쿠팡의 대규모 개인정보 유출 사태가 확인되면서 소니나 야후 해킹에 버금가는 수준의 글로벌급 사고로 번질 수 있다는 우려가 커지고 있다. 단순한 이메일·비밀번호 유출을 넘어 집주소·배송기록·공동현관 비밀번호 등 생활형 정보까지 포함된 것으로 알려져 2차 피해 경고도 잇따르고 있다. 경찰, 피의자 IP 확보…협박 메일 2개 계정 추적 중 서울경찰청 사이버수사대는 1일 “쿠팡 측으로부터 서버 로그기록을 제출받아 분석 중이며 피의자가 사용한 IP를 확보해 추적 중”이라고 밝혔다. 경찰은 ‘회원들의 개인정보를 가지고 있다’며 협박성 이메일을 보낸 계정 2개에 대해서도 송신 경로를 추적하고 있다. 이메일은 지난달 16일과 25일 두 차례 발송됐고 동일인 소행인지 실제 유출자와 동일인인지 여부가 수사 중이다. 앞서 쿠팡에서 근무했던 중국 국적의 전직 직원이 고객 정보를 빼돌린 뒤 협박성 이메일을 보낸 정황이 포착됐다. 피의자가 이미 퇴사 후 출국한 상태로 확인되자 경찰은 국제 공조 수사에 나섰다. 30억 계정 털린 야후…역대 최대 유출 사건 2013~2014년 발생한 야후 해킹 사건은 역사상 최대 규모의 개인정보 유출로 기록됐다. 당시 약 30억 개 계정의 이름, 이메일 주소, 전화번호, 생년월일, 암호화된 비밀번호, 보안 질문·답변이 노출됐다. 이 사건은 2017년 야후의 매각 과정에도 직접적인 영향을 미쳐 인수 주체였던 버라이즌이 인수가를 3억 5000만 달러(약 4000억 원·모든 원화 환산은 사건 발생 당시 환율 기준) 낮췄다. 야후는 결국 피해자들과의 집단소송에서 총 1억 1750만 달러(약 1338억 원)의 합의금을 지급했다. 다만 전체 30억 계정이 아닌 실제 보상 대상은 약 1억 9400만 명 규모로 추정됐고 신청서를 제출한 이용자만 최대 358달러(약 40만 원) 한도 내에서 보상받았다. 소니 PSN 해킹…“기업 신뢰 무너진 상징적 사건” 2011년에는 일본 소니의 플레이스테이션 네트워크(PSN)가 해킹당해 7700만 명의 회원정보와 신용카드 정보가 유출됐다. 소니는 24일간 서비스를 중단하고 PSN 이용자 전원에게 무료 게임 2편과 30일 무료 이용권을 제공하는 등 사과·보상 조치를 취했다. 영국 당국은 정보보호법 위반으로 과징금을 부과했고 일본에서는 “기업 신뢰 붕괴”라는 여론이 확산되며 ‘소니 쇼크’라는 표현이 등장했다. 에퀴팩스·메리어트 등 글로벌 기업들도 잇단 유출 2017년 미국 신용평가사 에퀴팩스는 시스템 취약점을 방치한 채 수개월간 보안 경고를 무시하다가 1억 4700만 명의 신용정보가 유출됐다. 이 사건으로 경영진이 사퇴하고 미 의회 청문회가 열리는 등 파문이 컸다. 회사는 집단소송 합의로 총 7억 달러(약 8300억 원) 규모의 보상·과징금 패키지를 마련했으나 피해자 대부분은 애초 약속된 125달러 대신 10~20달러(약 1만~2만 원대)의 실보상만 받았다. 이듬해에는 세계 최대 호텔 체인 메리어트 인터내셔널의 예약망이 해킹돼 최대 5억 명의 투숙객 정보가 새나갔다. 영국 정보보호당국은 1840만 파운드(약 276억 원)의 과징금을 부과했고 미국·캐나다 등에서도 집단소송이 제기됐으며 피해 신고 고객을 대상으로 최대 100달러(약 12만 원) 수준의 보상이 제공됐다. 쿠팡, 외부 해킹 아닌 내부자 소행 정황쿠팡의 피해 규모(3370만 건)는 야후(30억)나 메리어트(5억)에 비하면 작지만 노출된 정보의 현실적 민감도는 훨씬 높다는 평가가 나온다. 특히 이름·주소·휴대전화번호뿐 아니라 공동현관 비밀번호, 배송 위치, 가족 구성 등 생활 공간과 연결된 정보가 포함돼 피해가 장기화될 가능성이 제기된다. 쿠팡은 “시스템 외부 침입 흔적은 없다”며 내부 비인가 조회로 인한 유출임을 시사했다. 보안 업계는 “이건 단순한 기술적 해킹이 아니라 내부 통제 실패”라며 기업의 데이터 접근 권한 관리가 허술했다는 점을 문제로 지적하고 있다. 집단소송, 실제 보상은 얼마나 받나 이번 사태를 계기로 해외 기업의 집단소송 보상 구조에도 관심이 쏠리고 있다. 미국 등에서는 대표 원고와 변호사단이 전체 피해자를 대신해 소송을 제기하며 개별 피해자는 변호사비를 직접 내지 않지만 전체 합의금의 20~40%가 수임료와 행정비용으로 공제된다. 결과적으로 1인당 보상액은 매우 낮아지는 구조다. 예를 들어 에퀴팩스 사건의 경우 총 7억 달러 중 약 25%가 변호사비로 빠졌고 피해자 대부분은 약속된 125달러 대신 10~20달러 수준만 받았다. 이처럼 집단소송은 금전적 보상보다 기업의 책임을 공식화하는 징벌적 절차라는 평가가 많다. 정부 조사 및 과징금 전망정부는 개인정보보호위원회와 과기정통부, 민간 보안 전문가들이 참여하는 민관합동조사단을 구성해 사고 원인을 조사 중이다. 개인정보보호법 개정으로 위반 시 전년도 매출의 최대 3%까지 과징금을 부과할 수 있어 쿠팡이 수천억 원대 제재를 받을 가능성도 제기된다. 앞서 2024년 SK텔레콤은 개인정보 유출로 역대 최대인 1347억 원의 과징금을 부과받았다. “사과보다 복구 중심 대응이 신뢰 회복의 출발점”쿠팡 사태는 한 기업의 보안 실패를 넘어 국민 대다수의 생활 정보가 얼마나 취약한지 드러낸 사건으로 평가된다. 데이터가 곧 신뢰가 되는 시대, 이번 사태가 ‘한국판 개인정보 위기’로 기록되지 않으려면 신속하고 투명한 대응이 필요하다.

