쿠팡 고객 3370만 명의 개인정보가 유출되면서 파장이 일고 있는 가운데, 주문한 적 없는 택배가 중국에서 배송됐다는 사례가 심심치 않게 나오고 있다. 최근 엑스(X)에는 “여자 혼자 사는 집인데 시킨 적 없는 택배가 중국에서 온다. 택배에는 내 이름과 전화번호, 주소가 기입돼 있었다”, “택배를 발송한 사람의 번호가 중국 번호라 보낸 사람한테 연락을 할 수도 없다” 등의 글이 올라왔다. 해당 글 작성자는 자신의 사례를 공개하며 개인통관고유부호를 재발급 받으라고 권했다. 개인통관고유부호는 해외직구 시 세관 통관 절차에서 개인을 식별하기 위해 사용되는 번호다. 해당 게시물은 쿠팡 개인 정보 유출 사태와 맞물리면서 큰 주목을 받았다. 쿠팡에서 해외 직구 서비스를 이용할 때 반드시 개인통관고유번호를 입력해야 하는데, 개인 정보가 유출되면서 개인통관고유번호도 함께 유출됐을 가능성이 제기됐기 때문이다. 쿠팡 정보 유출 사고의 2차 피해를 우려한 일부 시민들이 개인통관고유부호를 바꾸려 관세청 전자통관시스템(유니패스)으로 몰려들면서 홈페이지가 일시 먹통이 되기도 했다. 2일 오후 3시 기준 관세청 유니패스 홈페이지는 접속 지연 상태가 지속됐다. 이는 전날 오전 9시 15분부터 시작된 접속 지연 사태가 이어진 것이다. 국회 과학기술정보방송통신위원회의 쿠팡 현안 질의가 진행되던 정오 경에는 트래픽이 더욱 폭주해 홈페이지가 일시 먹통이 됐다. 관세청은 홈페이지 공지를 통해 “현재 유니패스 이용량 증가 및 서버 처리 지연으로 인해 일부 서비스 이용이 원활하지 않을 수 있다”면서 “서비스는 안정화 작업 진행 중”이라고 안내했다. 2일 오후 5시 30분 기준, 유니패스 홈페이지는 아예 열리지 않거나 페이지가 열릴 때마다 상당한 로딩이 걸리는 상태다. 쿠팡 사태의 2차 피해를 우려하는 사람들 사이에서는 개인통관고유번호와 이미 유출된 개인 정보로 인해 스미싱 등에 노출되고 최악의 경우 밀수품 수입에 개인 명의가 도용될 수 있다는 우려까지 퍼지는 상황이다. 전문가들은 2차 피해를 막기 위해 쿠팡에서 결제 정보를 삭제하고 로그인 비밀번호를 바꾸는 등 조치를 해야 한다고 조언한다. 쿠팡은 이중 카드 결제 번호나 개인통관고유번호 등은 유출되지 않았다고 밝혔지만 아직 조사가 진행 중인 만큼 쿠팡 측 주장을 모두 신뢰하기는 어려운 상황이다. 비번 변경 공지 권유에 쿠팡이 내놓은 답변개인정보 도용과 보이스피싱, 스미싱 등을 통한 2차 피해가 우려되는 상황에서 쿠팡은 여전히 사태를 축소하는 데 급급한 모양새다. 2일 국회 과학기술정보방송통신위원회의 쿠팡 현안 질의에 참석한 김승주 고려대 정보보호대학원 교수는 “피해가 확산될 수 있어 쿠팡에 결제용 카드를 등록했다면 삭제해야 하고, 해당 (신용·체크) 카드의 비밀번호를 바꿀 수 있다면 바꾸는 것이 좋다”면서 “쿠팡 로그인 비밀번호도 바꾸면 좋다”고 말했다. 이후 과방위원장인 최민희 더불어민주당 의원이 쿠팡 측에 김 교수가 당부한 조치 3가지를 공지하라고 권고하자, 박대준 쿠팡 대표는 “(김 교수가 말한) 정보가 노출됐다고 확인된 바는 아직 없고, 너무 과잉해서 안내할 경우 불안감을 조성하게 된다”며 사실상 거절했다. 한편 관세청은 2026년부터 개인통관고유부호를 1년에 한 번씩 갱신하도록 하고, 도용이 의심될 경우 관세청이 직권으로 사용을 정지할 수 있도록 정했다.

3370만명 규모의 역대 최대 개인정보 유출이 발생한 쿠팡과 관련해 허술한 보안 관리 체계는 물론 본사를 미국에 두고 한국에서 사업하는 기형적인 지배구조에 대한 비판이 커지고 있다. 막대한 수익은 한국에서 얻고, 정작 책임질 일에는 미국 기업처럼 행세한다는 것이다. 쿠팡은 모기업인 ‘쿠팡Inc’가 미국 뉴욕증시에 상장한 미국 기업이지만 90% 이상의 매출이 한국에서 나온다. 자회사는 한국에서 사업하는 쿠팡과 쿠팡페이, 쿠팡풀필먼트서비스, 쿠팡로지스틱스서비스 등이다. 대외 메시지도 미국 본사의 승인 없이는 나오지 않는 구조다. 개인정보 유출 사고 이후 쿠팡의 사과문에 ‘개인정보 유출’이 아니라 “고객 계정에 ‘무단 접근’이 이뤄졌다”는 등 국내 소비자 정서와 맞지 않는 표현이 담긴 이유로 지목된다. 2일 국회 과학기술정보방송통신위원회가 연 쿠팡 개인정보 유출 사고 관련 긴급 현안 질의에서 이훈기 더불어민주당 의원이 ‘왜 (소비자 안내문에) 유출이 아니라 노출이라는 표현을 썼느냐’고 묻자 박대준 쿠팡 대표는 “생각이 부족했던 것 같다. 유출이 맞다”고 인정했다. 심지어 쿠팡은 이날 쿠팡 홈페이지와 애플리케이션 첫 화면에 띄웠던 사과문을 이틀 만에 내려 빈축을 샀다. 최악의 개인정보 유출 사고에도 두문불출하고 있는 창업자 김범석 쿠팡Inc 의장에 대한 비판도 거세지고 있다. 김 의장은 사고 이후 어떤 메시지도 내놓지 않았다. 이날 국회 현안 질의에도 김 의장이 아닌 박 대표가 출석했다. 위원들은 김 의장이 직접 사과할 의향은 없는지 물었으나 박 대표는 “한국 법인에서 벌어진 일이고, 제 책임 하에 벌어져 제가 사과 말씀을 드린다”고만 답했다. 미국 국적인 김 의장은 현재 한국에 없는 것으로 알려졌다. 김 의장은 2021년 쿠팡 한국법인 이사회 의장과 등기이사직에서 물러나며 한국 사업에 직접적으로 관여하지 않고 있다. 김 의장은 쿠팡Inc 지분 8.8%를 보유 중이나 이는 주당 29배의 차등의결권을 지닌 클래스B 주식이어서 행사 가능 의결권은 올해 상반기 기준으로 74.3%나 된다. 김 의장은 매 분기 실적 발표 때도 콘퍼런스 콜에 직접 나서 성과와 투자 계획을 설명한다. 김 의장은 매년 국정감사 때마다 단골로 출석 요구가 빗발치지만 한 번도 나오지 않았다. 지난 1월 국회 환경노동위원회 청문회에도 도널드 트럼프 미국 대통령 취임식 참석을 이유로 불출석했다. 미국 국적을 이유로 공정거래위원회의 공시대상기업집단 동일인(총수) 지정도 피했다. 이후 외국 국적자도 동일인으로 지정할 수 있게 됐지만 김 의장은 국내 법인 지분이 없고 친족이 경영에 참여하지 않는다는 이유로 동일인 지정 예외로 취급됐고, 그 결과 사익 편취 금지와 친인척 자료 제출 등 각종 의무에서 벗어났다. 김 의장은 지난해 세금 등을 낸다며 보유 중이던 클래스B 보통주를 클래스A 보통주 1500만주로 전환해 처분하면서 4846억원을 현금화했다. 보유 주식 200만주(약 672억원)는 미국 내 자선기금에 기부했다. 돈은 한국에서 벌고 기부는 미국에 했다는 비판도 쏟아졌다. 쿠팡은 2012년 유통산업발전법이 대형마트의 새벽배송 사업에 제동을 건 틈을 타 물류 인프라에 수조원을 쏟아부으며 국내 유통업계 1위 기업으로 성장했다. ‘유통 공룡’임에도 허술한 개인정보 관리 실태뿐 아니라 물류센터 노동자와 택배기사의 연이은 사망 사고, 검색 순위 조작으로 인한 과징금 처분 등으로 이미 수많은 구설에 올랐다. 한국이 아닌 미국 뉴욕거래소에 상장한 쿠팡Inc의 주가는 개인정보 유출 사실이 공개된 후 첫 거래일이던 지난 1일(현지시간)에 전 거래일 대비 5.36% 급락한 26.65달러에 장을 마쳤다. 지난달 5일 이후 한 달 만에 가장 큰 낙폭이다. 월가가 쿠팡의 허술한 위기 관리 체계와 이로 인한 제재 영향을 부정적으로 해석한 셈이다. 미국 증권거래위원회(SEC)에는 중대한 사이버 보안 사고가 발생한 경우 4영업일 이내에 공시해야 한다는 규정이 있지만, 쿠팡은 아직 이번 사고를 공시하지 않아 향후 제재 가능성도 있다. JP모건은 이날 “쿠팡이 자체 보상 프로그램을 마련해야 하고, 한국 정부의 과징금 부과 가능성이 있어 단기 투자 심리에 부담이 될 수 있다”면서도 “사실상 경쟁자가 없는 쿠팡의 시장 지위와 한국 소비자들의 데이터 유출 이슈에 대한 민감도를 고려하면 소비자 이탈 폭은 크지 않을 것”이라고 전했다.

