쿠팡에서 3370만명의 개인정보를 대량 유출한 쿠팡 전 직원이 쿠팡에서 인증 관련 업무를 했다는 주장이 나왔다. 1일 정보통신기술(ICT) 업계와 최민희 국회 과학기술정보방송통신위원장에 따르면 쿠팡에서 고객 정보를 빼돌린 전 직원은 쿠팡에서 인증 관련 담당자였던 것으로 전해졌다. 해당 직원은 퇴사 이후 개인정보를 유출하는 과정에서 ‘인증 토큰’과 관련된 보안 취약점을 노린 것으로 추정된다. 인증 토큰은 로그인에 필요한 ‘일회용 출입증’이며, 서명키는 출입증을 찍어주는 도장 역할을 한다. 최 의원실은 “출입증이 있어도 출입을 허가하는 인증 도장이 없다면 출입할 수 없다”면서 “하지만 서명 키를 오래 방치해서 누가 계속해서 도장인 서명 키를 몰래 찍어서 쓴 것과 다름없다”고 설명했다. 인증 토큰은 생성과 폐기 주기가 비교적 짧고, 이를 생성하기 위해 서명키가 필요하다. 최 의원실이 쿠팡으로부터 받은 자료에 따르면 쿠팡은 “토큰 서명키 유효 인증 기간과 관련해 5~10년으로 설정하는 사례가 많다는 걸로 알고 있다”라면서 “로테이션 기간이 길며, 키 종류에 따라 매우 다양하다”고 설명했다. 쿠팡 로그인 시스템상 토큰을 생성하고 즉시 폐기되는 상황임에도, 토큰 생성에 필요한 서명 정보를 담당 직원이 퇴사할 때 삭제하거나 갱신하지 않아 내부 직원이 악용했다는 게 의원실의 분석이다. 의원실은 “서명키 갱신은 가장 기본적인 내부 절차임에도, 쿠팡은 이를 지키지 않았다”며 “장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증 체계를 방치한 쿠팡의 조직적·구조적 문제의 결과”라고 지적했다. 앞서 서울경찰청 사이버수사대는 지난 25일 쿠팡으로부터 이번 사태에 대한 고소장을 받아 수사에 착수했다. 쿠팡 측과 경찰은 개인정보를 유출한 사람에 대해 밝히지 않았지만, 쿠팡에 근무했던 중국 국적자가 내부에서 고객 정보를 비인가 조회했으며 현재 한국을 떠난 상태인 것으로 알려졌다. 쿠팡은 현재까지 고객 계정 약 3370만개가 유출된 것을 확인했는데, 이는 사실상 쿠팡 전체 가입자에 맞먹는 규모다. 유출 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보 등이다.

AI 기반 통신 테크 플랫폼 ‘픽클AI(PICKKLE AI)’가 공식 출시되며, 복잡하고 불투명했던 국내 통신 시장의 요금제 및 지원금 정보 탐색에 혁신을 가져왔다. 픽클AI는 국내 102개 통신 및 유통사의 요금과 지원금 정보를 실시간으로 분석해 사용자에게 최적의 조건을 제안하는 국내 최초 AI 기반 통신 테크 플랫폼이다. AI 기술로 소비자 편익을 극대화한다는 점에서 주목받고 있다. 102개 업체 ‘실시간 분석’… ‘3초 견적’으로 불투명성 해소픽클AI의 핵심은 102개 온라인 통신 판매 업체의 요금제, 유심 패키지, 인터넷 결합 상품 등 각종 프로모션 정보를 실시간으로 분석하는 AI 엔진이다. 이 AI는 사용자의 개별 조건을 빠르게 해석해 수시로 변동하는 시장 상황에서 가장 유리한 요금 조합을 자동으로 비교·분석해 제안한다. 기존에는 소비자가 여러 요금제를 직접 비교해야 하는 어려움이 있었으나, 픽클AI를 이용하면 복잡한 상담 절차 없이도 AI가 해석한 구조화된 정보를 즉시 확인할 수 있다. 특히 간단한 조건 입력만으로 ‘3초 견적’을 받아볼 수 있는 편의성이 높이 평가받고 있다. 원스톱 비대면 서비스… 유심·인터넷 교체 수요 대응최근 통신 시장은 보안 우려와 휴대폰 기기 교체 주기가 길어지면서, 기존 단말기를 유지한 채 유심이나 인터넷만 변경하려는 수요가 꾸준히 늘고 있다. 이러한 흐름 속에서 AI 기반의 맞춤형 추천 서비스인 픽클AI의 역할이 확대될 것으로 보인다. 픽클AI는 안내부터 가입 완료, 설치까지 모든 단계가 비대면 원스톱으로 처리된다. 이는 장시간 전화 상담이나 불투명한 가격 안내 등 소비자들이 겪어온 고질적인 불편을 혁신적으로 해소할 것으로 기대된다. 서지원 ㈜픽클네트웍스 대표는 “그동안 복잡한 상담 절차와 불투명한 고객 지원금 등으로 인해 소비자들이 겪어온 불편을 AI 기술로 해결할 수 있다고 판단했다”며 “픽클AI 출범을 계기로 인터넷·TV 분야를 시작으로 통신 시장 전반에 투명하고 신뢰할 수 있는 서비스 환경을 구축하는 데 집중하겠다”고 밝혔다.

서울시의회 왕정순 의원(더불어민주당, 관악구 제2선거구)은 지난달 10일 서울연구원 대상 행정사무감사에서, 시민의 세금으로 수행된 연구 결과가 시민에게 제대로 공개되지 않고 있으며 , 특히 2024년 비공개 보고서가 41건으로 급증한 것은 심각한 문제라고 강력히 지적했다. 왕 의원이 행정사무감사를 위해 제출받은 자료에 따르면, 서울연구원의 비공개 연구보고서는 2023년 27건에서 2024년 41건으로 50% 이상 급증했다. 2025년에도 9월 말 기준 16건이 비공개 처리됐다. 왕 의원은 “2024년 행정사무감사에서도 ‘연구 수행 건수 대비 실제 공개되는 자료가 적다’는 지적받았음에도 개선되기는커녕 오히려 비공개가 증가했다”고 질타했다. 더욱 문제가 되는 것은 비공개 사유의 불투명성이다. 왕 의원은 “비공개 사유를 살펴보니 대부분이 ‘서울시 활용부서 요청’, ‘정책 결정 참고자료’ 등”이라며 “이는 사실상 서울시가 불리하거나 민감한 연구 결과를 통제하는 것으로 보인다 ”고 문제를 제기했다. 실제로 2025년 ‘서울시 패션 부문 도시제조업 지원시설 운영 개선방안’, ‘AI 가속화에 대응한 서울시 행정변화 및 대응방안 검토’ 등 시민의 삶과 밀접한 연구들이 단지 ‘시의 요청’이라는 이유로 비공개된 것으로 드러났다. 또한 왕 의원은 “정책 결정에 영향을 미칠 수 있는 중요한 연구일수록 비공개 처리하는 것은 아닌지 우려된다”라며 “이는 시민의 알 권리를 침해하고 연구의 투명성을 저해할 뿐 아니라, 연구 성과를 사장시키는 비효율을 초래한다”고 비판했다. 이러한 서울연구원의 ‘깜깜이’ 운영은 타 시도 연구원과도 대비된다. 경기연구원 등은 ‘전 연구과제 공개’를 원칙으로 하고 있으며, 국토연구원 역시 연구 종료 후 즉시 공개하고 영구 비공개 과제가 없다. 왕 의원은 이재명 대통령이 최근 “연구결과는 모두 국민의 것, 전부 공개해야 한다”, “군사보안에 해당되지 않는다면 연구결과는 누구나 활용할 수 있도록 공개해야 한다”고 강조한 발언을 인용하며, 세금으로 수행한 연구 성과 공개의 중요성을 역설했다. 끝으로 왕 의원은 “서울시민의 세금으로 수행된 모든 연구보고서는 원칙적으로 공개되어야 한다”면서 “비공개 예외를 최소화하고, 모든 연구 결과물을 시민들이 자유롭게 열람하고 활용할 수 있도록 ‘연구보고서 공개 원칙’을 확립할 것”을 서울연구원에 강력히 촉구했다.