쿠팡의 대규모 개인정보 유출 사태가 확인되면서 소니나 야후 해킹에 버금가는 수준의 글로벌급 사고로 번질 수 있다는 우려가 커지고 있다. 단순한 이메일·비밀번호 유출을 넘어 집주소·배송기록·공동현관 비밀번호 등 생활형 정보까지 포함된 것으로 알려져 2차 피해 경고도 잇따르고 있다. 경찰, 피의자 IP 확보…협박 메일 2개 계정 추적 중 서울경찰청 사이버수사대는 1일 “쿠팡 측으로부터 서버 로그기록을 제출받아 분석 중이며 피의자가 사용한 IP를 확보해 추적 중”이라고 밝혔다. 경찰은 ‘회원들의 개인정보를 가지고 있다’며 협박성 이메일을 보낸 계정 2개에 대해서도 송신 경로를 추적하고 있다. 이메일은 지난달 16일과 25일 두 차례 발송됐고 동일인 소행인지 실제 유출자와 동일인인지 여부가 수사 중이다. 앞서 쿠팡에서 근무했던 중국 국적의 전직 직원이 고객 정보를 빼돌린 뒤 협박성 이메일을 보낸 정황이 포착됐다. 피의자가 이미 퇴사 후 출국한 상태로 확인되자 경찰은 국제 공조 수사에 나섰다. 30억 계정 털린 야후…역대 최대 유출 사건 2013~2014년 발생한 야후 해킹 사건은 역사상 최대 규모의 개인정보 유출로 기록됐다. 당시 약 30억 개 계정의 이름, 이메일 주소, 전화번호, 생년월일, 암호화된 비밀번호, 보안 질문·답변이 노출됐다. 이 사건은 2017년 야후의 매각 과정에도 직접적인 영향을 미쳐 인수 주체였던 버라이즌이 인수가를 3억 5000만 달러(약 4000억 원·모든 원화 환산은 사건 발생 당시 환율 기준) 낮췄다. 야후는 결국 피해자들과의 집단소송에서 총 1억 1750만 달러(약 1338억 원)의 합의금을 지급했다. 다만 전체 30억 계정이 아닌 실제 보상 대상은 약 1억 9400만 명 규모로 추정됐고 신청서를 제출한 이용자만 최대 358달러(약 40만 원) 한도 내에서 보상받았다. 소니 PSN 해킹…“기업 신뢰 무너진 상징적 사건” 2011년에는 일본 소니의 플레이스테이션 네트워크(PSN)가 해킹당해 7700만 명의 회원정보와 신용카드 정보가 유출됐다. 소니는 24일간 서비스를 중단하고 PSN 이용자 전원에게 무료 게임 2편과 30일 무료 이용권을 제공하는 등 사과·보상 조치를 취했다. 영국 당국은 정보보호법 위반으로 과징금을 부과했고 일본에서는 “기업 신뢰 붕괴”라는 여론이 확산되며 ‘소니 쇼크’라는 표현이 등장했다. 에퀴팩스·메리어트 등 글로벌 기업들도 잇단 유출 2017년 미국 신용평가사 에퀴팩스는 시스템 취약점을 방치한 채 수개월간 보안 경고를 무시하다가 1억 4700만 명의 신용정보가 유출됐다. 이 사건으로 경영진이 사퇴하고 미 의회 청문회가 열리는 등 파문이 컸다. 회사는 집단소송 합의로 총 7억 달러(약 8300억 원) 규모의 보상·과징금 패키지를 마련했으나 피해자 대부분은 애초 약속된 125달러 대신 10~20달러(약 1만~2만 원대)의 실보상만 받았다. 이듬해에는 세계 최대 호텔 체인 메리어트 인터내셔널의 예약망이 해킹돼 최대 5억 명의 투숙객 정보가 새나갔다. 영국 정보보호당국은 1840만 파운드(약 276억 원)의 과징금을 부과했고 미국·캐나다 등에서도 집단소송이 제기됐으며 피해 신고 고객을 대상으로 최대 100달러(약 12만 원) 수준의 보상이 제공됐다. 쿠팡, 외부 해킹 아닌 내부자 소행 정황쿠팡의 피해 규모(3370만 건)는 야후(30억)나 메리어트(5억)에 비하면 작지만 노출된 정보의 현실적 민감도는 훨씬 높다는 평가가 나온다. 특히 이름·주소·휴대전화번호뿐 아니라 공동현관 비밀번호, 배송 위치, 가족 구성 등 생활 공간과 연결된 정보가 포함돼 피해가 장기화될 가능성이 제기된다. 쿠팡은 “시스템 외부 침입 흔적은 없다”며 내부 비인가 조회로 인한 유출임을 시사했다. 보안 업계는 “이건 단순한 기술적 해킹이 아니라 내부 통제 실패”라며 기업의 데이터 접근 권한 관리가 허술했다는 점을 문제로 지적하고 있다. 집단소송, 실제 보상은 얼마나 받나 이번 사태를 계기로 해외 기업의 집단소송 보상 구조에도 관심이 쏠리고 있다. 미국 등에서는 대표 원고와 변호사단이 전체 피해자를 대신해 소송을 제기하며 개별 피해자는 변호사비를 직접 내지 않지만 전체 합의금의 20~40%가 수임료와 행정비용으로 공제된다. 결과적으로 1인당 보상액은 매우 낮아지는 구조다. 예를 들어 에퀴팩스 사건의 경우 총 7억 달러 중 약 25%가 변호사비로 빠졌고 피해자 대부분은 약속된 125달러 대신 10~20달러 수준만 받았다. 이처럼 집단소송은 금전적 보상보다 기업의 책임을 공식화하는 징벌적 절차라는 평가가 많다. 정부 조사 및 과징금 전망정부는 개인정보보호위원회와 과기정통부, 민간 보안 전문가들이 참여하는 민관합동조사단을 구성해 사고 원인을 조사 중이다. 개인정보보호법 개정으로 위반 시 전년도 매출의 최대 3%까지 과징금을 부과할 수 있어 쿠팡이 수천억 원대 제재를 받을 가능성도 제기된다. 앞서 2024년 SK텔레콤은 개인정보 유출로 역대 최대인 1347억 원의 과징금을 부과받았다. “사과보다 복구 중심 대응이 신뢰 회복의 출발점”쿠팡 사태는 한 기업의 보안 실패를 넘어 국민 대다수의 생활 정보가 얼마나 취약한지 드러낸 사건으로 평가된다. 데이터가 곧 신뢰가 되는 시대, 이번 사태가 ‘한국판 개인정보 위기’로 기록되지 않으려면 신속하고 투명한 대응이 필요하다.

아산페이로 주고받는 연말 선물시 “선물도 하고 지역경제도 살리고” 충남 아산시는 지역화폐 아산페이의 ‘선물하기’ 기능 송금 한도를 12월 31일까지 1인당 최대 50만원까지 한시적으로 상향 운영한다고 1일 밝혔다. 시 관계자는 “가족·친지·지인 간 연말 선물을 아산페이로 대체하도록 유도해 지역 내 소비를 확대하고, 소상공인 매출을 높이기 위한 것”이라고 설명했다. 아산페이 선물하기 서비스는 지역화폐 통합플랫폼인 ‘지역사랑상품권 chak(착) 앱’을 통해 이용할 수 있다. 사용자는 스마트폰에 앱을 설치한 뒤 앱 내 ‘선물하기’ 메뉴에서 받는 사람 휴대전화 번호를 입력하고 선물 금액(최대 50만 원)을 입력한 뒤 전송을 선택하면 된다. 선물을 받은 시민은 별도 수수료 없이 아산페이를 받아 관내 가맹점에서 사용할 수 있다. 시는 한도 상향 조치와 함께 아산페이 18% 혜택(10% 선할인 + 8% 캐시백)이 맞물려 이용자가 체감하는 혜택을 한층 높일 것으로 전망했다. 유종희 지역경제과장은 “안 쓰면 손해, 쓰면 소상공인을 살리는 착한 소비 수단인 아산페이를 연말 선물에도 많이 활용해 주시길 바란다”고 말했다.

쿠팡이 퇴사한 직원에 의해 3370만명의 개인정보가 유출된 사건과 관련해 경찰이 피의자의 IP를 확보해 추적하고 있다고 1일 밝혔다. 서울경찰청 관계자는 이날 정례 간담회에서 “현재 쿠팡 측으로부터 서버 로그기록을 제출받아서 분석 중”이라며 “피의자가 범행에 사용한 IP를 확보해 추적 중”이라고 말했다. 경찰은 또한 “회원들의 개인정보를 가지고 있다”며 협박 이메일을 보낸 계정 2개도 추적하고 있다. 경찰에 따르면 지난달 16일 쿠팡 고객들에게, 이어 25일 쿠팡 고객센터 이메일 계정으로 협박 메일이 발송됐다. 경찰은 두 차례의 메일을 보낸 사람이 동일인인지, 또 쿠팡에서 개인정보를 유출해간 사람과 동일인인지를 파악 중이다. 피의자가 쿠팡에서 퇴사한 중국인으로 알려진 가운데 경찰은 “여러 가능성이 있어 제출된 자료를 바탕으로 분석하고 있다”고 설명했다. 쿠팡에서 근무했던 중국 국적 직원이 고객 정보를 유출했다는 의혹에 대해 서울청 관계자는 “여러 가능성이 있어 제출된 자료를 바탕으로 분석하고 있다”며 “(유력 용의자가 중국 국적일 가능성을) 포함해 수사 중이고 국적에 대해서는 말씀드리기 어렵다”라고 밝혔다. 이번에 개인정보가 유출된 3370만명은 사실상 쿠팡 전체 가입 계정 전체에 달하는 규모이며, 성인 4명 중 3명에 육박한다. 가입자의 이름과 전화번호, 주소 등 쉽게 바꿀 수 없는 인적 사항뿐 아니라 가입자들이 주문한 내역까지 유출된 탓에 피해 범위와 파장이 크다고 전문가들은 분석한다. 가입자들의 집 현관 앞까지 도달하는 택배 배송과 관련된 정보는 물론 가입자의 가족 구성원 및 생활 패턴을 들여다볼 수 있는 내밀한 정보까지 뚫린 셈이다. 가입자들은 쿠팡 탈퇴는 물론 아파트 공동현관에서 사용해왔던 출입 비밀번호를 바꾸는 등 대응에 나서고 있지만 이미 속수무책이라는 지적이 나온다. 7년 넘게 쿠팡을 이용해왔던 김모(39)씨는 “사실상 속옷 사이즈 관련 정보까지 넘어간 셈”이라며 “인제 와서 쿠팡을 탈퇴해봤자 늦은 것 같다. 내 개인정보는 해외에서 공공재처럼 떠돌아다닐 것”이라고 토로했다. 업계에서는 쿠팡이 수천억원대의 과징금 철퇴를 맞을 수 있다는 관측이 나온다. 2023년 개정된 개인정보보호법에 따르면 법 위반 시 전년도 전체 매출액의 최대 3%까지 과징금을 부과할 수 있다. 지난해 발생한 SK텔레콤의 개인정보 유출 사고와 관련해 SK텔레콤은 역대 최대 규모인 1347억 9000만원의 과징금을 부과받았다.