쿠팡 고객 3370만명의 개인정보 유출은 몸집만 키우고 보안은 뒷전인 기업, 법 개정 등 제도 개선에 손 놓고 있었던 국회와 정부가 만들어낸 예견된 사태라는 목소리가 커지고 있다. 지난 4월 SK텔레콤(SKT) 유심(USIM·가입자 식별 모듈) 정보 유출 사태 이후 7개월이 넘도록 개인정보보호법 개정안은 단 한 건도 국회 문턱을 넘지 못했다. 소비자 불만이 폭발할 때 일시적으로 법안 발의가 이뤄지고, 정작 실질적인 법 개정으로 이어지지 않은 셈이다. 그 결과 개인정보 유출 이후 기업의 신속한 대응, 강제성 있는 조사, 처벌 강화 등은 여전히 기대하기 어려운 상황이다. 2일 서울신문 취재를 종합하면, SKT 해킹 사태가 발생한 4월부터 이날까지 7개월 동안 발의된 개인정보보호법 개정안은 모두 22건이지만, 모두 소관위원회인 정무위원회 심사 단계 문턱도 넘지 못했다. 발의된 의안 중 유출된 개인정보가 누구 것인지 특정할 수 없을 때 모든 정보주체에게 신속하게 법정 통지사항을 알리는 내용이 8건에 달한다. 하지만 법안 통과가 늦어지면서 이번 쿠팡 사태에서도 뒤늦게 안내를 받는 사례가 속출하고 있다. 곽진 아주대 사이버보안학과 교수는 “소비자가 스미싱 등 2차 범죄에 대응하려면 정보유출 여부를 사전에 아는 것이 매우 중요하다”고 말했다. 민관합동조사단의 조사도 사실상 강제력이 없다는 지적이 이어졌으나 이 부분 역시 개선되지 않고 있다. 국회입법조사처는 지난 5월 ‘통신사 해킹 사고 사후대응의 문제점과 입법과제’를 통해 “사업자가 자료 제출을 거부해도 제재는 1000만원 이하 과태료 부과에 그친다. 이를 상향하거나 이행강제금을 부과해 조사 강제력을 강화해야 한다”고 지적했다. 개인정보 유출 관련 제도 개선이 이뤄지지 않는 건 ‘보안=비용’으로 보는 인식이 커서다. 한국인터넷기업협회도 관련 법 개정에 대해 국회 정무위원회에 “신중한 검토가 필요하다”는 의견을 제출했다. 김명주 서울여대 지능정보보호학부 교수는 “기업 입장에서는 개인정보 보호 관련 규제가 ‘비용’이기 때문에 의견 협의가 이뤄지지 않고 있다”고 말했다. 황석진 동국대 국제정보보호대학원 교수는 “여야는 관련 법안을 민생 법안으로 보고 서둘러 제정해야 한다”고 건의했다. 박대준 쿠팡 대표는 이날 국회 과학기술정보방송통신위원회 긴급 현안질의에서 ‘김범석 쿠팡 의장이 사과할 의향은 없느냐’는 이훈기 더불어민주당 의원의 질의에 “제가 현재 이 사건에 대해 전체 책임을 지고 있다. 한국 법인 대표로서 사태를 해결하겠다”고 말했다. 한편 민관합동조사단을 꾸리고 쿠팡의 개인정보 유출 사고 조사에 나선 과학기술정보통신부는 현안질의에서 “식별된 공격 기간은 지난 6월 24일부터 11월 8일까지”라고 공식 발표했다. 총 138일 간이다. 류제명 과기정통부 2차관은 “3000만개 이상 계정의 개인 정보가 유출됐다”며 “KT 무단 소액결제 사고처럼 ‘관리 부실’이 이번 쿠팡 개인정보 유출 사고의 배경”이라고 밝혔다. 아울러 금융감독원은 쿠팡의 결제 자회사 쿠팡페이에 대해 일주일간 현장조사에 착수했다.

쿠팡의 퇴사한 중국인 직원이 회원 3370만명의 개인정보를 유출한 사고와 관련, 박대준 쿠팡 대표가 유출된 정보 중에 휴면 상태이거나 탈퇴한 회원의 정보도 포함됐을 수 있다고 2일 밝혔다. 박 대표는 이날 국회 과학기술정보방송통신위원회의 현안질의에서 휴면 및 탈퇴 회원의 정보가 유출됐을 가능성을 묻는 질문에 “일부 포함됐을 것이라고 생각한다”면서 이같이 말했다. 박 대표는 휴면 및 탈퇴 여부와 관련 없이 피해를 본 모든 회원들에게 개인정보 유출 사실을 안내했다고 설명했다. 다만 정보가 유출된 휴면 또는 탈퇴 회원이 몇 명인지를 묻는 질문에는 “정확히 세는 건 어렵다”고 답했다. 쿠팡에 따르면 이번 사고로 유출된 개인정보는 이용자들의 이름과 전화번호, 주소록에 입력한 배송지 주소, 주문 정보다. 비밀번호와 결제 카드 등 결제에 필요한 정보는 유출되지 않았다고 쿠팡은 설명했지만, 박 대표는 이용자들이 배송 주소록에 입력하는 공동현관 비밀번호도 일부 유출됐을 가능성이 있다고 시인했다. 이번 사태의 피해 규모는 지난해 SK텔레콤에서 발생한 해킹 사태(2300만명 피해)를 뛰어넘는다. SK텔레콤은 당시로는 역대 최대 규모인 1347억 9000만원의 과징금을 부과받았는데, 정치권에서는 쿠팡에 대해 1조원대의 과징금을 부과해야 한다는 주장이 나오고 있다. 황정아 더불어민주당 의원은 “(개인정보보호법에 따르면) 매출액의 3%, 1조 3000억원의 과징금을 물 수 있다고 한다”며 “개인정보보호위원회에서 과징금을 부과하면 소송전 없이 수용할 생각인가?”라고 물었다. 이에 박 대표는 “책임을 회피하고 싶은 생각이 없다”며 “책임이 있는 부분이 있다면 당연히 책임져야 된다고 생각한다”고 답했다.