국내 전자상거래 1위 업체인 쿠팡에서 3000만건이 넘는 대규모 개인정보 유출 사고가 발생한 가운데 쿠팡이 ‘유출 정보를 공개하겠다’는 협박을 받은 것으로 드러났다. 1일 연합뉴스에 따르면 사건을 수사 중인 서울경찰청 사이버수사2대는 쿠팡이 “회원들의 개인정보를 보유하고 있다”며 “보안을 강화하지 않으면 유출 사실을 언론에 알리겠다”는 협박성 이메일을 받은 사실을 확인한 것으로 전해졌다. 다만 금전 요구는 없었다고 한다. 경찰은 이 이메일이 쿠팡 이용자들의 개인정보를 빼돌린 인물과 동일인이 보낸 것인지 추적 중이다. 현재 쿠팡 고객 정보는 쿠팡에 근무했던 중국 국적자가 유출한 것으로 알려졌다. 경찰은 지난달 21일 해당 사건에 대해 입건 전 조사(내사)에 착수했으며, 같은 달 25일 정보통신망법상 정보통신망 침입 혐의로 ‘성명불상자’를 수사해달라는 쿠팡의 고소장을 접수해 수사로 전환했다. 경찰은 이후 쿠팡으로부터 서버 기록 등 이번 사건과 관련한 자료를 임의제출 받아 분석에 들어갔다. 쿠팡은 지난달 18일 4500여개 계정의 개인정보가 무단으로 노출된 사실을 인지했다고 밝혔으나 이후 조사 과정에서 노출된 계정 수가 3370만개에 이르는 것으로 확인됐다. 쿠팡 측은 고객 이름과 이메일 주소, 배송지 주소록에 입력된 정보 등이 유출됐으나 결제 정보와 로그인 정보 등은 유출 대상에 포함되지 않았다고 밝혔다.

국내 최대 온라인 유통업체인 쿠팡에서 벌어진 3400만건 고객 정보 유출 사태의 파장이 일파만파다. 올 들어 금융사와 통신사 등에서 유사 사고가 잇따라 터져 가뜩이나 국민 불안이 꼭대기까지 차오른 터에 전 국민을 패닉으로 몰아넣은 최악의 사태가 아닐 수 없다. 국민 4명 중 3명이 해당하는 방대한 피해 규모가 무엇보다 충격적이다. 더욱 기막힌 것은 해외 서버를 통한 비정상 접속이 지난 6월 말부터 계속됐는데도 회사가 이를 5개월간 전혀 알아채지도 못했다는 사실이다. 로켓배송 등 속도와 혁신을 앞세워 초고속 성장한 거대 기업이 정작 디지털 사회의 기본적 신뢰 기반인 고객 정보 보호에는 한없이 굼뜨고 무능했다. 배신감과 분노를 넘어 허탈감까지 든다. 쿠팡은 지난 29일 “고객 계정 약 3370만개가 무단으로 노출된 것으로 확인됐다”면서 “해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정한다”고 밝혔다. 노출된 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문 정보이며 결제 정보와 신용카드 번호는 포함되지 않았다는 것이 쿠팡 측의 주장이다. 그러나 쿠팡은 지난 20일 개인정보보호위원회에 처음 신고할 당시 피해 계정을 4500여개로 보고했다가 9일 만에 사실상 전 회원 규모로 피해 범위를 대폭 수정했다. 앞으로 조사 결과에 따라 피해 규모가 더 늘어날 가능성도 배제할 수 없다. 정부는 민관 합동조사단을 꾸려 사고 원인 분석과 재발 방지 대책 마련에 나섰다. 유출 정보를 악용한 스미싱·보이스피싱 등 2차 피해에 대한 불안이 큰 만큼 이를 차단하기 위한 다각적 대응이 무엇보다 시급하다. 쿠팡은 이번 사태를 외부 해킹이 아닌 내부 직원의 소행으로 보고 경찰에 고소장을 제출했다. 만일 내부자 범죄가 맞다면 조직 관리 부실 책임은 더욱 무거울 수밖에 없다. 기업의 안이한 보안 의식 탓에 국민 전체가 잠재적 범죄 위험에 노출된 만큼 그에 상응하는 책임을 져야 한다. 쿠팡은 박대준 대표의 사과문을 통해 합동조사단과 긴밀히 협력하고 추가 피해 예방에 최선을 다하겠다고 했다. 정부가 “쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 고객 정보가 유출됐다”고 확인한 만큼 실질적인 피해 보상과 재발 방지 대책이 뒤따라야 한다. 정부 역시 이번 사태를 엄중하게 받아들여야 한다. 쿠팡은 국가가 인증한 ‘정보보호 및 개인정보보호 관리체계 인증’(ISMS-P)을 취득하고도 대규모 유출 사고를 냈다. 정부와 기업 모두 보안 의식을 획기적으로 개선하지 않는다면 유사 사고는 언제든 되풀이될 수밖에 없다.

29일(현지시간) 미국 캘리포니아주 스톡턴의 한 연회장에서 총기 난사 사건이 발생한 뒤 경찰이 폴리스라인을 친 채 현장을 통제하고 있다. 이날 오후 6시쯤 연회장 내 가족 모임을 겨냥한 총격으로 최소 4명이 숨지고 10명이 다쳤다고 샌호아킨 카운티 보안관실은 밝혔다. 스톡턴 AP 연합뉴스

비용 절감 치중하고 안전 소홀행정 책임 회피 등 구조적 결함 지난 26일 발생한 홍콩 아파트 단지 ‘웡 푹 코트’ 화재 참사가 저가 입찰과 다단계 하도급 등 구조적 문제로 인해 발생했다는 분석이 나오고 있다. 참사 닷새째인 30일 홍콩 경찰이 7개동 중 두번째로 불이 옮겨붙은 왕태관에서 시신 18구를 추가로 발견하면서 사망자 수는 최소 146명으로 늘었다. 약 140명은 여전히 실종 상태다. 홍콩 당국은 지난 29일부터 사흘간을 공식 애도 기간으로 선포했다. 홍콩 역사상 최악의 화재 참사로 기록된 이번 사고의 피해 확산 원인으로 건물 보수 공사에 쓰인 대나무 비계와 그물망, 유리창을 가린 스티로폼 등이 지목됐다. 크리스 탕 홍콩특별행정구 보안국장(보안장관)은 “저층 외부 그물망에서 시작된 불이 스티로폼을 타고 빠르게 위로 번져 여러 층에 영향을 미친 것으로 추정된다”며 “부서진 대나무가 떨어지며 불길이 다른 층으로 번졌다”고 말했다. 하지만 현지 매체 ‘홍콩01’은 수십 년간 저가 입찰에 의존한 공공사업 시스템과 책임이 분산되는 하도급 관행을 비판하며 “문제는 대나무 자체가 아니라 대나무 비계가 작동하는 시스템”이라고 지적했다. 또 홍콩01은 전문가 분석을 인용해 “저가 입찰, 다단계 하도급, 행정 책임 회피 등 건설 시스템의 구조적 결함이 원인”이라고 전했다. 매체는 다단계 하도급 구조가 시공업체 건설비를 50~70%까지 줄이고, 책임을 하청업체에 전가시킨다고 분석했다. 지난해 홍콩 건설 하청업체들은 3억 홍콩달러(약 566억 원)의 임금을 체불하며 열악한 실태를 드러냈다. 대나무 비계는 가볍고 유연하며 금속제보다 저렴해 홍콩처럼 밀집된 도시 환경에서 널리 쓰였다. 하지만 중국 본토에서는 2021년 주택농촌개발부의 금지령 이후 고층 건물에는 거의 쓰지 않는다.