쿠팡에서 3370만명의 개인정보를 대량 유출한 쿠팡 전 직원이 쿠팡에서 인증 관련 업무를 했다는 주장이 나왔다. 1일 정보통신기술(ICT) 업계와 최민희 국회 과학기술정보방송통신위원장에 따르면 쿠팡에서 고객 정보를 빼돌린 전 직원은 쿠팡에서 인증 관련 담당자였던 것으로 전해졌다. 해당 직원은 퇴사 이후 개인정보를 유출하는 과정에서 ‘인증 토큰’과 관련된 보안 취약점을 노린 것으로 추정된다. 인증 토큰은 로그인에 필요한 ‘일회용 출입증’이며, 서명키는 출입증을 찍어주는 도장 역할을 한다. 최 의원실은 “출입증이 있어도 출입을 허가하는 인증 도장이 없다면 출입할 수 없다”면서 “하지만 서명 키를 오래 방치해서 누가 계속해서 도장인 서명 키를 몰래 찍어서 쓴 것과 다름없다”고 설명했다. 인증 토큰은 생성과 폐기 주기가 비교적 짧고, 이를 생성하기 위해 서명키가 필요하다. 최 의원실이 쿠팡으로부터 받은 자료에 따르면 쿠팡은 “토큰 서명키 유효 인증 기간과 관련해 5~10년으로 설정하는 사례가 많다는 걸로 알고 있다”라면서 “로테이션 기간이 길며, 키 종류에 따라 매우 다양하다”고 설명했다. 쿠팡 로그인 시스템상 토큰을 생성하고 즉시 폐기되는 상황임에도, 토큰 생성에 필요한 서명 정보를 담당 직원이 퇴사할 때 삭제하거나 갱신하지 않아 내부 직원이 악용했다는 게 의원실의 분석이다. 의원실은 “서명키 갱신은 가장 기본적인 내부 절차임에도, 쿠팡은 이를 지키지 않았다”며 “장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증 체계를 방치한 쿠팡의 조직적·구조적 문제의 결과”라고 지적했다. 앞서 서울경찰청 사이버수사대는 지난 25일 쿠팡으로부터 이번 사태에 대한 고소장을 받아 수사에 착수했다. 쿠팡 측과 경찰은 개인정보를 유출한 사람에 대해 밝히지 않았지만, 쿠팡에 근무했던 중국 국적자가 내부에서 고객 정보를 비인가 조회했으며 현재 한국을 떠난 상태인 것으로 알려졌다. 쿠팡은 현재까지 고객 계정 약 3370만개가 유출된 것을 확인했는데, 이는 사실상 쿠팡 전체 가입자에 맞먹는 규모다. 유출 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보 등이다.

나경원 국민의힘 의원이 국내 전자상거래 1위 업체인 쿠팡에서 3000만건이 넘는 대규모 개인정보 유출 사고가 발생한 것과 관련, “이재명 대통령은 지금 즉시 중국 정부에 (유출 용의자) 체포와 국내 송환을 공식 요구해야 한다”고 주장했다. 나 의원은 지난 30일 자신의 페이스북에 올린 글에서 “쿠팡 고객 3370만명의 개인정보 유출 용의자인 중국인 쿠팡 전 직원이 중국으로 달아났다고 한다”며 이같이 말했다. 그는 “이름, 전화번호, 주소, 이메일, 일부 주문 내역까지 포함한 3370만 개인정보가 유출됐다. 싸이월드·SK텔레콤 사태를 뛰어넘는 역대급 개인정보 참사”라고 언급한 뒤 “중국의 수사력과 통제력을 감안하면 의지만 있으면 주요 용의자의 소재 파악과 신병 확보는 하루면 가능하다”고 했다. 나 의원은 이어 “이 대통령이 이 정도 사건에도 중국 정부에 정식 수사·체포·송환을 분명하게 요구하지 못한다면, 이 정권은 국민 기본권보다 중국 눈치를 먼저 보는 ‘친중 쎄쎄 정권’이라는 것을 자인하는 것”이라고 강조했다. 그는 아울러 “또한 정부는 국민의 2차 피해 방지 종합 대책도 즉시 마련해야 한다”며 “피해 규모 축소·은폐 의혹까지 자초한 쿠팡에도 이에 상응하는 책임을 반드시 물어야 한다”고 덧붙였다. 한편 쿠팡 고객 개인정보 유출 사고를 수사하는 경찰은 일각에서 쿠팡에서 근무했던 중국 국적 직원이 고객 정보를 유출했다는 의혹과 관련 신중한 입장인 것으로 전해졌다. 경찰은 지난달 21일 이 사건에 대해 입건 전 조사(내사)에 착수했으며, 25일 정보통신망법상 정보통신망 침입 혐의로 ‘성명불상자’를 수사해달라는 쿠팡의 고소장을 접수해 수사로 전환했다. 28일엔 쿠팡 측 고소인 조사를 마쳤다. 유재성 경찰청장 직무대행은 이날(30일) 정부서울청사에서 열린 관계 부처 긴급 대책회의에서 “다수의 국민이 피해를 입은 사안인 만큼 철저한 수사를 통해 진상을 규명하고 피의자를 신속히 검거하겠다”고 약속했다. 박대준 쿠팡 대표는 이날 관계부처 긴급 대책회의 출석 전 기자들과 만나 “이번 사태로 인해 피해를 보신 쿠팡 고객들과 국민들께 심려를 끼쳐드려 너무 죄송한 말씀과 사과의 말씀을 드린다”며 고개를 숙였다. 박 대표는 일각에서 제기된 ‘중국 국적 직원의 개인정보 유출’ 의혹과 관련해서는 “수사 영역이고 수사에 적극 협조 중”이라며 “그 얘기를 하는 것 자체가 수사에 영향을 주는 만큼 말씀드리기 어렵다”고 말을 아꼈다.

국내 최대 온라인 유통업체인 쿠팡에서 벌어진 3400만건 고객 정보 유출 사태의 파장이 일파만파다. 올 들어 금융사와 통신사 등에서 유사 사고가 잇따라 터져 가뜩이나 국민 불안이 꼭대기까지 차오른 터에 전 국민을 패닉으로 몰아넣은 최악의 사태가 아닐 수 없다. 국민 4명 중 3명이 해당하는 방대한 피해 규모가 무엇보다 충격적이다. 더욱 기막힌 것은 해외 서버를 통한 비정상 접속이 지난 6월 말부터 계속됐는데도 회사가 이를 5개월간 전혀 알아채지도 못했다는 사실이다. 로켓배송 등 속도와 혁신을 앞세워 초고속 성장한 거대 기업이 정작 디지털 사회의 기본적 신뢰 기반인 고객 정보 보호에는 한없이 굼뜨고 무능했다. 배신감과 분노를 넘어 허탈감까지 든다. 쿠팡은 지난 29일 “고객 계정 약 3370만개가 무단으로 노출된 것으로 확인됐다”면서 “해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정한다”고 밝혔다. 노출된 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문 정보이며 결제 정보와 신용카드 번호는 포함되지 않았다는 것이 쿠팡 측의 주장이다. 그러나 쿠팡은 지난 20일 개인정보보호위원회에 처음 신고할 당시 피해 계정을 4500여개로 보고했다가 9일 만에 사실상 전 회원 규모로 피해 범위를 대폭 수정했다. 앞으로 조사 결과에 따라 피해 규모가 더 늘어날 가능성도 배제할 수 없다. 정부는 민관 합동조사단을 꾸려 사고 원인 분석과 재발 방지 대책 마련에 나섰다. 유출 정보를 악용한 스미싱·보이스피싱 등 2차 피해에 대한 불안이 큰 만큼 이를 차단하기 위한 다각적 대응이 무엇보다 시급하다. 쿠팡은 이번 사태를 외부 해킹이 아닌 내부 직원의 소행으로 보고 경찰에 고소장을 제출했다. 만일 내부자 범죄가 맞다면 조직 관리 부실 책임은 더욱 무거울 수밖에 없다. 기업의 안이한 보안 의식 탓에 국민 전체가 잠재적 범죄 위험에 노출된 만큼 그에 상응하는 책임을 져야 한다. 쿠팡은 박대준 대표의 사과문을 통해 합동조사단과 긴밀히 협력하고 추가 피해 예방에 최선을 다하겠다고 했다. 정부가 “쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 고객 정보가 유출됐다”고 확인한 만큼 실질적인 피해 보상과 재발 방지 대책이 뒤따라야 한다. 정부 역시 이번 사태를 엄중하게 받아들여야 한다. 쿠팡은 국가가 인증한 ‘정보보호 및 개인정보보호 관리체계 인증’(ISMS-P)을 취득하고도 대규모 유출 사고를 냈다. 정부와 기업 모두 보안 의식을 획기적으로 개선하지 않는다면 유사 사고는 언제든 되풀이될 수밖에 없다.