12월 1일부터 모집…착수금 1인당 만 원 최근 쿠팡에서 3,370만 건에 달하는 고객 개인정보가 무단 유출된 사실이 드러난 가운데, 법률사무소 화음(대표변호사 정재권)이 쿠팡 개인정보유출 피해자 집단소송 접수를 시작했다고 밝혔다. 법률사무소 화음은 지난 12월 1일부터 쿠팡 개인정보 유출 사태와 관련해 쿠팡 측에 집단소송을 제기하기 위한 참여자를 모집하고 있다. 법률사무소 화음 정재권 변호사는 “이번 개인정보유출 사건은 외부의 해킹이 아닌 ‘내부 직원’에 의한 유출이므로 쿠팡의 책임이 보다 막중하다”라며 “유출된 정보에는 이름, 휴대전화 번호와 이메일 주소가 포함되어 있어 다른 웹사이트에 대입하는 크리덴셜 스터핑 공격 시도의 가능성이 있으며, 2차 추가 피해의 우려가 있다. 배송 지연을 사칭한 스미싱, 가족과 지인의 정보까지 유추되어 활용되는 등 사생활 침해 위험도 매우 높아 보인다”라고 전했다. 이어 “개인정보보호법에 따르면 정보주체는 법 위반 행위로 손해를 입으면 개인정보처리자에게 배상을 청구할 수 있고, 이 경우 사업자가 고의·과실이 없음을 입증하지 못하면 책임을 면할 수 없다. 과거 카드사 정보 유출, 인터파크 해킹 사건 등에서 법원은 기업의 과실이 인정될 경우 피해자 1인당 10~20만 원 내외의 위자료를 인정한 바 있다. 이번 사건은 주소지(거주지) 정보가 포함돼 스토킹, 보이스피싱 등 오프라인 범죄 악용 가능성이 크므로 더 높은 위자료가 인정될 여지가 있다. 집단 소송을 통해 효율적인 권리 구제와 유사 사태 재발 방지가 최선의 선택이 될 수 있다”라고 전했다. 실제로 해당 사건은 온라인에서도 움직임이 확산되고 있다. 개인정보 유출 사실이 공개된 지 이틀 만에 네이버에는 쿠팡 집단소송 관련 카페가 10여 곳 개설됐으며, 현재도 가입자 수가 빠르게 늘고 있다. 이번에 유출된 계정 정보가 3,370만 개에 달하는 만큼 개인정보 유출 관련 국내 단체 소송 가운데 최대 규모가 될 수 있다는 전망이 나온다. 앞서 법률사무소 화음은 SKT 유심정보 유출 피해자 단체소송을 3차까지 진행한 바 있다. 특히 화음 정재권 대표변호사는 과학기술정보통신부 고문변호사로 고도의 경험과 전문성을 바탕으로 소송을 진행해 나간다. 현재 법률사무소 화음에서 진행하는 쿠팡 개인정보유출 집단소송은 착수금 1만 원으로 참여할 수 있으며, 홈페이지 내 신청서 작성 등의 방법으로 신청자를 모집하고 있다. 배상금은 최소 10만 원에서 최대 30만 원 정도로 예상하고 있으며, 진행 과정에서 구체적 사실관계의 확정 및 증거 현출에 따라 청구금액을 확장하는 방식으로 진행할 예정이다. 정 변호사는 “과학기술정보통신부 고문 변호사로서의 경험을 통해 축적된 정보통신 관련 법률 및 정책에 대한 높은 이해도는 이번 소송을 성공적으로 이끄는 데 큰 강점이 될 것”이라며 “더 이상 혼자 고민하지 마시고, 저희와 함께 목소리를 내주시길 바란다”라고 밝혔다. 한편, 법률사무소 화음은 과학기술정보통신부(과기부) 고문 변호사로 위촉된 정재권 대표변호사를 포함해 IT 분야의 전문성을 지닌 변호사들로 구성된 로펌이다.

쿠팡의 퇴사한 직원이 이용자 3370만명의 개인정보를 유출한 사태와 관련, 유출된 개인정보에 이용자들의 공동현관 비밀번호도 일부 포함된 것으로 확인됐다. 2일 국회 과학기술정보방송통신위원회의 쿠팡 개인정보 유출사고 관련 긴급 현안질의에서 박대준 쿠팡 대표는 “공동현관 비밀번호도 유출됐느냐”는 질의에 “일부 포함된 것으로 알고 있다”고 답했다. 노종면 더불어민주당 의원이 “그런데 왜 통지문(안내 문자)에 그 내용이 없느냐”고 물었고, 박 대표는 “(개별 이용자들의 정보에) 모두 항상 들어있는 것은 아니다”라고 답했다. 이에 노 의원은 “공동현관 비밀번호가 (유출 범위에) 포함된 경우 그 내용이 안내 문자에 들어가야 이용자들이 대응을 할 수 있지 않느냐”고 따졌고, 박 대표는 “세심하게 신경쓰겠다”라며 고개를 숙였다. 앞서 쿠팡은 지난달 30일부터 개인정보 유출 피해를 본 이용자들에게 안내 문자를 보내 “노출된 정보는 고객님 이름, 이메일 주소, 배송지 주소록, 주문정보 일부”라고 설명했다. 그러나 아파트 등 공동주택에 거주하는 이용자들은 공동현관 비밀번호를 주소록에 입력해놓고 있어 ‘현관 앞’에 도달하는 정보까지 유출됐을 가능성이 제기돼왔다. 공동현관 비밀번호와 세대 현관 비밀번호를 동일하게 설정하는 경우도 적지 않아 이용자들은 불안에 떨고 있다. 박 대표는 개인정보 유출 용의자로 지목된 전직 중국 직원과 관련해 “인증 시스템을 개발하는 개발자였다”라고 밝혔다. 박 대표는 “여러 인원으로 구성된 개발팀이 여러 역할을 갖고 팀을 구성한다”면서 피의자의 규모에 대해 “단수나 복수라 단정할 수 없다”고 덧붙였다. 또 피의자는 훔친 서명키를 이용해 인증 토큰을 생성해 개인정보를 빼낸 것으로 드러났다. 브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 “피의자는 훔친 서명키를 사용해 실제로 키에 서명을 해 다른 사용자인 것처럼 가장했다”라고 설명했다.