6월 24일 발생… 11월 18일에 인지“정상적 로그인 없이 고객정보 유출”“서버 보안인증 취약점 악용해 공격”정부, 국가 배후 범죄 가능성도 논의일부 집단소송 카페·단톡방 개설도 이번 쿠팡의 정보 유출을 두고 특히 사고를 인지하기까지 5개월이나 걸렸다는 데 대한 비판이 거세다. 회사의 깜깜이 대응에 실망한 소비자들은 집단소송 등 단체 행동에 나설 움직임도 보이고 있다. 30일 쿠팡에 따르면 고객 계정과 관련된 개인정보 무단 접근은 지난 6월 24일부터 시작됐지만 쿠팡은 이를 지난 18일에야 인지하게 됐다. 쿠팡은 그동안 공격자 입장에서 취약점을 찾는 ‘레드팀’과 선제적 위협 탐지·대응을 맡는 ‘고스트팀’을 운영하면서 수준 높은 보안 조직을 갖췄다고 홍보했지만, 정작 개인정보 노출 기간이나 사고 발생 원인에 대해서는 ‘조사 중’이라며 함구하고 있다. 쿠팡 측은 “현재까지 2차 피해는 보고된 바 없다”고 했지만 소비자의 불안과 불신은 확산하고 있다. 민관합동조사단을 꾸리고 쿠팡 본사에서 현장 조사를 진행 중인 정부는 쿠팡 서버 인증 체계에 취약점이 있었다고 짚었다. 이날 배경훈 부총리 겸 과학기술정보통신부 장관은 정부서울청사에서 관계 부처 긴급회의를 열고 “공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 3000만개 이상 고객 계정의 고객명, 이메일, 발송지 전화번호 및 주소를 유출한 것으로 확인했다”고 설명했다. 정부는 회의에서 국가 배후 범죄 가능성에 대해서도 논의했으며 쿠팡 서버에서 악성 코드는 발견되지 않았다고 밝혔다. 쿠팡의 개인정보보호법상 안전조치의무 위반이 확인되면 엄정 제재할 방침이다. 이번 사고가 쿠팡의 내부 직원 소행이라는 추측이 나오면서 내부 보안 대책에 허점이 있었다는 비판도 피할 수 없게 됐다. 특히 수천만명의 정보가 새 나가는 동안 자체적으로 부정·불법행위를 탐지해 내지 못할 정도로 쿠팡 서버의 모니터링 체계가 미흡했다는 지적이 나온다. 염흥열 순천향대 정보보호학과 명예교수는 “유출자가 직장 상사 등의 ID와 비밀번호를 확보해 타인의 접근 권한까지 가졌을 가능성이 있다”며 “서버 접속 과정에서 2차 인증이 필요한데도 1차 인증만으로 통과되는 등 인증 체계에 취약점이 있는 것으로 추정된다”고 말했다. 쿠팡의 책임과 보상을 촉구하기 위한 소비자 움직임도 확산하고 있다. 지난 29일 네이버에 개설된 ‘쿠팡 정보유출 집단소송 카페’ 운영진은 “3370만명이 피해를 본 초유의 사태에 대해 법적 책임을 묻고 공동 대응 방안을 마련하겠다”며 출범 취지를 밝혔다. 카카오톡에서 ‘쿠팡 정보유출 피해자 모임’ 채팅방을 개설한 이모(49)씨도 “개인의 힘으로는 거대 기업인 쿠팡의 안일한 대응에 맞서기 어렵다고 판단했다”면서 “집단분쟁조정 신청이나 공동소송까지 고려하고 있다”고 설명했다. 손해배상 집단소송을 준비 중인 김경호 변호사(법무법인 호인)는 “핵심 쟁점은 쿠팡이 개인정보보호법 제29조에 따른 안전조치의무를 다했는지 여부”라면서 “해킹 기술이 고도화됐다 하더라도 쿠팡이 당시 기술 수준에서 요구되는 접근 통제, 접속 기록 보관, 암호화 조치 등을 소홀히 했다면 과실이 인정된다”고 주장했다.

3370만명 고객정보 무단 노출 확인중국 국적 전 직원이 정보 빼돌린 듯카드·통신 사고 이어 불안감 확산 국내 1위 온라인 유통 기업인 쿠팡에서 우리나라 국민의 절반이 넘는 약 3370만명의 고객 계정 정보가 무단으로 노출되는 초유의 사고가 벌어지면서 국민 불안이 소위 포비아(공포증) 수준으로 치닫고 있다. 역대 최대 규모의 고객 정보 유출인 데다 쿠팡이 5개월간 지속된 개인정보 탈취 시도조차 인지하지 못했기 때문이다. 이번 사고가 중국 국적의 내부자 소행이라는 언급도 나온다. 전문가들은 이 사태가 스미싱(문자로 악성 링크 클릭을 유도하는 피싱 공격)이나 보이스피싱 등 추가 피해로 연결될 가능성을 경고했다. 쿠팡이 고객 계정의 이름, 이메일, 배송지 주소록(입력한 이름·전화번호·주소), 일부 주문 정보가 노출된 사실을 지난 29일 확인한 가운데 박대준 쿠팡 대표는 30일 정부서울청사에서 “국민 여러분께 불편을 끼쳐 드려 진심으로 사과드린다”며 첫 사과에 나섰다. 쿠팡은 지난 18일 약 4500개 계정의 개인정보가 노출된 사실을 인지했다고 밝혔지만 후속 조사에서 7500배나 많은 3370만개가 유출된 것으로 확인됐다. 쿠팡 구매 이력이 있는 고객 수(2470만명)보다 900만명이나 많고, 역대 최대 과징금인 1348억원 처분을 받은 SK텔레콤의 개인정보 유출 규모(2324만명)도 크게 웃돈다. 쿠팡은 지난 6월 24일부터 5개월 동안 지속된 개인정보 탈취 시도를 전혀 파악하지 못했다는 점에서도 책임을 피하기 어려워 보인다. 여기에 중국 국적의 전 쿠팡 직원이 고객 정보를 유출했다는 의혹도 제기됐다.  경찰은 쿠팡으로부터 서버 기록 등 이번 사건과 관련한 자료를 임의 제출받아 분석 중이다. 경찰은 “모든 가능성을 열어 두고 절차에 따라 수사하고 있다”고 전했다. 다만 쿠팡 측은 내부 직원 소행 가능성에 대해선 확인이 어렵다는 입장이다. 쿠팡은 이날 오후 웹사이트와 애플리케이션에 게재한 사과문에서 “결제 정보, 신용카드 번호, 로그인 정보는 노출되지 않아 고객이 계정 관련해 조치를 취할 필요는 없다”고 밝혔다. 하지만 전문가들은 이번 사고가 스미싱이나 보이스피싱 등 추가 피해로 연결될 가능성을 경고한다. 한국인터넷진흥원(KISA)은 ‘피해 보상’이나 ‘피해 사실 조회’, ‘환불’ 등의 키워드로 피해 기업(쿠팡)을 사칭하는 스미싱이나 보이스피싱 등에 주의할 것을 권고했다. 김기형 아주대 사이버보안학과 교수는 “최근 주문 건에 문제가 있다며 주소나 연락처를 다시 확인하라는 식의 피싱이 대표적”이라면서 “문자, 전화, 카카오톡 등 어떤 채널에서도 모르는 링크는 클릭하지 않는 것이 중요하다”고 말했다. 정보 유출 경로가 오리무중인 상황에서 피해를 본 소비자들은 분통을 터뜨리고 있다. 빠른 배송 때문에 쿠팡을 애용했다는 구정순(62)씨는 이번 사태가 터지자마자 쿠팡을 탈퇴했다. 구씨는 “회사가 정확한 진단이나 대책을 내놓지 못해 정보가 유출된 피해자만 발을 동동 구르고 있다”며 “‘전화번호는 노출됐는데 카드 정보와 비밀번호는 노출되지 않았다’는 회사의 설명을 어떻게 믿겠느냐”고 말했다. 일부 고객 사이에서는 공동 현관 비밀번호도 털렸을 수 있다는 불안감이 높은 상황이다. 쿠팡의 경우 음식이나 택배 배송 요청란에 아파트 공동 현관 비밀번호를 쓰는 경우가 많고 이를 배송 정보로 관리하기 때문이다.