6월 24일 발생… 11월 18일에 인지“정상적 로그인 없이 고객정보 유출”“서버 보안인증 취약점 악용해 공격”정부, 국가 배후 범죄 가능성도 논의일부 집단소송 카페·단톡방 개설도 이번 쿠팡의 정보 유출을 두고 특히 사고를 인지하기까지 5개월이나 걸렸다는 데 대한 비판이 거세다. 회사의 깜깜이 대응에 실망한 소비자들은 집단소송 등 단체 행동에 나설 움직임도 보이고 있다. 30일 쿠팡에 따르면 고객 계정과 관련된 개인정보 무단 접근은 지난 6월 24일부터 시작됐지만 쿠팡은 이를 지난 18일에야 인지하게 됐다. 쿠팡은 그동안 공격자 입장에서 취약점을 찾는 ‘레드팀’과 선제적 위협 탐지·대응을 맡는 ‘고스트팀’을 운영하면서 수준 높은 보안 조직을 갖췄다고 홍보했지만, 정작 개인정보 노출 기간이나 사고 발생 원인에 대해서는 ‘조사 중’이라며 함구하고 있다. 쿠팡 측은 “현재까지 2차 피해는 보고된 바 없다”고 했지만 소비자의 불안과 불신은 확산하고 있다. 민관합동조사단을 꾸리고 쿠팡 본사에서 현장 조사를 진행 중인 정부는 쿠팡 서버 인증 체계에 취약점이 있었다고 짚었다. 이날 배경훈 부총리 겸 과학기술정보통신부 장관은 정부서울청사에서 관계 부처 긴급회의를 열고 “공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 3000만개 이상 고객 계정의 고객명, 이메일, 발송지 전화번호 및 주소를 유출한 것으로 확인했다”고 설명했다. 정부는 회의에서 국가 배후 범죄 가능성에 대해서도 논의했으며 쿠팡 서버에서 악성 코드는 발견되지 않았다고 밝혔다. 쿠팡의 개인정보보호법상 안전조치의무 위반이 확인되면 엄정 제재할 방침이다. 이번 사고가 쿠팡의 내부 직원 소행이라는 추측이 나오면서 내부 보안 대책에 허점이 있었다는 비판도 피할 수 없게 됐다. 특히 수천만명의 정보가 새 나가는 동안 자체적으로 부정·불법행위를 탐지해 내지 못할 정도로 쿠팡 서버의 모니터링 체계가 미흡했다는 지적이 나온다. 염흥열 순천향대 정보보호학과 명예교수는 “유출자가 직장 상사 등의 ID와 비밀번호를 확보해 타인의 접근 권한까지 가졌을 가능성이 있다”며 “서버 접속 과정에서 2차 인증이 필요한데도 1차 인증만으로 통과되는 등 인증 체계에 취약점이 있는 것으로 추정된다”고 말했다. 쿠팡의 책임과 보상을 촉구하기 위한 소비자 움직임도 확산하고 있다. 지난 29일 네이버에 개설된 ‘쿠팡 정보유출 집단소송 카페’ 운영진은 “3370만명이 피해를 본 초유의 사태에 대해 법적 책임을 묻고 공동 대응 방안을 마련하겠다”며 출범 취지를 밝혔다. 카카오톡에서 ‘쿠팡 정보유출 피해자 모임’ 채팅방을 개설한 이모(49)씨도 “개인의 힘으로는 거대 기업인 쿠팡의 안일한 대응에 맞서기 어렵다고 판단했다”면서 “집단분쟁조정 신청이나 공동소송까지 고려하고 있다”고 설명했다. 손해배상 집단소송을 준비 중인 김경호 변호사(법무법인 호인)는 “핵심 쟁점은 쿠팡이 개인정보보호법 제29조에 따른 안전조치의무를 다했는지 여부”라면서 “해킹 기술이 고도화됐다 하더라도 쿠팡이 당시 기술 수준에서 요구되는 접근 통제, 접속 기록 보관, 암호화 조치 등을 소홀히 했다면 과실이 인정된다”고 주장했다.

中업체, 고객 타기팅 정교화 우려SKT 사태보다 심각한 피해 예상배송지는 계정보다 더 많이 유출주소 이용 실제 범죄도 대응해야 쿠팡에서 국내 인구 4분의3에 이르는 약 3370만개의 고객 계정 정보가 유출되는 사고가 발생한 가운데 앞선 SK텔레콤 유심(USIM·가입자 식별 모듈) 정보 노출과 KT의 무단 소액결제 및 해킹 사태 때보다 피해가 훨씬 심각할 수 있다는 우려가 나왔다. 염흥열 순천향대 정보보호학과 명예교수는 30일 서울신문과의 통화에서 “통신 3사는 시장을 나눠 갖기에 한 기업에서 고객 정보 유출 사고가 발생해도 전체 국민이 피해를 보는 건 아니지만 쿠팡은 국민 대다수가 이용하고 있는 만큼 정보 유출 사고로서는 역대급일 것”이라고 설명했다. 염 교수는 특히 2차, 3차 피해 가능성이 통신사의 개인정보 유출 사고보다 심각하다고 설명했다. SK텔레콤의 해킹 사건은 탈취된 유심 정보가 복제폰을 만드는 데 악용될 수 있어 유심을 교체하는 조치가 필요했다면, 쿠팡에서 유출된 정보의 경우 온라인 범죄는 물론 실제 범죄에 쓰일 가능성에도 대비해야 한다는 것이다. 염 교수는 “전화번호와 주소가 같은 데이터베이스 안에 매핑돼 있어 전화번호만 알면 주소를 알 수 있다. 주소에 접근해 물리적 범행을 할 가능성도 존재하기에 추가 범행을 막을 조치가 필요하다”고 말했다. 김명주 서울여대 지능정보보호학부 교수는 “국내 소비자가 알리바바나 테무 등 중국 이커머스를 사용하지 않고 쿠팡을 택한 가장 큰 이유는 중국에 개인정보가 유출되는 걸 우려하기 때문인데, 이번 사태로 어떤 제품을 샀는지 기질·성향을 나타내는 개인 식별 정보가 넘어가게 될 경우 중국 이커머스가 고객 타기팅을 더 정교화하는 데 쓰일 수 있다”고 지적했다. 이 경우 쿠팡뿐 아니라 국내 이커머스 산업 전체가 타격을 받을 수도 있다. 김 교수는 “다크웹을 이용해 다른 사이트에서 유출된 정보와 결합하면 새로운 범죄 가능성이 커진다”며 “이 경우 2차 피해가 즉각 일어나지 않고 소비자 경계가 느슨해진 뒤에 발생하기 때문에 쿠팡 때문인지 알 수 없게 되는 등 원인과 규모를 특정하기도 어려워 소비자 피해는 더 커질 수 있다”고 경고했다. 특히 배송지 정보는 유출된 고객 계정 수인 3370만개보다 더 많이 유출됐을 가능성도 제기된다. 쿠팡에서는 주문을 하고 본인이 수령하는 경우뿐 아니라 지인·가족에게 보내기 위해 1인당 2~3개 이상의 배송지 정보를 입력했을 가능성이 높기 때문이다. 정보가 유출되고도 통지를 받지 못한 사람이 상당할 것이라는 전망도 나온다.