박대준 쿠팡 대표가 대규모 고객정보 유출 사건의 용의자로 지목된 전직 중국 국적 직원에 대해 “인증업무를 한 직원이 아니라 인증 시스템을 개발하는 개발자였다”고 밝혔다. 박 대표는 2일 국회 과학기술정보방송통신위원회 현안 질의에서 국민의힘 신성범 의원의 질의에 “혼자 일하는 개발자는 없다”며 “여러 인원이 역할을 나눠 팀 단위로 일한다”고 말했다. 피의자 규모와 관련해서는 “단수·복수라고 단정할 수 없다”며 “현재 수사 중이라 구체적으로 말하기 어렵다”고 답했다. ‘유출과 노출 중 어느 것이 맞느냐’는 질문에는 “유출이 맞다”고 밝혔다. 유출 여부를 놓고 논란이 이어졌던 사안에 대해 회사 대표가 국회에서 공식적으로 인정한 발언이다. 쿠팡은 전자서명키 악용 정황이 확인되면서 고객정보 대규모 유출 의혹이 불거졌고, 해당 직원의 중국 국적 여부와 역할을 둘러싸고 정치권과 업계의 관심이 집중돼 왔다.

국민 4명 중 3명의 정보에 해당하는 대규모 정보 유출 사고를 일으킨 쿠팡이 지난달 30일 관련한 사과문을 올린 지 이틀 만에 이를 내린 것으로 확인됐다. 2일 유통업계에 따르면 현재 쿠팡 홈페이지와 애플리케이션 첫 화면에는 사과문을 찾아볼 수 없다. 쿠팡은 지난달 29일 오후 언론에 3370만명의 정보 유출 사실을 알리고 그날 저녁부터 소비자들에게 문자메시지를 보냈으나 상당수 사용자는 다음 날에야 이를 통지 받았다. 박대준 대표 명의의 사과문은 지난달 30일 오후에야 게시됐다. 그러나 앱 화면에서 팝업 배너로 뜨던 사과문은 현재 찾아볼 수 없는 상황이다. PC에서는 홈페이지 최상단에 사과문 배너가 걸려있었지만 내려간 상태다. 관련 내용은 홈페이지 최하단 공지사항을 눌러야만 볼 수 있다. 사과문 대신 쿠팡은 쿠폰 받기, 크리스마스 세일 등을 광고 위주로 화면을 구성했는데 이를 두고 소비자들 사이에서는 “마치 아무 일 없던 듯 구매를 독려하는 모습에서 사과도 진정성이 느껴지지 않는다”는 비판이 나온다. 사과 공지문 및 고객 메시지에도 표현에도 논란의 소지가 있었다. 박 대표는 사과문에서 정보 유출이 아니라 “고객 정보에 대한 무단 접근이 발생했다”고 표현했다. 피해자들에게 보낸 메시지에도 ‘노출’이란 표현을 사용했다. 이 때문에 쿠팡이 심각한 사태의 여파를 축소하려는 것 아니냐는 비판이 나오고 있다.

이재명 대통령은 2일 쿠팡에서 개인정보가 대거 유출된 사태와 관련해 “관계부처는 해외 사례들을 참고해 과징금을 강화하고 징벌적 손해배상제도도 현실화하는 등 실질적인 또 실효적인 대책에 나서주시길 바란다”고 밝혔다. 이 대통령은 이날 국무회의를 주재하고 모두발언에서 “쿠팡 때문에 우리 국민들 걱정이 많다”며 이처럼 지시했다. 이 대통령은 “피해 규모가 약 3400만건으로 방대하지만 처음 사건이 발생하고 5개월 동안 회사가 유출 자체를 파악하지 못했다는 게 참으로 놀랍다”며 “이 정도인가 싶다”라고 비판했다. 이어 “사고 원인을 조속하게 규명하고 엄중하게 책임을 물어야되겠다”며 “유출 정보를 악용한 2차 피해를 막는 데도 가용 수단을 총동원해 주시길 바란다”고 했다. 또 “인공지능과 디지털 시대의 핵심 자산인 개인정보보호를 소홀하게 여기는 이 잘못된 관행 그리고 인식 역시 이번 기회에 완전히 바꿔야 한다”고 덧붙였다. 이 대통령은 또 12·3 비상계엄 사태 1년을 앞두고 내란 척결 의지를 다시 한번 강조했다. 이 대통령은 “곳곳에 숨겨진 내란의 어둠을 온전히 밝혀내서 진정으로 정의로운 국민 통합의 문을 활짝 열어야 한다”고 지적했다. 이어 “국민이 꿈꾼 다시 만날 새로운 세계를 향한 발걸음에 박차를 가해야되겠다”며 “국민의 삶을 개선하고 대한민국 대도약의 길을 우리 위대한 대한 국민들과 함께 열어나가겠다”고 했다. 이 대통령은 비상계엄 저지와 헌정질서 수호에 함께한 국민들에게 표창 등 의미 있는 증서를 수여하겠다는 뜻을 밝혔다. 이와 관련해 이 대통령은 3일 오후 7시 시민단체가 주최하는 ‘12·3 내란외환 청산과 종식, 사회 대개혁 시민 대행진’ 행사에 참석할 예정이다. 현직 대통령이 장외 집회에 참석하는 건 극히 이례적인 일이다. 이 대통령은 임금체불 문제도 지적했다. 이 대통령은 “올해 상반기 기준 피해액만도 역대 최대인 1조 1000억원을 넘고 있다”며 “일하고 월급을 또는 보수를 못 받으니 얼마나 참담하겠다”라고 안타까워했다. 이어 “어제부터 임금체불 신고 사건 전수조사가 진행 중인데 철저한 현장 점검과 상습 체불에 대한 처벌을 강화하는 방안을 함께 추진해주시길 바란다”고 당부했다.

쿠팡에서 3000만명이 넘는 고객의 정보가 유출된 사실이 드러난 가운데, 식별된 공격 기간은 올해 6월 24일부터 11월 8일까지인 것으로 나타났다. 2일 국회 과학기술정보방송통신위원회(과방위) 쿠팡 개인정보 유출 사고 관련 긴급 현안 질의에서 류제명 과학기술정보통신부 2차관은 대응 경과보고를 통해 “지난해 7월부터 올해 11월까지 전수 로그 분석을 한 결과 3000만개 이상 계정에서 개인정보가 유출됐다”며 이같이 밝혔다. 류 차관은 “공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했다”며 “이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 사용됐다”고 설명했다. 개인정보 유출 규모는 약 3370만건이다. 정보에는 고객 이름, 이메일 주소, 배송지 주소록(이름·전화번호·주소) 등이 포함됐다. 류 차관은 조사 과정에서 실제 피해 계정 수는 달라질 수 있다고 전했다. 현재는 퇴사한 중국인 인증 담당자가 개인정보를 유출했다는 의혹에 대해 류 차관은 “현재 언급되는 공격자의 신상에 대한 정보는 경찰 수사로 확인이 필요하다”며 “확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3000만건의 개인정보 유출을 주장했다”고 했다. 정부는 앞으로 민관 합동조사단을 통해 사고 경위와 쿠팡의 보안 문제점을 면밀히 규명하고 결과를 투명하게 공개하겠다는 방침이다. 류 차관은 스미싱 등 2차 피해 우려가 커진 만큼 “2차 피해 발생 여부를 지속 모니터링하고, 개인정보위·경찰청 등 관계기관과 공조해 추가 피해를 방지하겠다”고 밝혔다.

