고 및 개인정보 대규모 유출 사고와 관련해 민관합동조사단을 꾸려 사고 원인 분석 및 재발 방지 대책을 마련할 계획이다.