쿠팡의 대규모 개인정보 유출로 보이스피싱·스미싱(문자로 악성 링크 클릭을 유도하는 피싱 공격) 등 2차 범죄에 대한 경계가 필요한 상황이다. 30일 한국인터넷진흥원(KISA)과 전문가 조언 등을 토대로 상황별 행동 요령을 정리했다. Q. 문자메시지로 ‘피해 보상 신청’ 혹은 ‘환불’ 링크를 받았다면. A. 정보 유출 시 가장 흔한 2차 피해는 피해 보상 신청이나 환불 등을 빌미로 악성 링크를 보내는 스미싱이다. 출처가 불분명한 사이트 주소(링크)가 포함된 문자메시지를 받은 경우 클릭하지 말고 즉시 삭제해야 한다. 카카오톡 채널 ‘보호나라’를 활용하면 스미싱·피싱 의심 사이트를 조회하고 신고할 수 있다. 유출 사실 통보나 보상·환불 절차 안내를 가장해 전화로 원격 제어 앱을 설치하라고 하는 식의 보이스피싱 수법도 조심해야 한다. 기관이나 금융회사는 전화나 문자로 앱 설치나 사이트 접속을 요구하지 않는다. Q. 모바일 결제 피해를 막으려면. A. 유출된 개인정보가 모바일 결제나 휴대전화 개통·계좌 개설에 무단으로 사용될 위험도 있다. 이동통신사 고객센터를 통해 소액결제 내역을 수시로 확인하고 이상이 있으면 경찰에 신고해야 한다. 아울러 명의도용 방지 서비스나 비대면 계좌 개설 안심 차단 서비스 등을 신청하면 추가 피해를 줄일 수 있다. Q. 해외 직구를 자주 한다면. A. 쿠팡이 유출된 개인정보 항목에 ‘일부 주문 정보’가 있었다고 밝히면서 관세청 전자통관시스템을 통해 개인통관고유부호를 재발급받는 소비자들도 있다. 누군가 자신의 고유부호를 이용해 해외에서 사기 주문을 할 수 있다는 우려 때문이다. 개인통관고유부호는 세관 통관절차를 위해 사용되는 개인 식별번호로, 한 사람당 하나의 부호가 부여된다. 쿠팡 측은 “현재까지 확인된 사항에 따르면 개인통관부호는 노출되지 않았다”고 밝혔다. Q. 내 정보가 다크웹에서 유통되는지 확인하려면. A. 개인정보보호위원회가 운영하는 ‘개인정보포털’을 이용하면 ‘다크웹’ 등 음성화 사이트에서 자신의 정보가 유통되고 있는지 확인할 수 있다.

3370만명 고객정보 무단 노출 확인중국 국적 전 직원이 정보 빼돌린 듯카드·통신 사고 이어 불안감 확산 국내 1위 온라인 유통 기업인 쿠팡에서 우리나라 국민의 절반이 넘는 약 3370만명의 고객 계정 정보가 무단으로 노출되는 초유의 사고가 벌어지면서 국민 불안이 소위 포비아(공포증) 수준으로 치닫고 있다. 역대 최대 규모의 고객 정보 유출인 데다 쿠팡이 5개월간 지속된 개인정보 탈취 시도조차 인지하지 못했기 때문이다. 이번 사고가 중국 국적의 내부자 소행이라는 언급도 나온다. 전문가들은 이 사태가 스미싱(문자로 악성 링크 클릭을 유도하는 피싱 공격)이나 보이스피싱 등 추가 피해로 연결될 가능성을 경고했다. 쿠팡이 고객 계정의 이름, 이메일, 배송지 주소록(입력한 이름·전화번호·주소), 일부 주문 정보가 노출된 사실을 지난 29일 확인한 가운데 박대준 쿠팡 대표는 30일 정부서울청사에서 “국민 여러분께 불편을 끼쳐 드려 진심으로 사과드린다”며 첫 사과에 나섰다. 쿠팡은 지난 18일 약 4500개 계정의 개인정보가 노출된 사실을 인지했다고 밝혔지만 후속 조사에서 7500배나 많은 3370만개가 유출된 것으로 확인됐다. 쿠팡 구매 이력이 있는 고객 수(2470만명)보다 900만명이나 많고, 역대 최대 과징금인 1348억원 처분을 받은 SK텔레콤의 개인정보 유출 규모(2324만명)도 크게 웃돈다. 쿠팡은 지난 6월 24일부터 5개월 동안 지속된 개인정보 탈취 시도를 전혀 파악하지 못했다는 점에서도 책임을 피하기 어려워 보인다. 여기에 중국 국적의 전 쿠팡 직원이 고객 정보를 유출했다는 의혹도 제기됐다.  경찰은 쿠팡으로부터 서버 기록 등 이번 사건과 관련한 자료를 임의 제출받아 분석 중이다. 경찰은 “모든 가능성을 열어 두고 절차에 따라 수사하고 있다”고 전했다. 다만 쿠팡 측은 내부 직원 소행 가능성에 대해선 확인이 어렵다는 입장이다. 쿠팡은 이날 오후 웹사이트와 애플리케이션에 게재한 사과문에서 “결제 정보, 신용카드 번호, 로그인 정보는 노출되지 않아 고객이 계정 관련해 조치를 취할 필요는 없다”고 밝혔다. 하지만 전문가들은 이번 사고가 스미싱이나 보이스피싱 등 추가 피해로 연결될 가능성을 경고한다. 한국인터넷진흥원(KISA)은 ‘피해 보상’이나 ‘피해 사실 조회’, ‘환불’ 등의 키워드로 피해 기업(쿠팡)을 사칭하는 스미싱이나 보이스피싱 등에 주의할 것을 권고했다. 김기형 아주대 사이버보안학과 교수는 “최근 주문 건에 문제가 있다며 주소나 연락처를 다시 확인하라는 식의 피싱이 대표적”이라면서 “문자, 전화, 카카오톡 등 어떤 채널에서도 모르는 링크는 클릭하지 않는 것이 중요하다”고 말했다. 정보 유출 경로가 오리무중인 상황에서 피해를 본 소비자들은 분통을 터뜨리고 있다. 빠른 배송 때문에 쿠팡을 애용했다는 구정순(62)씨는 이번 사태가 터지자마자 쿠팡을 탈퇴했다. 구씨는 “회사가 정확한 진단이나 대책을 내놓지 못해 정보가 유출된 피해자만 발을 동동 구르고 있다”며 “‘전화번호는 노출됐는데 카드 정보와 비밀번호는 노출되지 않았다’는 회사의 설명을 어떻게 믿겠느냐”고 말했다. 일부 고객 사이에서는 공동 현관 비밀번호도 털렸을 수 있다는 불안감이 높은 상황이다. 쿠팡의 경우 음식이나 택배 배송 요청란에 아파트 공동 현관 비밀번호를 쓰는 경우가 많고 이를 배송 정보로 관리하기 때문이다.

이번 쿠팡의 정보 유출은 특히 사고를 인지하기까지 5개월이나 걸렸다는 데 대한 비판이 거세다. 회사의 깜깜이 대응에 실망한 소비자들은 집단소송 등 단체 행동에 나설 움직임도 보이고 있다. 30일 쿠팡에 따르면 고객 계정과 관련된 개인정보 무단 접근은 지난 6월 24일부터 시작됐지만, 쿠팡은 이를 지난 18일에야 인지하게 됐다. 쿠팡은 그동안 공격자 입장에서 취약점을 찾는 ‘레드팀’과 선제적 위협 탐지·대응을 맡은 ‘고스트팀’을 운영하면서 수준 높은 보안 조직을 갖췄다고 홍보했지만 정작 개인정보 노출 기간이나 사고 발생 원인에 대해서는 ‘조사 중’이라며 함구하고 있다. 쿠팡 측은 “현재까지 2차 피해는 보고된 바 없다”고 했지만 소비자의 불안과 불신은 확산하고 있다. 민관합동조사단을 꾸리고 쿠팡 본사에서 현장 조사를 진행 중인 정부는 쿠팡 서버 인증 체계에 취약점이 있었다고 짚었다. 이날 배경훈 부총리 겸 과학기술정보통신부 장관은 정부서울청사에서 관계 부처 긴급회의를 열고 “공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 3000만개 이상 고객 계정의 고객명, 이메일, 발송지 전화번호 및 주소를 유출한 것으로 확인했다”고 설명했다. 정부는 회의에서 국가 배후 범죄 가능성에 대해서도 논의했으며, 쿠팡 서버에서 악성코드는 발견되지 않았다고 밝혔다. 쿠팡의 개인정보보호법상 안전조치의무 위반이 확인되면 엄정 제재할 방침이다. 이번 사고가 쿠팡의 내부 직원 소행이라는 추측이 나오면서 내부 보안 대책에 허점이 있었다는 비판도 피할 수 없게 됐다. 특히 수천만명의 정보가 새 나가는 동안 자체적으로 부정·불법 행위를 탐지해 내지 못할 정도로 쿠팡 서버의 모니터링 체계가 미흡했다는 지적이 나온다. 염흥열 순천향대 정보보호학과 명예교수는 “유출자가 직장 상사 등의 ID와 비밀번호를 확보해 타인의 접근 권한까지 가졌을 가능성이 있다”며 “서버 접속 과정에서 2차 인증이 필요한데도 1차 인증만으로 통과되는 등 인증 체계의 취약점이 추정된다”고 말했다. 쿠팡의 책임과 보상을 촉구하기 위한 소비자 움직임도 확산하고 있다. 지난 29일 네이버에 개설된 ‘쿠팡 정보유출 집단소송 카페’ 운영진은 “3370만명이 피해를 본 초유의 사태에 대해 법적 책임을 묻고 공동 대응 방안을 마련하겠다”며 출범 취지를 밝혔다. 카카오톡에서 ‘쿠팡 정보유출 피해자 모임’ 채팅방을 개설한 이모(49)씨도 “개인의 힘으로는 거대 기업인 쿠팡의 안일한 대응에 맞서기 어렵다고 판단했다”면서 “집단 분쟁 조정 신청이나 공동소송까지 고려하고 있다”고 설명했다. 손해배상 집단소송을 준비 중인 김경호 변호사(법무법인 호인)는 “핵심 쟁점은 쿠팡이 개인정보보호법 제29조에 따른 ‘안전조치의무’를 다했는지 여부”라면서 “해킹 기술이 고도화됐다 하더라도 쿠팡이 당시 기술 수준에서 요구되는 접근 통제, 접속 기록 보관, 암호화 조치 등을 소홀히 했다면 과실이 인정된다”고 주장했다.