2021년과 2024년 두 차례나 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 취득한 쿠팡이 잇달아 대규모 개인정보 유출 사고를 일으키며 도마 위에 올랐다. 정부 인증체계의 실효성을 되짚어 봐야 한다는 지적이 나오는 까닭이다. 30일 국회 정무위원회 소속 한창민 사회민주당 의원이 개인정보보호위원회에서 제출받은 자료에 따르면 쿠팡은 ISMS-P 인증을 최초 취득한 2021년 3월 이후 올해까지 네 차례의 유출 사고를 냈다. 2021년 10월 앱을 업데이트하면서 테스트를 소홀히 해 14건의 유출 사고를 냈고, 2020년 8월부터 2021년 11월까지 쿠팡이츠 배달원 13만여명의 개인정보가 유출됐다. 2023년 12월에는 판매자 전용 시스템 오류로 2만여명의 개인정보가 노출됐다. ISMS-P 인증은 과학기술정보통신부와 개인정보위가 공동으로 운영하는 국내 유일의 정보보호 및 개인정보보호 관리체계 인증제도다. 2018년 과기정통부의 ‘정보보호 관리체계 인증’(ISMS)과 개인정보위의 ‘개인정보보호 관리체계 인증’(PIMS)을 통합했다. 쿠팡은 전년도 정보통신서비스 부문 매출액이 100억원 이상으로 인증 의무 대상인데, 취득 이후에도 사고가 계속 발생했다는 점이 문제다. ISMS-P는 인증 당시 기준에 맞는지를 평가하는 것으로, 그동안에도 사후 관리 강화 등 보완이 시급하다는 지적이 이어져 왔다. 개인정보위가 장관급 중앙행정기관으로 격상된 2020년 이후부터 이달까지 총 27개의 ISMS-P 인증 기업에서 34건의 정보 유출 사고가 일어났다. 논란이 커지자 정부는 지난 10월 심사 방식을 서류 중심에서 현장 중심으로 전환했다.

안랩 ‘2025년 사이버 위협 동향’ 북한 배후의 해킹 조직들이 인공지능(AI) 기술까지 동원해 한국 정부·IT·금융 등 핵심 분야를 상대로 전방위적인 사이버 공격을 강화하고 있는 것으로 나타났다. 악성 문서 제작과 피싱 위장 수법이 생성형 AI를 만나 한층 정교해지면서 기존의 패턴 기반 방어 체계를 우회하는 사례가 빠르게 늘고 있다는 분석이다. 30일 안랩이 발간한 ‘2025년 사이버 위협 동향 & 2026년 보안 전망’ 보고서에 따르면, 지난해 10월부터 올 9월까지 1년 동안 북한 배후로 지목된 지능형 해킹(APT) 활동은 총 86건으로 집계됐다. 같은 기간 중국(27건), 러시아·인도(각 18건) 등 다른 국가들과 비교해도 압도적으로 많은 수치다. 정부기관과 금융회사, IT 기업, 언론사 등 다수의 국내 기관과 기업이 연중 지속적으로 표적이 된 것으로 조사됐다. 주요 공격세력으로는 북한 정찰총국과 연계된 라자루스(Lazarus·31건), 김수키(Kimsuky·27건), 안다리엘(Andariel) 등이 확인됐다. 각각의 조직은 고유한 전술로 침투를 시도해왔다. 라자루스는 암호화폐 탈취를 비롯한 금전적 목적의 공격에 집중하며, 윈도·맥·리눅스 등 다양한 운영체제를 지원하는 멀티 플랫폼 악성코드를 개발해 활용하는 것으로 나타났다. 정상 웹사이트에 악성코드를 심어 감염을 유도하는 ‘워터링 홀’ 기법, 소프트웨어 취약점 악용 등이 대표적이다. 최근 가상자산거래소 업비트 해킹 사건에서도 라자루스의 기존 수법과 유사한 정황이 다수 포착된 것으로 전해졌다. 김수키는 특정 인물이나 기관을 정밀하게 겨냥한 스피어 피싱을 주력으로 한다. 강연 요청서나 인터뷰 의뢰서를 사칭해 실제와 거의 동일한 형태의 악성 문서를 보내는 방식이 반복적으로 확인됐다. 최근에는 페이스북·텔레그램 등 다양한 플랫폼을 활용한 다단계 공격을 시도하는가 하면, AI 기반 위조 신분증까지 사용한 사례도 포착되는 등 사회공학적 기법이 한층 고도화하고 있다. 안다리엘은 계정 정보 탈취와 랜섬웨어 배포가 주력 분야로, 국내 보안업체의 인증서를 훔쳐 악성코드에 서명하는 방식까지 활용한 것으로 조사됐다. 공격 전반에서 공통적으로 드러나는 가장 큰 변화는 ‘AI 활용’이다. 생성형 AI가 악성 문서 작성과 피싱 메시지 구성에 적극 활용되면서 한국어 문장과 문서 형식이 실제 업무 문서와 거의 구분되지 않을 정도로 자연스럽게 만들어지고 있다. 이 때문에 제목·문체 등으로 악성 파일을 판별하던 기존 탐지 체계가 무력화되는 사례가 늘고 있다. 자동화 도구를 이용한 악성코드 변종 생산 속도도 빨라져 단일 방어 체계만으로는 대응이 쉽지 않다는 것이 전문가들의 지적이다. 이에 국내 기업과 기관들은 보안 체계를 재정비하고 있다. 위험도가 높은 첨부파일을 자동 분석하는 ‘메일 샌드박스’ 도입이 확대되는 한편, 계정 탈취를 막기 위한 다중 인증(MFA) 적용 범위도 넓어지고 있다. 정부와 민간은 위협 정보 공유 체계를 세분화하고 분야별 대응 매뉴얼을 보완하는 등 다층 방어망 구축에 속도를 내고 있다.