전갑수 광주광역시체육회장이 대한체육회가 주관하는 ‘2025년 지방체육진흥 유공자 포상’ 대상자로 선정되는 영예를 안았다. 전 회장은 2028년 전국체육대회 광주 유치 성공을 이끌고 광주 체육행정의 혁신 패러다임을 제시한 공로를 인정받았다. 2일 광주시체육회에 따르면 대한체육회는 전갑수 회장을 포함해 정재수 광주시체육회 이사, 강장원 광주시체육회 직원(대리) 등 3명을 유공자로 선정했다. 아울러 윤상영 동구체육회 수석부회장 등 5개 자치구체육회 관계자 총 13명도 지역체육진흥에 대한 공로를 인정받아 표창장을 받게 되면서, 광주 지역에서는 총 16명이 수상자 명단에 이름을 올렸다. 전갑수 회장은 취임 후 3년간 광주 체육 경쟁력 강화를 위해 선택과 집중을 통한 우수선수 육성, 지도자 적소 배치, 훈련 환경 개선, 스포츠과학 지원체계 구축 등 새로운 패러다임의 혁신을 주도해왔다. 그는 특히 엘리트체육과 생활체육의 고른 발전을 목표로 ‘활력 넘치는 체육문화’, ‘평생체육으로 행복한 광주’라는 비전을 제시하며 광주체육 발전의 중심 역할을 수행했다. 조직 운영에 있어서도 투명과 공정을 토대로 광주체육 행정의 기틀을 확립하는 데 힘썼다는 평가다. 대외적 성과 역시 돋보인다. 전 회장은 광주시, 광주시의회, 대한체육회 등 관계기관을 설득하여 ‘2028년 전국체육대회 광주 유치’를 확정 지었다. 이 외에도 광주에서 개최된 2025 세계양궁선수권대회와 2025 광주 세계3쿠션 당구월드컵 등 국제 대회의 성공 개최를 적극적으로 지원하여 국제 스포츠 도시로서 광주의 위상을 높이는 데 최선을 다한 공을 인정받았다. 함께 유공자로 선정된 정재수 이사는 임원으로서 광주체육의 발전 방향을 제시하고 선수 육성에 기여했으며, 특히 지난 10월 목송그룹이 여자조정선수단을 창단하는 과정에서 실무적 가교 역할을 톡톡히 수행하며 지역 조정선수 외부 유출 방지라는 난제를 해결했다. 강장원 대리는 지난 제106회 부산 전국체전에서 광주선수단이 종합 11위를 달성하는 데 지원을 아끼지 않았으며, 전국소년체전 및 체육지도자 업무를 수행하며 우수한 체육행정 능력을 발휘했다. 전갑수 회장은 “광주체육 발전을 위해 한 해 동안 애써주신 공을 인정받아 선정되신 모든 체육인께 진심으로 축하와 감사를 전한다”면서“시민과 선수가 불편함 없이 체육활동을 이어갈 수 있도록 변함없는 관심과 지원을 당부드린다”고 밝혔다. 한편, 2025년 체육진흥 유공자 시상식은 이달 중 대한체육회에서 개최될 예정이다.

지난달 25일, 강한 겨울 바람이 몰아친 인천항 연안여객터미널 앞바다. 거센 파도가 부두 난간에 부딪혀 흩어지고, 짙은 해무는 수평선을 삼킨 듯 시야를 가렸다. 이런 악조건 속에서 행정안전부를 비롯해 국방부, 해양수산부, 인천시, 해양경찰청 등 29개 기관 관계자들이 모여 복합 해상사고에 대비한 2025 레디코리아 4차 합동훈련을 시작했다. 훈련은 어선과 카페리 여객선이 해무와 GPS 전파 혼신으로 시계를 잃은 채 충돌 후 정박 중이던 군함에 2차 충돌하는 상황으로 시작됐다. 충돌 직후 여객선 갑판에서는 승객들이 대피하다 미끄러지며 다수의 사상자가 발생했고, 차량 갑판에 고박돼 있던 전기차에서는 배터리 발화가 일어나 불길이 빠르게 확산됐다. 군함 좌측 화물창이 파손되면서 저장된 유류가 바다로 유출돼 해상 오염 상황까지 이어졌다. # 행안부·국방부·해양경찰 등 29개 기관, 해상사고 대응 점검 요동치는 바다 위에서는 구조대원들이 곧바로 물속으로 뛰어들어 표류자를 구조했고, 해경 잠수대는 전복된 어선 내부로 진입해 고립된 선원을 확인했다. 여객선에서도 화염과 연기가 가득한 갑판 위에서 부상자를 들것으로 옮기고, 의식을 잃은 승객을 구조정으로 이송하는 작업이 동시에 진행됐다. 불길이 치솟는 여객선 주변에는 소방정과 해경 진압세력이 배치돼 고압수를 집중적으로 뿜어냈다. 화재가 잦아들자 방제선들이 300m 길이의 오일펜스를 전개해 넓게 퍼지는 기름막을 차단하고 회수 작업에 나섰다. 구조·진압·방제·의료 지원이 동시에 이어지며, 현장은 실제 재난 상황에 버금가는 긴박함으로 가득했다. # 승객 대피·표류자 구조·방재까지… 실제 같은 긴박함으로 훈련 상황 전파 체계도 실제와 동일하게 작동했다. 사고를 처음 인지한 해양경찰은 상황관리 시스템을 통해 관계기관에 즉시 알렸고, 행안부는 상황판단회의를 열어 중앙재난안전대책본부를 가동했다. 윤호중 행안부 장관은 중대본 회의를 통해 현장을 원격으로 지휘하며 각 기관의 대응을 점검했다. 훈련을 지켜본 윤 장관은 “레디코리아 훈련은 실제 해상에서 발생할 수 있는 복합 재난을 가정해 대응체계를 면밀히 점검하는 과정”이라며 “국민의 생명과 안전을 최우선에 두고 초기 대응을 강화해 인명피해를 줄이겠다”고 말했다. 거센 바람이 스치는 인천 앞바다. 검은 기름막이 바람결에 흔들리고, 구조정이 파도를 가르며 이동하는 사이로 사이렌이 낮게 울렸다. 차가운 겨울 바다 위에서 진행된 2025년 인천항 레디코리아 훈련은, 재난은 언제든 예고 없이 찾아올 수 있다는 사실을 다시 한번 일깨우며 막을 내렸다.

쿠팡에서 3370만건의 개인정보가 한꺼번에 빠져나간 데 이어 유출 정보를 ‘언론에 공개하겠다’는 협박 이메일까지 등장했다. 단순한 사고를 넘어 국가적 사이버 보안 사태가 이미 2차 범죄 단계에 진입했다는 의미다. 어제 금융당국이 보이스피싱·스미싱 등 각종 금융사기에 악용될 우려가 높다는 이유로 소비자경보 ‘주의’를 발령했다. 가입자 규모에 비춰 상당수 국민들이 잠재적 피해자가 될 수 있다는 우려도 높아지는 상황이다. 불안에 떨고 있는 국민에게 당장 필요한 것은 2차 피해 차단을 위한 실행 계획이다. 정부는 유출 정보가 암거래 게시판이나 해킹 커뮤니티 등으로 흘러가는지 24시간 추적하고, 거래나 공유 시도가 포착되는 즉시 삭제 요청과 차단 조치를 해야 한다. 금융기관·포털·통신·택배사와 연동한 피싱 자동 감지 체계도 적극 검토해야 한다. 쿠팡 역시 이용자의 불안을 낮추는 실질적 조치에 나서야 한다. 피해 계정 비밀번호·OTP(일회용 인증 비밀번호) 일괄 초기화, 배송지 주소록 암호화 및 재동의 절차, 로그인 위치·기기 이상 탐지 시스템 구축은 지금도 실행할 수 있다. 안내 문자 발송만으로는 책임을 면할 수 없다. 개인정보 자산을 잠재적 범죄 도구로 전락시킨 책임은 전적으로 기업이 감당해야 한다. 우리는 이미 생활·결제·택배·병원·쇼핑의 70% 이상을 플랫폼을 통해 처리한다. 내부 직원 단 한 명이 두 차례 보안 절차를 우회해 정보를 반출할 수 있었으니 우리 데이터가 얼마나 쉽게 위험에 노출되는지 적나라하게 확인한 셈이다. 이번 사태는 쿠팡뿐만이 아니라 한국 디지털 경제 전체에 울린 경고음이다. 정부는 개인정보를 다루는 기업의 내부 반출 차단 시스템(DLP) 도입 의무화 등 제도적 개선에 나서야 한다. 이번 사태를 전환점으로 디지털 보안 체계를 한 단계 끌어올리지 못한다면 제2·제3의 쿠팡 사태는 언제든 반복될 수 있다.