쿠팡에서 국내 인구 4분의 3에 이르는 약 3370만개의 고객 계정 정보가 유출되는 사고가 발생하자, 앞선 SK텔레콤 유심(USIM·가입자 식별 모듈) 정보 노출과 KT의 무단 소액결제 및 해킹 사태 때보다 피해가 훨씬 심각할 수 있다는 우려가 나왔다. 염흥열 순천향대 정보보호학과 교수는 30일 서울신문과의 통화에서 “통신 3사는 시장을 나눠갖기에 한 기업에서 고객 정보 유출 사고가 발생해도 전체 국민이 피해를 보는 건 아니지만 쿠팡은 국민 대다수가 이용하고 있어서 정보 유출 사고로서는 역대급일 것”이라고 설명했다. 염 교수는 특히 2차, 3차 피해 가능성이 통신사의 개인정보 유출 사고보다 심각하다고 설명했다. SK텔레콤의 해킹 사건은 탈취된 유심 정보로 복제폰을 만드는데 악용될 가능성이 있어 유심을 교체하는 조치가 필요했다면, 쿠팡에서 유출된 정보의 경우 온라인 범죄는 물론 실제 범죄에도 대비해야 한다는 것이다. 염 교수는 “전화번호와 주소가 같은 데이터베이스 안에 매핑돼있어 전화번호만 알면 주소를 알 수 있다. 주소에 접근해 물리적 범행을 할 가능성도 존재하기에 추가 범행을 막을 조치가 필요하다”고 했다. 김명주 서울여대 지능정보보호학부 교수는 “국내 소비자가 알리바바나 테무 등 중국 이커머스를 사용하지 않고 쿠팡을 택한 가장 큰 이유가 중국에 개인정보가 넘어갈까봐였는데, 이번 사태로 개인이 식별되는 정보가 넘어가게 될 경우 중국 이커머스가 고객 타겟팅을 더 정교화하는데 쓰일 수 있다”고 말했다. 김 교수는 “다크웹을 이용해 다른 사이트에서 유출된 정보와 결합하면 새로운 범죄 가능성이 커진다”면서 “3차 피해는 쿠팡 때문인지 특정할 수도 없고 피해 규모를 규명하기도 어려워 소비자 피해가 더 커질 수 있다”고 경고했다. 특히 배송지 정보는 유출된 고객 계정 수인 3370만개보다 더 많이 유출됐을 가능성도 제기된다. 쿠팡에서는 주문을 하고 본인이 수령하는 경우뿐 아니라 지인·가족에게 보내기 위해 1인당 2~3개의 배송지 정보를 입력했을 가능성이 높기 때문이다. 이 경우 정보가 유출되고도 통지를 받지 못한 사람이 상당할 것이란 전망도 나온다. 전문가들은 피해를 본 소비자라면 보이스피싱, 스미싱 등에 유의할 것을 당부했다. 한국인터넷진흥원(KISA)은 출처가 불분명한 사이트 주소(링크)가 포함된 문자 메시지를 받은 경우 클릭하지 말고 바로 삭제하라고 권고한다. 의심되는 사이트 주소는 정상 사이트와 일치하는지 확인하는 편이 좋다. 카카오톡 채널 ‘보호나라’를 활용해 스미싱·피싱 사이트 여부를 확인하고 신고할 수 있다. 번호 도용 가능성이 의심된다면 이동통신사에서 제공하는 ‘번호도용문자 차단서비스’를 신청할 수 있다. 개인정보보호위원회가 운영하는 ‘개인정보포털’은 개인정보의 다크웹 유출 여부, 분쟁 조정 등의 서비스를 제공한다.

‘홈캠’으로 불리며 범죄 예방 등을 위해 가정집 등에 설치된 인터넷 프로토콜(IP) 카메라 12만여대를 해킹해 성 착취물 수백개를 제작·판매한 피의자들이 검거됐다. 경찰청 국가수사본부는 IP 카메라를 해킹한 피의자 4명을 검거하고, 이 가운데 영상물을 성착취물로 제작하거나 판매한 A씨 등 3명을 구속했다고 30일 밝혔다. 피의자들은 범행을 공모한 공범 관계는 아닌 걸로 조사됐다. IP 카메라는 인터넷을 통해 다른 기기로 실시간 영상 송출이 가능한 장비로, 흔히 가정집에서 반려동물, 자녀나 노인의 안전을 확인하거나 범죄 예방 등 목적으로 설치하는 경우가 많다. 경찰에 따르면 무직인 A씨는 6만 3000대의 IP 카메라를 해킹해 탈취한 영상으 545개의 성 착취물을 제작한 혐의를 받는다. A씨는 이렇게 제작한 불법 영상을 해외 사이트에 팔아 3500만원어치의 가상자산을 챙긴 것으로 조사됐다. 피의자 중엔 회사원도 있었다. B씨는 IP 카메라 7만대를 해킹하고 648개의 성 착취물을 제작·판매해 가상자산 1800만원어치를 챙긴 혐의를 받는다. 두 사람이 만든 영상은 최근 1년간 특정 사이트에 게시된 영상의 62%에 달했다. 이 해외 사이트는 다양한 국가 피해자들의 불법 촬영 영상이 올라오고 있다. 현재 경찰은 해외 수사기관과 공조해 해당 사이트 운영자에 대한 법적 조치를 진행하고 있다. 이밖에 자영업자인 C씨는 IP 카메라 1만 5000대, 또 다른 회사원 D씨는 136대를 해킹한 것으로 조사됐다. 심지어 C씨는 해킹한 영상으로 아동·청소년 성착취물을 제작했다. 다만 경찰은 두 사람이 영상을 유포하거나 판매한 정황은 없는 것으로 파악했다. 피의자들에게 영상을 사들인 불법 사이트에서 성 착취물을 구매하고 시청한 3명도 붙잡혔다. 경찰 관계자는 “성착취물 구매자와 시청자들에 대한 수사도 이어가고 있다”고 말했다. 대량으로 해킹된 IP 카메라들은 아이디와 비밀번호가 동일하게 단순 반복되거나, 숫자나 문자 조합이 단순한 형태로 설정됐던 것으로 전해졌다. 인터넷망에 연결돼 영상을 실시간 송출하는 방식인 IP 카메라는 외부 접속이 차단된 폐쇄회로(CC)TV보다 설치가 간단하고 저렴하지만, 보안에는 더 취약하다. 경찰은 수사 과정에서 확인된 피해 장소 58곳에 대해서는 수사관이 직접 방문하거나 전화 또는 우편을 통해 피해 사실을 통지하고 비밀번호 변경 등을 안내했다. 방송미디어통신심의위원회에 해당 사이트 접속 차단을 요청했고, 외국 법집행기관과 협력해 폐쇄를 추진 중이다. 경찰 관계자는 “IP 카메라 사용자는 계정 비밀번호를 8자리 이상으로 특수문자를 포함해 변경하고, 제품이 이중 인증을 지원하면 반드시 활성화하는 게 보다 안전하다”며 “6개월에 한 번 이상 비밀번호를 변경하고 관련 소프트웨어를 최신 버전으로 유지할 필요도 있다”고 강조했다.