이번 쿠팡의 정보 유출은 특히 사고를 인지하기까지 5개월이나 걸렸다는 데 대한 비판이 거세다. 회사의 깜깜이 대응에 실망한 소비자들은 집단소송 등 단체 행동에 나설 움직임도 보이고 있다. 30일 쿠팡에 따르면 고객 계정과 관련된 개인정보 무단 접근은 지난 6월 24일부터 시작됐지만, 쿠팡은 이를 지난 18일에야 인지하게 됐다. 쿠팡은 그동안 공격자 입장에서 취약점을 찾는 ‘레드팀’과 선제적 위협 탐지·대응을 맡은 ‘고스트팀’을 운영하면서 수준 높은 보안 조직을 갖췄다고 홍보했지만 정작 개인정보 노출 기간이나 사고 발생 원인에 대해서는 ‘조사 중’이라며 함구하고 있다. 쿠팡 측은 “현재까지 2차 피해는 보고된 바 없다”고 했지만 소비자의 불안과 불신은 확산하고 있다. 민관합동조사단을 꾸리고 쿠팡 본사에서 현장 조사를 진행 중인 정부는 쿠팡 서버 인증 체계에 취약점이 있었다고 짚었다. 이날 배경훈 부총리 겸 과학기술정보통신부 장관은 정부서울청사에서 관계 부처 긴급회의를 열고 “공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 3000만개 이상 고객 계정의 고객명, 이메일, 발송지 전화번호 및 주소를 유출한 것으로 확인했다”고 설명했다. 정부는 회의에서 국가 배후 범죄 가능성에 대해서도 논의했으며, 쿠팡 서버에서 악성코드는 발견되지 않았다고 밝혔다. 쿠팡의 개인정보보호법상 안전조치의무 위반이 확인되면 엄정 제재할 방침이다. 이번 사고가 쿠팡의 내부 직원 소행이라는 추측이 나오면서 내부 보안 대책에 허점이 있었다는 비판도 피할 수 없게 됐다. 특히 수천만명의 정보가 새 나가는 동안 자체적으로 부정·불법 행위를 탐지해 내지 못할 정도로 쿠팡 서버의 모니터링 체계가 미흡했다는 지적이 나온다. 염흥열 순천향대 정보보호학과 명예교수는 “유출자가 직장 상사 등의 ID와 비밀번호를 확보해 타인의 접근 권한까지 가졌을 가능성이 있다”며 “서버 접속 과정에서 2차 인증이 필요한데도 1차 인증만으로 통과되는 등 인증 체계의 취약점이 추정된다”고 말했다. 쿠팡의 책임과 보상을 촉구하기 위한 소비자 움직임도 확산하고 있다. 지난 29일 네이버에 개설된 ‘쿠팡 정보유출 집단소송 카페’ 운영진은 “3370만명이 피해를 본 초유의 사태에 대해 법적 책임을 묻고 공동 대응 방안을 마련하겠다”며 출범 취지를 밝혔다. 카카오톡에서 ‘쿠팡 정보유출 피해자 모임’ 채팅방을 개설한 이모(49)씨도 “개인의 힘으로는 거대 기업인 쿠팡의 안일한 대응에 맞서기 어렵다고 판단했다”면서 “집단 분쟁 조정 신청이나 공동소송까지 고려하고 있다”고 설명했다. 손해배상 집단소송을 준비 중인 김경호 변호사(법무법인 호인)는 “핵심 쟁점은 쿠팡이 개인정보보호법 제29조에 따른 ‘안전조치의무’를 다했는지 여부”라면서 “해킹 기술이 고도화됐다 하더라도 쿠팡이 당시 기술 수준에서 요구되는 접근 통제, 접속 기록 보관, 암호화 조치 등을 소홀히 했다면 과실이 인정된다”고 주장했다.

‘홈캠’으로 불리며 범죄 예방 등을 위해 가정집 등에 설치된 인터넷 프로토콜(IP) 카메라 12만여대를 해킹해 성 착취물 수백개를 제작·판매한 피의자들이 검거됐다. 경찰청 국가수사본부는 IP 카메라를 해킹한 피의자 4명을 검거하고, 이 가운데 영상물을 성착취물로 제작하거나 판매한 A씨 등 3명을 구속했다고 30일 밝혔다. 피의자들은 범행을 공모한 공범 관계는 아닌 걸로 조사됐다. IP 카메라는 인터넷을 통해 다른 기기로 실시간 영상 송출이 가능한 장비로, 흔히 가정집에서 반려동물, 자녀나 노인의 안전을 확인하거나 범죄 예방 등 목적으로 설치하는 경우가 많다. 경찰에 따르면 무직인 A씨는 6만 3000대의 IP 카메라를 해킹해 탈취한 영상으 545개의 성 착취물을 제작한 혐의를 받는다. A씨는 이렇게 제작한 불법 영상을 해외 사이트에 팔아 3500만원어치의 가상자산을 챙긴 것으로 조사됐다. 피의자 중엔 회사원도 있었다. B씨는 IP 카메라 7만대를 해킹하고 648개의 성 착취물을 제작·판매해 가상자산 1800만원어치를 챙긴 혐의를 받는다. 두 사람이 만든 영상은 최근 1년간 특정 사이트에 게시된 영상의 62%에 달했다. 이 해외 사이트는 다양한 국가 피해자들의 불법 촬영 영상이 올라오고 있다. 현재 경찰은 해외 수사기관과 공조해 해당 사이트 운영자에 대한 법적 조치를 진행하고 있다. 이밖에 자영업자인 C씨는 IP 카메라 1만 5000대, 또 다른 회사원 D씨는 136대를 해킹한 것으로 조사됐다. 심지어 C씨는 해킹한 영상으로 아동·청소년 성착취물을 제작했다. 다만 경찰은 두 사람이 영상을 유포하거나 판매한 정황은 없는 것으로 파악했다. 피의자들에게 영상을 사들인 불법 사이트에서 성 착취물을 구매하고 시청한 3명도 붙잡혔다. 경찰 관계자는 “성착취물 구매자와 시청자들에 대한 수사도 이어가고 있다”고 말했다. 대량으로 해킹된 IP 카메라들은 아이디와 비밀번호가 동일하게 단순 반복되거나, 숫자나 문자 조합이 단순한 형태로 설정됐던 것으로 전해졌다. 인터넷망에 연결돼 영상을 실시간 송출하는 방식인 IP 카메라는 외부 접속이 차단된 폐쇄회로(CC)TV보다 설치가 간단하고 저렴하지만, 보안에는 더 취약하다. 경찰은 수사 과정에서 확인된 피해 장소 58곳에 대해서는 수사관이 직접 방문하거나 전화 또는 우편을 통해 피해 사실을 통지하고 비밀번호 변경 등을 안내했다. 방송미디어통신심의위원회에 해당 사이트 접속 차단을 요청했고, 외국 법집행기관과 협력해 폐쇄를 추진 중이다. 경찰 관계자는 “IP 카메라 사용자는 계정 비밀번호를 8자리 이상으로 특수문자를 포함해 변경하고, 제품이 이중 인증을 지원하면 반드시 활성화하는 게 보다 안전하다”며 “6개월에 한 번 이상 비밀번호를 변경하고 관련 소프트웨어를 최신 버전으로 유지할 필요도 있다”고 강조했다.