지속 가능 발전과 주민 행복 기대도농 간 기회비용 차이 줄어들 것 “농어촌 기본소득이 순창의 지속 가능한 발전과 주민 행복으로 이어지기를 기대합니다.” 최영일 순창군수는 1일 서울신문과 인터뷰에서 “이번 농어촌 기본소득 공모사업 선정은 그동안 순창군의 도전과 노력을 국가가 인정해준 것이자 군민들의 강력한 염원의 목소리를 들은 것”이라며 군민 모두에게 공을 돌렸다. 최 군수는 “농어촌 기본소득은 문화·의료·에너지 등 사회서비스 접근성 격차로 발생하는 도농 간 기회비용 차이를 줄이는 의미 있는 정책”이라면서 “기본소득은 단순한 현금 지원이 아니라 지역경제 순환, 공동체 활성화, 정주 여건 개선을 아우르는 종합 정책으로 자리 잡아야 한다”고 강조했다. 그러면서 “농어촌 기본소득을 단순한 복지 지원을 넘어 순창을 한 단계 도약시키는 계기로 삼겠다”고 약속했다. 순창군이 농어촌 기본소득 공모에 선정된 데는 사회단체 주도로 범군민 포럼을 개최하고 군민 여론조사 결과 높은 찬성률을 보이는 등 한마음, 한뜻으로 군민들이 강력한 지지를 보낸 결과다. 최 군수도 “지역에서의 관심과 열망, 적극적인 협조가 이번 선정에 크게 한몫했다”면서 감사를 표했다. 최 군수는 “농어촌 기본소득 사업은 지역 경제 활성화의 촉매제가 될 것으로 기대한다”며 “청년층의 유출을 막고, 농업인들의 생활 안정성을 높이며, 지역 경제에 활력을 불어넣을 수 있을 것”이라고 밝혔다. 또한 “이 사업을 통해 순창이 농어촌 발전의 모범 사례로 자리 잡도록 하겠다”고 덧붙였다. 이어 최 군수는 “농어촌 기본소득이 실질적인 성과를 거둘 수 있도록 실행계획을 체계적으로 수립하고 지역민들과 소통하며 의견을 적극 반영해 추진하겠다”며 “다만 농어촌 기본소득은 단순한 현금성 지원이 아니라 사회서비스와 공동체 회복, 지역경제 순환 등을 목표로 하는 구조적 정책인 만큼 시범사업의 실효성을 높이기 위해 국·도비 확대가 반드시 필요하다”고 힘주어 말했다.

징계 회피 막으려 5개 기관 확인이직에 시간 걸리고 인선도 지연3급 임기제 채용 땐 3주 기다려야지방자치단체가 공무원을 임용하거나 면직할 경우 중앙부처와 협의·비위 사실조회 절차를 간소화하고 기간도 단축해야 한다는 목소리가 높다. 모든 업무가 전산화된 디지털 시대에 행정안전부·감사원·수사기관 등과 협의·조회 기간이 필요 이상으로 길어 업무 공백 등 지역 행정이 차질을 빚기 때문이다. 1일 서울신문 취재를 종합하면 연말·연시를 앞두고 명예퇴직을 신청하는 지자체 공무원은 지방공무원법에 따라 예외 없이 비위 사실조회 절차를 거쳐야 한다. 비위 연루 공무원이 징계 회피 수법으로 의원면직을 악용할 수 없도록 만든 제도다. 그러나 사실조회 기간이 최소 10~14일이 걸려 해당 공무원의 불만이 많다. 공직을 사퇴하고 다른 직장으로 옮기거나 자영업을 준비하는 경우 조회 기간이 길어 어려움을 겪는 경우가 적지 않다는 것이다. 지자체 인사행정도 지연되기는 마찬가지다. 사실조회 기간이 긴 이유는 검찰·경찰·감사원·행안부에 소속 지자체까지 5개 기관으로부터 퇴직해도 문제가 없다는 사실을 각각 확인받아야 하기 때문이다. 특히, 개인정보 유출 방지를 이유로 공문을 통해 관련 내용을 주고받아야 하는 것도 기간이 길어지는 주요인이다. 지자체의 한 관계자는 “공무원의 징계·감사·수사 내용은 행정정보 공공이용 시스템 등 전산상으로 빠르게 확인이 가능한데 업무 처리가 장기간 지연되는 이유를 모르겠다”고 꼬집었다. 지자체가 3급 이상 전문임기제를 채용하는 경우에도 행안부와 협의 기간이 최소 2~3주나 소요된다. 무분별한 임기제 공무원 확대를 막기 위한 절차이긴 하지만 이미 협의가 끝난 보직의 후임자를 결정할 때마다 다시 협의를 거치도록 한 것은 지자체의 인사 자율성을 필요 이상으로 제한한다는 지적이다. 전북도의 경우 3급 전문임기제 임용을 위해 지난달 중순 행안부에 협의를 요청했으나 절차를 밟느라 임용이 늦어지고 있다. 지난달 명퇴 신청을 한 전북도청 공무원들도 비위 사실조회가 진행 중이어서 퇴직 시기를 특정하기 어렵다. 전북도 관계자는 “비위 사실조회는 보안을 유지하면서 신속 처리할 수 있는 시스템이 있는 만큼 기간을 대폭 단축해야 한다”면서 “3급 이상 전문임기제 임용 관련 행안부 협의 규정 역시 개선이 시급하다”고 말했다.

이찬진 금융감독원장이 롯데카드, 업비트 등 잇따른 해킹 사고와 관련해 “우리나라 보안 시스템 투자가 형편이 없다”며 자본시장법에 준하는 정도로 관련 제재를 손질하겠다고 밝혔다. 또 대출 공급 위축과 같은 금융불안은 차단하겠다는 방향을 분명히 했다. 이 원장은 1일 서울 여의도 금감원 본원에서 열린 취임 후 첫 기자간담회에서 최근 해킹 사고로 고객정보가 유출된 롯데카드 사태를 두고 “결과에 따라서 엄정한 제재 절차가 진행될 것”이라고 했다. 또 이 원장은 “쿠팡은 금감원의 규제 대상은 아니지만, 전반적으로 우리나라 해킹·보안 시스템 사고를 보면 평균적으로 다른 나라와 비교해 보안 시스템에 대한 투자가 형편없는 수준”이라며 “(보안이) 뚫리면 회사가 망할 수 있는 수준의 위험이라는 것을 제대로 인식하지 못하는 것 같다”고 지적했다. 이어 “은행이 만약 뚫렸다고 한다면, 불안해서 어떻게 사느냐. 그 금융회사는 존속할 수 있을까”라고 꼬집었다. 이 원장은 “금융소비자보호법에는 시스템 보안 등과 관련한 소비자 보호가 상대적으로 부족해 이를 전면적으로 보완하는 법률 개정 등을 금융당국과 논의 중”이라며 “자본시장법에 준하는 정도의 규제와 제재가 법률 개정을 통해서 전면적으로 도입될 것”이라고 설명했다. 은행권의 연말 대출 중단 조짐과 관련해 “내년까지 충격이 이어질 상황은 아니다”고 밝혔다. 일부 은행이 연말 대출 가이드라인을 넘기며 불안이 확산했지만 “전반적 자본 여력이나 내년 규제 변화가 대출 공급을 구조적으로 제약할 정도는 아니다”라며 “가계대출 시장이 위축되지 않도록 금융위원회와 공조하겠다”고 강조했다. 이 원장은 홍콩H지수(항셍중국기업지수) 주가연계증권(ELS) 불완전 판매와 관련해서는 “소비자 보호 관점을 보여주는 첫 리딩케이스”라고 의미를 부여했다. 앞서 금감원은 지난달 28일 KB국민·신한·하나·NH농협·SC제일은행 등 5개 은행에 약 2조원의 과징금을 사전 통보했다.