쿠팡에서 3370만명의 고객 정보가 유출되는 등 개인정보 유출 피해가 잇따르면서 주민등록번호를 바꾸려는 사람이 늘고 있다. 전문가들은 성별·지역 등 민감한 정보를 담은 주민등록번호가 전 영역에서 광범위하게 쓰이는 현 구조를 손보지 않으면 유사한 사고가 반복될 수밖에 없다고 지적한다. 30일 행정안전부 주민등록번호변경위원회에 따르면 올해 10월까지 접수된 주민등록번호 변경 신청은 1914건으로 집계됐다. 제도 시행 첫해인 2017년(799건) 이후 한동안 500~600건 수준에 머물렀지만, 2020년 1127건으로 뛴 뒤 증가세가 이어져 지난해에는 1986건을 기록했다. 올해는 처음으로 2000건을 넘어설 가능성이 높다. 주민등록번호 변경 제도는 13자리 중 생년월일(6자리)과 성별 표시(1자리)를 제외한 임의 번호 6자리를 바꾸는 제도다. 헌법재판소가 2015년 주민등록법이 번호 변경을 규정하지 않은 것은 헌법 불합치라고 판단한 뒤, 2017년 법 개정으로 제도가 도입됐다. 신청 대상은 주민등록번호 유출로 생명·신체·재산상 피해를 봤거나 입을 우려가 있는 국민이다. 주민등록변경위원회에 신청서와 피해 입증 서류를 제출하면 심사·의결을 거쳐 새 번호를 받을 수 있다. 현재까지 심사 결과가 통보된 1만 5489건 가운데 7658건(72.6%)이 변경을 허가받았다. 신청 사유는 보이스피싱에 따른 재산상 피해가 49.1%로 가장 많았다. 이어 사기·해킹 등 기타(23.3%), 신분 도용(10.6%), 폭력(7.9%), 상해·협박(4.8%), 성폭력(2.6%) 등 순으로 나타났다. 전문가들은 개인정보를 과도하게 담고 있는 주민등록번호가 공공과 민간에서 무분별하게 쓰이는 구조를 바꾸지 않으면 쿠팡 사태 같은 대규모 유출이 반복될 수밖에 없다고 지적했다. 전산학 1호 박사인 문송천 카이스트 경영공학부 명예교수는 “주민등록번호 뒤 7자리는 각각 의미가 부여된 ‘해석 가능한 번호’여서 해커에게는 사실상 만능열쇠와 같다”며 “정부가 주민번호를 폐지하거나 뒷자리를 완전 임의(random) 번호 체계로 전환해야 해커들의 먹잇감이 되지 않는다”고 말했다.

국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡이 대규모 개인정보 유출 사고에 대해 공개 사과했다. 박대준 쿠팡 대표는 30일 오후 정부서울청사에서 기자들과 만나 이같은 뜻을 밝혔다. 박 대표는 “이번 사태로 인해 피해를 보신 쿠팡 고객들과 국민들에게 심려를 끼쳐드려 너무 죄송한 말씀과 사과의 말씀을 드린다”고 고개를 숙였다. 그러면서 이번 사태의 원인이 빠르게 규명될 수 있도록 노력하겠다는 뜻도 전달했다. 쿠팡은 지난 18일 약 4500개 계정의 개인정보가 무단으로 노출된 사실을 인지했다고 밝혔으나 후속 조사 과정에서 노출된 계정 수가 3370만개로 확인됐다. 고객 이름, 이메일 주소, 배송지 주소록에 입력된 정보 등이 유출됐지만 결제 정보와 로그인 정보 등은 유출 대상에 포함되지 않았다는 게 쿠팡 측 설명이다. 쿠팡은 지난 25일 정보통신망법상 정보통신망 침입 혐의로 ‘성명불상자’를 수사해달라고 경찰에 고소장을 제출한 바 있다. 회사도 이날 박 대표 명의의 사과문을 내고 “올해 6월 24일 시작된 쿠팡의 최근 사고에 유감을 표명한다”며 “국민 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과드린다”고 밝혔다. 이어 “올해 6월부터 최근까지 고객 정보에 대한 무단 접근이 발생했다”며 “무단 접근된 고객 정보는 이름과 이메일, 전화번호, 배송지 주소, 특정 주문 정보로 제한됐다”고 밝혔다. 쿠팡은 “모든 고객 정보를 보호하는 것이 가장 중요한 우선순위”라며 “종합적인 데이터 보호 및 보안 조치와 프로세스를 유지하고 있다”고 덧붙였다. 이어 “과학기술정보통신부와 개인정보보호위원회, 한국인터넷진흥원, 경찰청 등 민관합동조사단과 긴밀히 협력해 추가적인 피해 예방을 위해 최선을 다하겠다”고 밝혔다. 쿠팡은 “앞으로 이러한 사건으로부터 고객 데이터를 더 안전하게 보호할 수 있도록, 현재 기존 데이터 보안 장치와 시스템에 어떤 변화를 줄 수 있는지 검토하고 있다”고 부연했다.

관봉권·쿠팡 상설특검팀이 서울 서초구에 위치한 센트로빌딩에 사무실을 꾸리고 출범을 준비하는 것으로 확인됐다. 지난 16일 안권섭(사법연수원 25기) 특별검사가 임명된 이후 약 2주 만에 본격적인 준비 작업이 이뤄지는 모양새다. 30일 서울신문 취재를 종합하면 관봉권·쿠팡 특검은 서울 서초구 서초동 센트로빌딩 6, 7층에 사무실을 마련했다. 지하철 3호선 남부터미널역 근처에 위치한 건물로 법원과의 가까운 거리가 고려된 것으로 풀이된다. 현재 특검팀은 사무실 마련을 시작으로 운영 전반을 담당할 내부 인력을 꾸리며 출범 준비를 하고 있는 것으로 알려졌다. 특검은 최장 20일의 준비기간을 거쳐 늦어도 다음달 6일에 출범하게 된다. 상설특검법에 따르면 특검팀은 특별검사 1명, 특검보 2명, 파견 검사 5명, 파견 공무원·특별수사관 각 30명 이내로 인선을 꾸릴 수 있다. 수사기간은 최장 90일이다. 관봉권 띠지 의혹은 서울남부지검이 지난해 12월 ‘건진법사’ 전성배씨의 자택을 압수수색해 확보한 현금다발 5000만원의 한국은행 관봉권 띠지와 스티커를 분실한 사건이다. 통상 띠지에는 자금 흐름 추적에 필요한 현금 검수일·담당자·기계번호 등이 찍혀 있어 증거 인멸 및 윗선 개입 의혹이 제기됐다. 특검은 띠지·스티커 폐기가 단순 실수인지, 수사 지휘부가 관여했는지, 또 이를 통해 건진법사 및 정치권·권력층 자금 의혹을 은폐하려 했는지 등을 들여다볼 전망이다. 쿠팡 외압 의혹은 사건을 수사한 문지석(36기) 부장검사가 지난달 국회 국정감사에서 쿠팡 사건을 무혐의 처분하라는 상급자들의 압력이 있었다고 폭로하며 불거졌다. 앞서 인천지검 부천지청은 지난 4월 중부지방고용노동청 부천지청이 기소 의견으로 송치한 쿠팡 물류 자회사 쿠팡풀필먼트서비스(CFS) 퇴직금 미지급 사건을 불기소 처분한 바 있다. 특검은 검찰 지휘부가 쿠팡에 유리한 방향으로 수사를 왜곡했는지 조사할 것으로 보인다.