국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡이 대규모 개인정보 유출 사고에 대해 공개 사과했다. 박대준 쿠팡 대표는 30일 오후 정부서울청사에서 기자들과 만나 이같은 뜻을 밝혔다. 박 대표는 “이번 사태로 인해 피해를 보신 쿠팡 고객들과 국민들에게 심려를 끼쳐드려 너무 죄송한 말씀과 사과의 말씀을 드린다”고 고개를 숙였다. 그러면서 이번 사태의 원인이 빠르게 규명될 수 있도록 노력하겠다는 뜻도 전달했다. 쿠팡은 지난 18일 약 4500개 계정의 개인정보가 무단으로 노출된 사실을 인지했다고 밝혔으나 후속 조사 과정에서 노출된 계정 수가 3370만개로 확인됐다. 고객 이름, 이메일 주소, 배송지 주소록에 입력된 정보 등이 유출됐지만 결제 정보와 로그인 정보 등은 유출 대상에 포함되지 않았다는 게 쿠팡 측 설명이다. 쿠팡은 지난 25일 정보통신망법상 정보통신망 침입 혐의로 ‘성명불상자’를 수사해달라고 경찰에 고소장을 제출한 바 있다. 회사도 이날 박 대표 명의의 사과문을 내고 “올해 6월 24일 시작된 쿠팡의 최근 사고에 유감을 표명한다”며 “국민 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과드린다”고 밝혔다. 이어 “올해 6월부터 최근까지 고객 정보에 대한 무단 접근이 발생했다”며 “무단 접근된 고객 정보는 이름과 이메일, 전화번호, 배송지 주소, 특정 주문 정보로 제한됐다”고 밝혔다. 쿠팡은 “모든 고객 정보를 보호하는 것이 가장 중요한 우선순위”라며 “종합적인 데이터 보호 및 보안 조치와 프로세스를 유지하고 있다”고 덧붙였다. 이어 “과학기술정보통신부와 개인정보보호위원회, 한국인터넷진흥원, 경찰청 등 민관합동조사단과 긴밀히 협력해 추가적인 피해 예방을 위해 최선을 다하겠다”고 밝혔다. 쿠팡은 “앞으로 이러한 사건으로부터 고객 데이터를 더 안전하게 보호할 수 있도록, 현재 기존 데이터 보안 장치와 시스템에 어떤 변화를 줄 수 있는지 검토하고 있다”고 부연했다.

흑해에서 러시아의 제재 회피 유조선 2척을 공격한 우크라이나 해상드론이 개량형 ‘시 베이비’로 확인됐다. “처음엔 공중 공격으로 착각”…승무원 교신 가로채기 공개 우크라이나 국가안보국과 해군은 11월 28~29일 양일에 걸쳐 이번 작전을 공동으로 수행했다. 피격된 선박은 감비아 국적의 카이로스호와 비라트호이며, 두 선박 모두 서방 제재 명단에 올라 있다. 우크라이나 당국은 이번 작전이 무인수상정 다수를 이용한 정밀 기습이라고 밝혔다. 공개된 영상에는 시 베이비가 파도를 가르며 선박에 접근해 폭발하는 장면이 담겼다. 가로챈 교신에 따르면 비라트호 승무원들은 “통신이 끊기자 공중 드론 공격으로 착각했다”며 “파도 뒤에 숨은 저형 수상정이 기습했다는 사실은 나중에야 알았다”고 회상했다. 시 베이비, ‘보트 폭탄’에서 다목적 해상전력으로 진화 승무원들은 4~5차례 충격을 받았고 기관실이 손상돼 예인을 요청했다. 카이로스호는 폭발 뒤 화재가 발생해 승무원 전원이 구조됐으며 비라트호는 다음 날 추가 공격을 받아 우현이 크게 파손됐다. 튀르키예 당국은 피격 지점이 자국 배타적경제수역(EEZ) 인근이라고 밝히며 항해 안전과 환경 리스크를 경고했다. 시 베이비는 초창기 자폭형 보트에서 출발했지만 현재는 장거리·다목적 무인수상정으로 진화했다. 최신형은 작전 사거리가 최대 1500㎞에 달하며 상황에 따라 900㎏급 폭발물이나 최대 2톤의 화물을 실을 수 있다. 또한 소형 정찰 드론 발사대와 기뢰 투하 장치를 장착해 정찰과 타격 임무를 동시에 수행한다. 제재 회피망을 직접 타격한 전략적 의미 통신은 위성 링크를 기반으로 하고 백업용 안테나를 통해 교란 상황에서도 연결을 유지한다. 원격조종식 기관총과 표적 추적 시스템을 갖춰 저고도 항공 표적에 대응할 수 있다. 우크라이나는 선체를 금속에서 섬유강화 플라스틱으로 바꿔 제작 단가를 낮추고 대량 생산 체계로 전환했다. 시 베이비는 이제 자폭용 보트를 넘어 정찰·방어·타격을 모두 수행하는 ‘무인 해상전투체계’로 자리잡았다. 이번 공격은 러시아의 제재 회피망을 직접 겨냥한 사례로 평가된다. 그림자 선단은 제3국 깃발과 복잡한 소유구조를 이용해 원유를 운송하며 서방의 감시를 피해왔다. 우크라이나는 무인 플랫폼을 이용해 이들 선박을 항행 불능 상태로 만들며 러시아의 외화 수입원을 직접 차단했다. 확산되는 무인 해상전력…비대칭 전력의 새 전선반복적인 공격이 이어지면 해운 보험료 상승과 항로 재편, 국제 원유 공급망 변동이 불가피할 전망이다. 실제로 일부 선사들은 흑해 항로 운항 축소를 검토하고 있는 것으로 알려졌다. 국제 해상안보와 한국에 주는 경고시 베이비는 소수의 무인 플랫폼으로도 상업선과 군수 보급선을 동시에 마비시킬 수 있어 기존 함정 중심의 해군 운용 개념을 흔들고 있다. 저비용·고위력의 무인체계가 실전에서 효과를 입증하면서 비대칭 전력의 중요성이 커지고 있으며 각국은 탐지체계 강화에 나서고 있다. 파도에 숨어드는 수상정을 포착하려면 고해상도 해상레이더와 적외선 탐지기, 초저고도 감시망을 통합 운용해야 한다는 분석이 제기된다. 이번 사건은 국제 해운 안전 규범과 보험 체계, 환경 리스크에도 파급력을 미칠 수 있다. EEZ 내 민간 선박이 공격당하는 사례가 늘면 각국은 해운사 보안 강화와 감시 체계 재정비에 나설 수밖에 없다. 무인 해상전력, 전쟁의 규칙을 바꾸다국내 전문가들은 흑해에서 벌어진 무인체계 공격이 동북아 연안에도 시사점을 던진다고 본다. 이들 관측에 따르면 “해운사·해군·보험업계가 유기적으로 협력해 저비용 무인 위협에 대비하는 체계를 서둘러 구축할 필요가 있다”고 전문가들은 평가한다. 비대칭 해상 전력의 확산은 군사 문제를 넘어 해상 물류·보험·환경 대응까지 복합적 위험요소로 이어질 수 있다. 흑해에서 벌어진 이번 작전은 우크라이나가 무인 해상전력으로 러시아의 제재 회피망을 정조준했음을 보여준다. 시 베이비는 더 이상 실험용 자폭정이 아니라 장거리·다목적 전투 플랫폼으로 자리매김했으며, 해상전의 패러다임이 ‘자율·스텔스·비대칭’ 전력 중심으로 이동하고 있음을 입증했다.