국내 이커머스 1위 업체 쿠팡의 대규모 고객정보 유출 사태와 관련해 집단소송 움직임이 본격화되고 있다. 현재까지 알려진 피해자 숫자만 3370만명에 달해 소송 규모도 역대 최대가 될 것으로 관측된다. 다만 과거 사례에 비춰 봤을 때 소송의 실익이 크지 않을 것이라는 지적도 나온다. 쿠팡 이용자 14명은 1일 쿠팡을 상대로 1인당 위자료 20만원을 청구하는 손해배상 청구 소송을 서울중앙지법에 제기했다. 소송을 대리하는 곽준호 법무법인 청 대표변호사는 “개인정보 유출에 따른 보상 책임 및 유출 사실을 고객에게 통보하기까지 시간이 지연된 데 대한 책임 등을 재판에서 강조할 것”이라며 “소송 인원은 늘어날 수 있다”고 밝혔다. 이날 기준 네이버 등에는 집단소송 준비 카페가 다수 개설돼 전체 가입자 수가 25만명을 넘어섰다. 하지만 실제 소송을 통해 피해를 보상받기는 쉽지 않을 것이라는 게 법조계 중론이다. 개인정보 유출 손해배상 소송은 피해자가 피해 규모 및 기업의 중대 과실 여부를 입증해야 하기 때문이다. 이날 대통령실에서 언급한 징벌적 손해배상 확대 도입의 필요성도 제기된다. 현행 손해배상 제도는 인과관계가 입증된 구체적인 손해에 대해서만 배상하는 것이 원칙이다. 개인정보보호법에도 중대한 과실이 확인될 경우 최대 5배까지 징벌적 손해배상을 하도록 정하고 있지만, 손해배상의 기준이 되는 손해액 책정 자체가 쉽지 않아 실효성이 부족하다는 지적이다. 일각에선 쿠팡에 최대 1조원대의 과징금이 부과될 수 있다는 전망도 나온다. 개인정보보호법에 따르면 개인정보 유출 시 관련 매출액의 최대 3%까지 과징금 부과가 가능하다. 쿠팡의 지난해 매출은 약 41조원이었다.

“서버 접근권 말소 안 해 생긴 일”개인정보 문 열어 놓은 꼴… 대통령실 “징벌적 손배 필요” 쿠팡에서 인증 관련 담당자로 일하던 중국인 개발자가 고객 3370만명의 개인정보를 유출한 사태와 관련해 쿠팡 측의 안일한 대응에 대한 비판이 커지고 있다. 정부는 외부 해킹이 아닌 쿠팡 측의 방치에 따라 이번 사건이 벌어졌다고 보고 관련 책임을 엄중히 묻겠다는 입장이다. 원활한 피해자 보상을 위해 징벌적 손해배상제 개선 카드도 꺼내 들었다. 경찰도 범행에 사용된 인터넷주소(IP)를 확보하는 등 수사에 속도를 내고 있다. 1일 정부 고위 관계자는 “쿠팡이 서버 관리를 굉장히 부실하게 한 것이라 책임을 피하기 어려울 것”이라고 말했다. 이 관계자는 “인증 관리 업무를 담당하던 중국인 개발자가 퇴사한 후에도 계속 서버 접근 권한을 말소하지 않아서 생긴 일”이라며 “본질적으로 해킹을 당한 롯데카드와는 아예 다른 사건”이라고 진단했다. 그는 또 “(인증키를) 말소시키지 않으니 시스템은 정상적 접근이라고 본 것”이라며 “혹시 다른 해킹이 있을지 한국인터넷진흥원(KISA)이 들여다보고 있는데 현재까진 나온 게 없다”고 전했다. 그러면서 “피해자 숫자와 범위 등이 더 늘어날 가능성은 충분해 보인다”고도 했다. 국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원실 등에 따르면 고객 정보를 빼돌린 직원은 퇴사 이후인 지난 6월 24일부터 개인정보에 접근한 것으로 추정된다. 이 직원은 개인정보 탈취 과정에서 시스템에 로그인 없이 접근할 수 있는 ‘인증 토큰’을 이용한 것으로 보인다. 이와 관련해 강훈식 대통령실 비서실장은 “징벌적 손해배상 제도가 사실상 작동하지 않고 있는 현실은 대규모 유출 사고를 막는 데 한계가 있다”며 “기업의 책임이 명백한 경우 제도가 실효성 있게 작동할 수 있도록 개선 방안을 검토하라”고 밝혔다. 아울러 강 실장은 과학기술정보통신부 등에 “근본적인 제도 보완, 현장 점검 체계 재정비, 기업 보안 역량 강화 지원책 등을 신속히 보고해 달라”고도 지시했다. 국회는 쿠팡 및 유관 기관 관계자들을 출석시켜 긴급 현안 질의를 진행한다. 2일에는 국회 과학기술정보방송통신위원회에서, 3일에는 정무위원회에서 각각 현안 질의를 한다. 경찰도 관련 수사를 진행 중이다. 서울경찰청 관계자는 이날 “쿠팡 측으로부터 서버 로그 기록을 제출받아서 분석 중”이라며 “정보 유출 등으로 협박하는 내용이 담긴 이메일 계정 2개를 추적하고 있다”고 밝혔다. 경찰은 피의자의 국적과 함께 정보 유출 당사자가 협박성 이메일을 보낸 사람과 동일인인지 등을 파악하고 있다. 경찰 관계자는 “피의자를 특정하기 위한 수사를 진행 중”이라며 “IP 추적을 위한 해외 공조도 벌이고 있다”고 설명했다. 쿠팡은 지난달 18일 개인정보보호위원회 등에 고객 4500여명의 개인정보가 유출됐다며 신고했고, 이후 같은 달 25일 정보통신망 침입 혐의로 고소장을 제출했다. 쿠팡 측은 협박 메일이 발송된 지 이틀이 지나서야 대응에 나섰다. 경찰은 지난달 28일 쿠팡 측 관계자를 불러 조사했다. 쿠팡이 회사 외형을 키우는 데 몰두한 나머지 정보보호에는 무감각했다는 비판이 거세지고 있다. 2023년부터 매년 10조원가량 매출이 뛰며 급성장해 오는 동안 정보보호 투자 비중은 반대로 감소해서다. 2010년 출범한 쿠팡이 로켓배송에 나선 것은 2014년이었다. 2012년 이후 규제에 묶인 대형마트의 빈자리를 채우기 시작하면서 급격히 몸집을 불렸다. 쿠팡은 2023년 매출 31조 8298억원을 기록하며 이마트(연결 기준 매출 29조 4722억원)를 처음 넘어섰다. 지난해 매출 41조 2901억원을 올렸고 올해에는 50조원 달성도 가능하다는 예측이 나왔다. 반면 최근 4년간 쿠팡의 정보기술(IT) 투자 대비 정보보호 투자 비중은 꾸준히 하락했다. KISA 공시에 따르면 쿠팡은 전체 IT 부문에 1조 9171억원을 투자했으며 이 가운데 정보보호 부문에 투입한 금액은 890억원으로 전체의 4.6%에 그쳤다. 전체 정보보호 투자 공시 기업 773곳의 평균(6.28%)보다 낮은 수준이다. 쿠팡의 지난해 매출 대비 정보보호 부문 투자액은 0.2%로 같은 기간 카카오·SK텔레콤(0.7%), 네이버·KT(0.4%)보다 저조했다. 숱한 논란에도 쿠팡의 사업이 순항한 건 정치권 및 정부 출신 인사를 대거 영입해 온 점과 무관하지 않다. 올해 쿠팡 또는 그 계열사로 이직하기 위해 취업 심사를 받은 4급 보좌관은 총 9명이었다. 정부 출신 중 4급 이상 등 취업 심사 대상 퇴직자 9명이 올해 쿠팡이나 그 계열사에 취직했다.