3370만개에 달하는 쿠팡 고객 계정의 개인정보 유출은 외부 해킹이 아닌 내부자 소행으로 보이는 정황이 있는 것으로 전해졌다. 30일 연합뉴스 등에 따르면 서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아 개인정보 유출 사태에 대한 수사에 착수했다. 쿠팡의 고소장에 피고소인이 특정되지 않고 ‘성명불상자’로 기재됐지만, 내부에서 고객 정보를 비인가 조회한 주체가 쿠팡에 근무했던 중국 국적자로 추정된다고 연합뉴스는 보도했다. 이 직원이 외국 국적자인 데다 이미 쿠팡을 퇴사해 한국을 떠난 것으로 전해지면서 수사가 쉽지 않은 것 아니냐는 우려도 나온다. 쿠팡은 앞서 이번 정보 유출 사고가 해킹 등 외부 요인에 따른 것이 아님을 시사한 바 있다. 쿠팡은 정보 유출 피해 고객 계정이 4500여개라고 발표했던 지난 20일 당시 입장문에서 “고객 개인정보가 비인가 조회된 것으로 확인됐다. 쿠팡 시스템과 내부 네트워크망의 외부 침입 흔적은 없는 것으로 확인했다”고 밝혔다. 쿠팡은 현재까지 고객 계정 약 3370만개가 유출된 것을 확인했다. 이는 국내 성인 4명 중 3명의 정보에 해당하며 사실상 쿠팡 전체 계정에 맞먹을 것으로 추정되는 규모다. 유출 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보 등이다. 또 쿠팡은 정보 침탈 시도가 이미 5개월 전인 지난 6월 24일 시작된 것으로 보고 있다. SK텔레콤과 KT 등 최근 발생한 대규모 정보 유출 사건은 주로 외부 해킹에 의한 것이었으나, 이번 사태는 내부 직원의 소행으로 추정되면서 쿠팡의 내부 관리 허점이 드러났다는 지적이 나온다. 쿠팡의 이번 고객 정보 유출 규모는 지난 2011년 약 3500만명이 정보 유출 사태를 겪은 싸이월드·네이트 사례와 맞먹는다. 당시 이 사고는 해킹으로 인한 것이었다. 개인정보 보호 위반으로 개인정보보호위원회로부터 역대 최대 과징금(1348억원) 처분을 받은 SK텔레콤의 개인정보 유출 역시 해킹 사고였다. 한편 경찰 수사와 별개로 정부는 민간과 합동조사단을 꾸려 사고 원인 분석에 나선 상황이다. 과학기술정보통신부는 쿠팡 침해사고 및 개인정보 대규모 유출 사고와 관련해 민관합동조사단을 꾸려 사고 원인 분석 및 재발 방지 대책을 마련할 계획이다.

단골 시장 횟집에서 5만 4000원을 내고 참돔 2㎏를 회 떠온 소비자가 집에 와서 직접 무게를 재보니 10%를 조금 넘긴 258g에 불과했다는 사연이 전해졌다. 수산물 관련 유명 유튜브 채널 ‘입질의추억TV’(구독자 129만명)에는 지난 28일 ‘딱 걸렸네! 저울치기보다 악랄한 횟감 빼돌리기…’라는 제목의 영상이 올라왔다. 채널을 운영하는 유튜버 김지민은 “오늘 사연은 사안의 심각성이 너무도 크다. 고혈압 있으신 분들 주의하시라”며 뒷목을 쓸어내리며 구독자가 보내온 사연 소개를 시작했다. 구독자 A씨는 “대구 모 시장에서 참돔 2㎏과 전어 2㎏을 전화 주문 후 찾아왔다. 참돔과 전어는 1㎏당 각각 2만 7000원, 2만 3000원으로 총 10만원을 결제했다”고 말했다. 그런데 A씨가 집에 와서 보니 참돔 양이 너무 적었다고 했다. 직접 무게를 재봤더니 저울에 찍힌 무게는 충격적이게도 258g에 불과했다. 이에 A씨는 가게 사장에게 전화해 ‘횟감 수율이 어떻게 되느냐’고 물었다. 사장은 옆에 있던 실장에게 물어보고 나선 ‘참돔은 40%, 전어는 50%’라고 답했다고 A씨는 전했다. A씨는 실장을 바꿔달라고 한 뒤 ‘수율 장난친 거 아니냐. 장담할 수 있냐’고 따졌으나, 아무런 대답이 없었다고 했다. 이어 사장이 다시 전화를 받더니 A씨에게 ‘계좌번호 보내주면 참돔 1㎏ 금액을 돌려주겠다’고 말했다. 유튜버는 “참돔이 대가리가 큰 걸 감안해도 잘 뜨시는 분들은 수율 40%까지 뽑는 분들을 제가 봤다. 보통 38%, 수율이 안 나오면 33% 정도다”라고 설명했다. 그러면서 “평균 35%라고 가정하면 2㎏를 떴으니까 순살 700g이 나와야 한다”고 덧붙였다. 유튜버는 단순 무게뿐 아니라 회 모양도 이상하다고 지적했다. 그는 사진을 보면서 “하얀 막이 있는 부위는 참돔 뱃살 쪽인데 보통 포가 2개 나와야 한다. 일식에서 ‘석장뜨기’라고 하는데 석장뜨기를 하면 뼈 빼고 포가 2개 나온다. 그러면 부위별로 2줄씩 나와야 한다”며 “그런데 이건 뱃살 1줄, 중간 정도 뱃살 1줄, 등살 1줄만 있다. 설마 반쪽만 썰어서 보낸 건가”라고 의심했다. A씨는 “참고로 이 가게는 단골이라 사장님한테 전화해서 포장하곤 했는데 이날은 가게로 전화해서 포장했다가 이렇게 장난질을 당했다”며 “안 본다고 비양심적으로 하는 게 씁쓸하다”고 말했다. 사연을 접한 네티즌들은 “사기 치다 걸리니 딱 뺀 만큼 값만 돌려준다고 하는 것도 어이없다”, “시장에서 회 뜰 땐 꼭 처음부터 끝까지 보고 있어야 한다”, “해산물 좋아하는데 눈탱이 맞기 싫어서 입맛을 육류로 억지로 바꿨다” 등 반응을 보였다.

국내 전자상거래(이커머스) 시장 1위 업체인 쿠팡의 대규모 개인정보 유출이 반년 전부터 발생했을 가능성이 제기되면서 소비자들 사이에서 불안과 우려가 커지고 있다. 정부는 민간과 합동조사단을 꾸려 사고 원인 분석에 나섰고, 경찰은 수사에 착수했다. 30일 유통업계에 따르면 쿠팡은 전날 오후 “고객 계정 약 3370만개가 무단으로 노출된 것으로 확인됐다”고 공지했다. 쿠팡은 노출된 고객 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 ‘제한’됐고, 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 이어 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 덧붙였다. 고객의 민감한 개인정보 탈취 시도가 이미 5개월 전에 시작됐다는 것이다. 쿠팡은 이번 유출 사고를 지난 18일에서야 인지하고 지난 20일과 전날 각각 관련 내용을 개인정보보호위원회에 신고했다. 개인정보보호위는 현재 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인 정보 유출 사태에 대한 수사에 착수했다. 전자상거래를 이용하는 국민이라면 대부분 쓰고 있다고 볼 수 있는 쿠팡에서 대규모 고객 정보 유출 사고가 발생하면서 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 전날 관련 기사에는 “개인정보 털렸는데 그냥 미안하다고 문자 하나만 띡 보내면 다냐”, “요즘 광고 전화 너무 많이 오더니”, “전 국민 털렸네” 등 정보 유출에 대한 불안과 분노 섞인 댓글이 달렸다. 또 고객의 이름과 이메일, 전화번호, 주소만으로도 분히 사기 등의 범죄에 악용될 수 있다는 지적도 나온다. 특히 주소가 유출되면서 문 앞 배송을 원활히 하기 위해 기재한 공동 현관 비밀번호까지 다 노출된 것 아니냐는 불안까지 제기되고 있다. 쿠팡이 피해 규모를 9일 만에 약 7500배로 조정한 것을 두고도 향후 조사 결과에 따라 피해 규모가 더 커질지도 모른다는 추측도 나온다. 또 지난 6월부터 정보 탈취 시도가 있었던 것으로 확인된 만큼 정보 유출이 수개월에 걸쳐 이뤄졌을 가능성도 제기된다. 쿠팡은 지난 20일 정보 유출 피해 고객 계정이 4500여개라고 발표했으나 29일에는 3370만개라고 다시 공지했다. 쿠팡이 지난 3분기 실적 발표 당시 언급한 프로덕트 커머스 부분 활성고객(구매 이력이 있는 고객)이 2470만명인데 이보다 훨씬 많은 수준이다. 사실상 전체 고객의 정보가 유출된 것으로 보인다. 또 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만명)를 뛰어넘는 규모다. 다른 기업들의 보안 관련 사고에서도 당국의 조사가 진행되면서 피해 규모는 더 커졌다. 앞서 사이버 침해 사고가 발생한 롯데카드의 경우 지난 9월 4일 사과문에서는 “현재까지 조사한 결과에 따르면 고객 정보 유출 사실은 확인되지 않았다”고 공지했으나, 그로부터 2주 뒤에는 카드번호뿐 아니라 CVC번호 등 민감 정보까지 유출됐다고 밝혔다. KT의 경우 해킹 사고 처리 과정에서 서버를 폐기해 증거를 은닉했다는 의혹이 제기돼 경찰이 이달 강제수사에 착수했다.