흑해에서 러시아의 제재 회피 유조선 2척을 공격한 우크라이나 해상드론이 개량형 ‘시 베이비’로 확인됐다. “처음엔 공중 공격으로 착각”…승무원 교신 가로채기 공개 우크라이나 국가안보국과 해군은 11월 28~29일 양일에 걸쳐 이번 작전을 공동으로 수행했다. 피격된 선박은 감비아 국적의 카이로스호와 비라트호이며, 두 선박 모두 서방 제재 명단에 올라 있다. 우크라이나 당국은 이번 작전이 무인수상정 다수를 이용한 정밀 기습이라고 밝혔다. 공개된 영상에는 시 베이비가 파도를 가르며 선박에 접근해 폭발하는 장면이 담겼다. 가로챈 교신에 따르면 비라트호 승무원들은 “통신이 끊기자 공중 드론 공격으로 착각했다”며 “파도 뒤에 숨은 저형 수상정이 기습했다는 사실은 나중에야 알았다”고 회상했다. 시 베이비, ‘보트 폭탄’에서 다목적 해상전력으로 진화 승무원들은 4~5차례 충격을 받았고 기관실이 손상돼 예인을 요청했다. 카이로스호는 폭발 뒤 화재가 발생해 승무원 전원이 구조됐으며 비라트호는 다음 날 추가 공격을 받아 우현이 크게 파손됐다. 튀르키예 당국은 피격 지점이 자국 배타적경제수역(EEZ) 인근이라고 밝히며 항해 안전과 환경 리스크를 경고했다. 시 베이비는 초창기 자폭형 보트에서 출발했지만 현재는 장거리·다목적 무인수상정으로 진화했다. 최신형은 작전 사거리가 최대 1500㎞에 달하며 상황에 따라 900㎏급 폭발물이나 최대 2톤의 화물을 실을 수 있다. 또한 소형 정찰 드론 발사대와 기뢰 투하 장치를 장착해 정찰과 타격 임무를 동시에 수행한다. 제재 회피망을 직접 타격한 전략적 의미 통신은 위성 링크를 기반으로 하고 백업용 안테나를 통해 교란 상황에서도 연결을 유지한다. 원격조종식 기관총과 표적 추적 시스템을 갖춰 저고도 항공 표적에 대응할 수 있다. 우크라이나는 선체를 금속에서 섬유강화 플라스틱으로 바꿔 제작 단가를 낮추고 대량 생산 체계로 전환했다. 시 베이비는 이제 자폭용 보트를 넘어 정찰·방어·타격을 모두 수행하는 ‘무인 해상전투체계’로 자리잡았다. 이번 공격은 러시아의 제재 회피망을 직접 겨냥한 사례로 평가된다. 그림자 선단은 제3국 깃발과 복잡한 소유구조를 이용해 원유를 운송하며 서방의 감시를 피해왔다. 우크라이나는 무인 플랫폼을 이용해 이들 선박을 항행 불능 상태로 만들며 러시아의 외화 수입원을 직접 차단했다. 확산되는 무인 해상전력…비대칭 전력의 새 전선반복적인 공격이 이어지면 해운 보험료 상승과 항로 재편, 국제 원유 공급망 변동이 불가피할 전망이다. 실제로 일부 선사들은 흑해 항로 운항 축소를 검토하고 있는 것으로 알려졌다. 국제 해상안보와 한국에 주는 경고시 베이비는 소수의 무인 플랫폼으로도 상업선과 군수 보급선을 동시에 마비시킬 수 있어 기존 함정 중심의 해군 운용 개념을 흔들고 있다. 저비용·고위력의 무인체계가 실전에서 효과를 입증하면서 비대칭 전력의 중요성이 커지고 있으며 각국은 탐지체계 강화에 나서고 있다. 파도에 숨어드는 수상정을 포착하려면 고해상도 해상레이더와 적외선 탐지기, 초저고도 감시망을 통합 운용해야 한다는 분석이 제기된다. 이번 사건은 국제 해운 안전 규범과 보험 체계, 환경 리스크에도 파급력을 미칠 수 있다. EEZ 내 민간 선박이 공격당하는 사례가 늘면 각국은 해운사 보안 강화와 감시 체계 재정비에 나설 수밖에 없다. 무인 해상전력, 전쟁의 규칙을 바꾸다국내 전문가들은 흑해에서 벌어진 무인체계 공격이 동북아 연안에도 시사점을 던진다고 본다. 이들 관측에 따르면 “해운사·해군·보험업계가 유기적으로 협력해 저비용 무인 위협에 대비하는 체계를 서둘러 구축할 필요가 있다”고 전문가들은 평가한다. 비대칭 해상 전력의 확산은 군사 문제를 넘어 해상 물류·보험·환경 대응까지 복합적 위험요소로 이어질 수 있다. 흑해에서 벌어진 이번 작전은 우크라이나가 무인 해상전력으로 러시아의 제재 회피망을 정조준했음을 보여준다. 시 베이비는 더 이상 실험용 자폭정이 아니라 장거리·다목적 전투 플랫폼으로 자리매김했으며, 해상전의 패러다임이 ‘자율·스텔스·비대칭’ 전력 중심으로 이동하고 있음을 입증했다.

국내 전자상거래(이커머스) 시장 1위 업체인 쿠팡의 대규모 개인정보 유출이 반년 전부터 발생했을 가능성이 제기되면서 소비자들 사이에서 불안과 우려가 커지고 있다. 정부는 민간과 합동조사단을 꾸려 사고 원인 분석에 나섰고, 경찰은 수사에 착수했다. 30일 유통업계에 따르면 쿠팡은 전날 오후 “고객 계정 약 3370만개가 무단으로 노출된 것으로 확인됐다”고 공지했다. 쿠팡은 노출된 고객 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 ‘제한’됐고, 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 이어 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 덧붙였다. 고객의 민감한 개인정보 탈취 시도가 이미 5개월 전에 시작됐다는 것이다. 쿠팡은 이번 유출 사고를 지난 18일에서야 인지하고 지난 20일과 전날 각각 관련 내용을 개인정보보호위원회에 신고했다. 개인정보보호위는 현재 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인 정보 유출 사태에 대한 수사에 착수했다. 전자상거래를 이용하는 국민이라면 대부분 쓰고 있다고 볼 수 있는 쿠팡에서 대규모 고객 정보 유출 사고가 발생하면서 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 전날 관련 기사에는 “개인정보 털렸는데 그냥 미안하다고 문자 하나만 띡 보내면 다냐”, “요즘 광고 전화 너무 많이 오더니”, “전 국민 털렸네” 등 정보 유출에 대한 불안과 분노 섞인 댓글이 달렸다. 또 고객의 이름과 이메일, 전화번호, 주소만으로도 분히 사기 등의 범죄에 악용될 수 있다는 지적도 나온다. 특히 주소가 유출되면서 문 앞 배송을 원활히 하기 위해 기재한 공동 현관 비밀번호까지 다 노출된 것 아니냐는 불안까지 제기되고 있다. 쿠팡이 피해 규모를 9일 만에 약 7500배로 조정한 것을 두고도 향후 조사 결과에 따라 피해 규모가 더 커질지도 모른다는 추측도 나온다. 또 지난 6월부터 정보 탈취 시도가 있었던 것으로 확인된 만큼 정보 유출이 수개월에 걸쳐 이뤄졌을 가능성도 제기된다. 쿠팡은 지난 20일 정보 유출 피해 고객 계정이 4500여개라고 발표했으나 29일에는 3370만개라고 다시 공지했다. 쿠팡이 지난 3분기 실적 발표 당시 언급한 프로덕트 커머스 부분 활성고객(구매 이력이 있는 고객)이 2470만명인데 이보다 훨씬 많은 수준이다. 사실상 전체 고객의 정보가 유출된 것으로 보인다. 또 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만명)를 뛰어넘는 규모다. 다른 기업들의 보안 관련 사고에서도 당국의 조사가 진행되면서 피해 규모는 더 커졌다. 앞서 사이버 침해 사고가 발생한 롯데카드의 경우 지난 9월 4일 사과문에서는 “현재까지 조사한 결과에 따르면 고객 정보 유출 사실은 확인되지 않았다”고 공지했으나, 그로부터 2주 뒤에는 카드번호뿐 아니라 CVC번호 등 민감 정보까지 유출됐다고 밝혔다. KT의 경우 해킹 사고 처리 과정에서 서버를 폐기해 증거를 은닉했다는 의혹이 제기돼 경찰이 이달 강제수사에 착수했다.