지난달 29일 발생한 쿠팡의 대규모 개인정보 유출 사태로 우려가 커지는 가운데, 쿠팡 내 IT 인력 상당수가 중국인이라는 주장이 나왔다. 지난달 30일 직장인 익명 커뮤니티인 ‘블라인드’에 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저는 90% 이상이 중국 국적자”라며 “조직(쿠팡)이 ‘중국인 카르텔’에 의해 장악되고 있다”고 주장하는 글이 올라왔다. 자신을 쿠팡 개발자라고 주장한 글쓴이는 “매 분기 퇴사 인사는 한국인들이고, 매 분기 신규 입사자들을 소개하면 80%가 중국, 나머지가 인도와 한국인들”이라며 “(중국인이) 차근차근 비율을 높이면서 카르텔을 형성하고 있으며 잠실, 용산 등 최고급 주거시설과 자녀 국제학교 학비 등 한국인이 누리지 못하는 복지로 혜택을 보고 있다”고 밝혔다. 이어 “개인적으로 이번 사태는 무분별하게 중국인들을 (IT 인력으로) 데려다 쓴 결과라 생각한다”고 덧붙였다. 해당 글은 삭제됐으나 이미 온라인 커뮤니티를 중심으로 캡처 사진이 돌면서 논란이 확산하고 있다. 이와 관련해 쿠팡은 1일 “수사 영역이고 수사에 적극 협조 중”이라면서 “(블라인드에 올라온 글은) 사실과 다르다”고 밝혔다. 쿠팡, 퇴사한 중국인 직원의 데이터 접근 열쇠 갱신 안 했다1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 현재 쿠팡은 전 중국인 직원을 정보 유출자로 추정하고 있다. 문제는 쿠팡이 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 데이터 접근 열쇠인 액세스 토큰과 서명키를 곧바로 삭제하거나 갱신하지 않았다는 사실이다. 액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 의미한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 쿠팡 측이 제공한 자료에 따르면 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 직원 퇴사 이후에도 폐기하거나 갱신하지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다. 쿠팡 측은 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다. 쿠팡, 5개월 간 유출 시도 몰랐다이번 사고로 유출된 쿠팡 고객 계정은 약 3370만 개에 달한다. 쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 밝혔다. 사실상 고객 정보 탈취가 5개월 전부터 시작됐지만 쿠팡이 이를 뒤늦게야 인지한 셈이다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러나 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 더불어 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘는 규모다. 현재 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.

쿠팡에서 국민 4명 중 3명에 해당하는 대규모 정보 유출 사고가 발생한 것을 두고 회사 외형을 키우는 데 몰두한 나머지 정보보호에는 무감각했다는 비판이 거세지고 있다. 2023년부터 매년 10조원가량 매출이 뛰며 급속 성장을 해오는 동안 정보보호 투자 비중은 반대로 감소한 것으로 나타났다. 2010년 파격적인 할인 가격에 상품을 파는 ‘소셜커머스’로 출발했던 쿠팡이 로켓배송에 나선 것은 2014년이었다. 2012년 전통시장 활성화와 소상공인 보호라는 목적으로 개정된 유통산업발전법이 시행된 후였다. 개정법에 따라 대형 마트는 월 2회의 의무휴업일을 두고 밤 12시부터 오전 10시까지 영업을 할 수 없게 됐다. 점포 영업뿐 아니라 점포를 활용해 물건을 배송하는 새벽 배송에도 대형 마트가 나서지 못했던 이유다. 대형 마트가 규제를 받는 사이 빈자리를 쿠팡이 채우기 시작하면서 급속한 성장을 이뤘다. 지난 10년간 6조 2000억원을 들여 전국에 100여개의 물류 인프라를 구축했다. 쿠팡은 2023년 매출 31조 8298억원을 기록하며 이마트(연결 기준 매출 29조 4722억원)를 처음 넘어섰다. 지난해엔 매출 41조 2901억원을 기록했고 올해는 50조원 달성도 가능하단 예측이 나왔다. 반면 최근 4년간 쿠팡의 정보기술(IT) 투자 대비 정보보호 투자 비중은 꾸준히 하락했다. 한국인터넷진흥원(KISA)의 올해 공시에 따르면 쿠팡은 전체 IT 부문에 1조 9171억원을 투자했으며, 이 가운데 정보보호 부문에 투입한 금액은 890억원으로 전체의 4.6%에 그쳤다. 전체 정보보호 투자 공시 기업 773곳의 평균(6.28%)보다 낮은 수준이다. 정보보호 투자 비중을 연도별로 보면 2022년 7.1%(535억원), 2023년 6.9%(639억원), 지난해 5.6%(660억원)로 해마다 감소했다. 절대 규모만 놓고 보면 삼성전자, KT에 이어 세 번째로 많은 수준이지만 전체 IT 투자 증가 속도를 따라가지 못해 비중이 떨어진 셈이다. 매출 대비로 정보보호 투자 비중은 더 낮다. 쿠팡의 지난해 매출 대비 정보보호 부문 투자액은 0.2%로 같은 기간 카카오·SK텔레콤(0.7%), 네이버· KT(0.4%)보다 저조했다. 이를 두고 업계에선 “보안 투자에 상대적으로 소홀했던 것 아니냐”는 지적이 제기된다. 시장 지배자로 성장한 쿠팡은 구설에도 많이 올랐다. 지난해 검색 순위와 상품 후기를 조작했단 혐의로 공정거래위원회로부터 유통업계 사상 최대인 1682억원의 과징금을 부과받았다. 올해 국회 국정감사에선 물류 자회사인 쿠팡풀필먼트서비스의 퇴직금 미지급 사건과 관련해 검찰 내에서 불기소 압력이 있었단 의혹이 제기됐다. 최근엔 쿠팡이츠의 불공정한 약관에 대해서 공정위가 시정 조치를 내리기도 했다. 숱한 논란에도 쿠팡의 사업이 순항한 건 정치권과 정부 출신 인사를 대거 영입해온 것과 무관하지 않다. 올해 쿠팡 또는 그 계열사로 이직하기 위해 취업 심사를 받은 4급 보좌관은 총 9명이었다. 정부 출신 중에서 4급 이상 등 취업 심사 대상 퇴직자 9명이 올해 쿠팡이나 그 계열사에 취직했다. 일각에서는 쿠팡이 대관과 로비에만 집중하고 정작 보안이나 내부 근로환경 개선에는 소극적이었다는 비판이 제기된다. 한편 국회는 쿠팡 및 유관 기관 관계자들을 출석시켜 긴급 현안 질의를 진행한다. 2일에는 국회 과학기술정보방송통신위원회에서, 3일에는 정무위원회에서 각각 현안 질의를 한다.