쿠팡이 보유한 고객 정보 3300만개가 외부에 노출된 사실이 드러났다. 29일 쿠팡은 개인정보가 노출된 고객 계정이 3370만개로 확인됐다고 밝혔다. 앞서 약 4500개 계정의 개인정보가 무단 노출됐다고 밝힌 것에 비하면 7만 5000배 수준으로, 사실상 모든 고객의 정보가 노출된 것으로 보인다. 노출된 정보는 이름, 이메일 주소, 배송지 주소, 배송지 전화번호 등이다. 다만 쿠팡은 결제정보나 신용카드 번호, 로그인 정보는 노출되지 않았다고 밝혔다. 쿠팡이 이번에 밝힌 개인정보 무단 노출 계정은 사실상 쿠팡 고객의 대부분이다. 쿠팡의 전체 회원 수는 공개된 바 없으나 지난 3분기 기준 프로덕트 커머스 부분 활성고객(구매 이력이 있는 고객)은 2470만명이다. 쿠팡은 보도자료를 통해 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정된다”며 “(현재는) 무단 접근 경로를 차단했고 내부 모니터링을 강화했다”고 밝혔다. 이와 함께 보안기업 전문가를 영입해 조사를 진행하는 동시에 사법기관 및 규제당국과 지속적으로 협력하고 있다고 했다. 그러면서 “이번 일로 인해 발생한 모든 우려에 대해 진심으로 사과드리며, 고객 여러분께서 쿠팡을 사칭하는 전화, 문자 메시지 또는 기타 커뮤니케이션에 주의해달라”고 했다.

중국 장쑤성의 한 대학이 심각한 기숙사 부족 문제를 해결하기 위해 3억 위안(약 600억원) 가까운 예산을 들여 주변의 아파트를 대규모로 매입한다는 소식이 전해졌다. 이는 단기간에 자체 기숙사 건설이 불가능해지자 고육지책으로 대규모 주택 매입을 선택한 이례적인 사례다. 3억 위안 투입해서 아파트 490세대 매입 29일 중국 언론 홍망에 따르면 중국광업대학 남호캠퍼스는 2억 9345만 위안(약 609억 7304만원)을 투입해 캠퍼스 인근 아파트 14개 동 490세대를 매입, 학생 기숙사로 활용할 계획이라고 밝혔다. 학교 측은 캠퍼스 내 신규 개발 부지가 없고, 주변 토지 공급도 이뤄지지 않아 단기간에 자체 기숙사 건설이 사실상 불가능한 상황이라고 설명했다. 현재 대학은 13만 7634㎡ 규모의 기숙사 면적이 부족하며, 국가의 대학 정원 확대 기조까지 더해져 부족 문제가 심화될 것으로 전망하고 있다. 매입 대상 아파트는 ‘인산관후·관산푸 C2 구역’이다. 총 21개 동으로 구성되어 있으며, 모든 동은 2024년 12월 31일 준공 검사를 완료했다. 1채당 평균 매입 가격은 약 60만 위안(약 1억 2500만 원) 수준이다. 이는 해당 단지 초기 분양가의 절반 수준에 불과하다. 중국 부동산 경기 침체가 반영된 가격이다. 전문가 “혁신적 대안” vs. 누리꾼 “관리 투명성 문제” 쉬저우시 도시계획연구원 리링 수석 플래너는 “중국광업대학이 자체 건설 대신 매입을 선택한 것은 고등교육 자원 배분을 최적화하기 위한 혁신적 시도”라고 긍정적으로 평가했다. 대학의 구조적 문제 해결과 동시에 주택 재고 해소에도 기여할 수 있다는 분석이다. 그러나 누리꾼들의 반응은 정반대였다. “캠퍼스에서 7㎞ 떨어진 아파트를 기숙사로 쓰는 것이 현실적인가”, “가까운 신축 단지도 많은데 왜 가장 먼 곳을 골랐는지 의문”이라며 선정 과정의 투명성을 문제 삼았다. 여기에 4000명 가까운 학생이 외부 아파트에 흩어져 생활하면 관리·보안·생활지도가 모두 어려워진다는 지적도 나왔다. 임대가 아닌 매입을 선택한 이유에도 의구심을 나타냈다. 학교 측은 매입을 통해 심각한 기숙사 대란을 해결할 수 있을 것으로 기대하고 있지만, 학생 관리와 행정의 투명성 논란은 계속될 전망이다.

중국 장쑤성의 한 대학이 심각한 기숙사 부족 문제를 해결하기 위해 3억 위안(약 600억원) 가까운 예산을 들여 주변의 아파트를 대규모로 매입한다는 소식이 전해졌다. 이는 단기간에 자체 기숙사 건설이 불가능해지자 고육지책으로 대규모 주택 매입을 선택한 이례적인 사례다. 3억 위안 투입해서 아파트 490세대 매입 29일 중국 언론 홍망에 따르면 중국광업대학 남호캠퍼스는 2억 9345만 위안(약 609억 7304만원)을 투입해 캠퍼스 인근 아파트 14개 동 490세대를 매입, 학생 기숙사로 활용할 계획이라고 밝혔다. 학교 측은 캠퍼스 내 신규 개발 부지가 없고, 주변 토지 공급도 이뤄지지 않아 단기간에 자체 기숙사 건설이 사실상 불가능한 상황이라고 설명했다. 현재 대학은 13만 7634㎡ 규모의 기숙사 면적이 부족하며, 국가의 대학 정원 확대 기조까지 더해져 부족 문제가 심화될 것으로 전망하고 있다. 매입 대상 아파트는 ‘인산관후·관산푸 C2 구역’이다. 총 21개 동으로 구성되어 있으며, 모든 동은 2024년 12월 31일 준공 검사를 완료했다. 1채당 평균 매입 가격은 약 60만 위안(약 1억 2500만 원) 수준이다. 이는 해당 단지 초기 분양가의 절반 수준에 불과하다. 중국 부동산 경기 침체가 반영된 가격이다. 전문가 “혁신적 대안” vs. 누리꾼 “관리 투명성 문제” 쉬저우시 도시계획연구원 리링 수석 플래너는 “중국광업대학이 자체 건설 대신 매입을 선택한 것은 고등교육 자원 배분을 최적화하기 위한 혁신적 시도”라고 긍정적으로 평가했다. 대학의 구조적 문제 해결과 동시에 주택 재고 해소에도 기여할 수 있다는 분석이다. 그러나 누리꾼들의 반응은 정반대였다. “캠퍼스에서 7㎞ 떨어진 아파트를 기숙사로 쓰는 것이 현실적인가”, “가까운 신축 단지도 많은데 왜 가장 먼 곳을 골랐는지 의문”이라며 선정 과정의 투명성을 문제 삼았다. 여기에 4000명 가까운 학생이 외부 아파트에 흩어져 생활하면 관리·보안·생활지도가 모두 어려워진다는 지적도 나왔다. 임대가 아닌 매입을 선택한 이유에도 의구심을 나타냈다. 학교 측은 매입을 통해 심각한 기숙사 대란을 해결할 수 있을 것으로 기대하고 있지만, 학생 관리와 행정의 투명성 논란은 계속될 전망이다.