쿠팡이 퇴사한 직원에 의해 3370만명의 개인정보가 유출된 사건과 관련해 경찰이 피의자의 IP를 확보해 추적하고 있다고 1일 밝혔다. 서울경찰청 관계자는 이날 정례 간담회에서 “현재 쿠팡 측으로부터 서버 로그기록을 제출받아서 분석 중”이라며 “피의자가 범행에 사용한 IP를 확보해 추적 중”이라고 말했다. 경찰은 또한 “회원들의 개인정보를 가지고 있다”며 협박 이메일을 보낸 계정 2개도 추적하고 있다. 경찰에 따르면 지난달 16일 쿠팡 고객들에게, 이어 25일 쿠팡 고객센터 이메일 계정으로 협박 메일이 발송됐다. 경찰은 두 차례의 메일을 보낸 사람이 동일인인지, 또 쿠팡에서 개인정보를 유출해간 사람과 동일인인지를 파악 중이다. 피의자가 쿠팡에서 퇴사한 중국인으로 알려진 가운데 경찰은 “여러 가능성이 있어 제출된 자료를 바탕으로 분석하고 있다”고 설명했다. 쿠팡에서 근무했던 중국 국적 직원이 고객 정보를 유출했다는 의혹에 대해 서울청 관계자는 “여러 가능성이 있어 제출된 자료를 바탕으로 분석하고 있다”며 “(유력 용의자가 중국 국적일 가능성을) 포함해 수사 중이고 국적에 대해서는 말씀드리기 어렵다”라고 밝혔다. 이번에 개인정보가 유출된 3370만명은 사실상 쿠팡 전체 가입 계정 전체에 달하는 규모이며, 성인 4명 중 3명에 육박한다. 가입자의 이름과 전화번호, 주소 등 쉽게 바꿀 수 없는 인적 사항뿐 아니라 가입자들이 주문한 내역까지 유출된 탓에 피해 범위와 파장이 크다고 전문가들은 분석한다. 가입자들의 집 현관 앞까지 도달하는 택배 배송과 관련된 정보는 물론 가입자의 가족 구성원 및 생활 패턴을 들여다볼 수 있는 내밀한 정보까지 뚫린 셈이다. 가입자들은 쿠팡 탈퇴는 물론 아파트 공동현관에서 사용해왔던 출입 비밀번호를 바꾸는 등 대응에 나서고 있지만 이미 속수무책이라는 지적이 나온다. 7년 넘게 쿠팡을 이용해왔던 김모(39)씨는 “사실상 속옷 사이즈 관련 정보까지 넘어간 셈”이라며 “인제 와서 쿠팡을 탈퇴해봤자 늦은 것 같다. 내 개인정보는 해외에서 공공재처럼 떠돌아다닐 것”이라고 토로했다. 업계에서는 쿠팡이 수천억원대의 과징금 철퇴를 맞을 수 있다는 관측이 나온다. 2023년 개정된 개인정보보호법에 따르면 법 위반 시 전년도 전체 매출액의 최대 3%까지 과징금을 부과할 수 있다. 지난해 발생한 SK텔레콤의 개인정보 유출 사고와 관련해 SK텔레콤은 역대 최대 규모인 1347억 9000만원의 과징금을 부과받았다.

국내 최대 온라인 유통업체인 쿠팡에서 벌어진 3400만건 고객 정보 유출 사태의 파장이 일파만파다. 올 들어 금융사와 통신사 등에서 유사 사고가 잇따라 터져 가뜩이나 국민 불안이 꼭대기까지 차오른 터에 전 국민을 패닉으로 몰아넣은 최악의 사태가 아닐 수 없다. 국민 4명 중 3명이 해당하는 방대한 피해 규모가 무엇보다 충격적이다. 더욱 기막힌 것은 해외 서버를 통한 비정상 접속이 지난 6월 말부터 계속됐는데도 회사가 이를 5개월간 전혀 알아채지도 못했다는 사실이다. 로켓배송 등 속도와 혁신을 앞세워 초고속 성장한 거대 기업이 정작 디지털 사회의 기본적 신뢰 기반인 고객 정보 보호에는 한없이 굼뜨고 무능했다. 배신감과 분노를 넘어 허탈감까지 든다. 쿠팡은 지난 29일 “고객 계정 약 3370만개가 무단으로 노출된 것으로 확인됐다”면서 “해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정한다”고 밝혔다. 노출된 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문 정보이며 결제 정보와 신용카드 번호는 포함되지 않았다는 것이 쿠팡 측의 주장이다. 그러나 쿠팡은 지난 20일 개인정보보호위원회에 처음 신고할 당시 피해 계정을 4500여개로 보고했다가 9일 만에 사실상 전 회원 규모로 피해 범위를 대폭 수정했다. 앞으로 조사 결과에 따라 피해 규모가 더 늘어날 가능성도 배제할 수 없다. 정부는 민관 합동조사단을 꾸려 사고 원인 분석과 재발 방지 대책 마련에 나섰다. 유출 정보를 악용한 스미싱·보이스피싱 등 2차 피해에 대한 불안이 큰 만큼 이를 차단하기 위한 다각적 대응이 무엇보다 시급하다. 쿠팡은 이번 사태를 외부 해킹이 아닌 내부 직원의 소행으로 보고 경찰에 고소장을 제출했다. 만일 내부자 범죄가 맞다면 조직 관리 부실 책임은 더욱 무거울 수밖에 없다. 기업의 안이한 보안 의식 탓에 국민 전체가 잠재적 범죄 위험에 노출된 만큼 그에 상응하는 책임을 져야 한다. 쿠팡은 박대준 대표의 사과문을 통해 합동조사단과 긴밀히 협력하고 추가 피해 예방에 최선을 다하겠다고 했다. 정부가 “쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 고객 정보가 유출됐다”고 확인한 만큼 실질적인 피해 보상과 재발 방지 대책이 뒤따라야 한다. 정부 역시 이번 사태를 엄중하게 받아들여야 한다. 쿠팡은 국가가 인증한 ‘정보보호 및 개인정보보호 관리체계 인증’(ISMS-P)을 취득하고도 대규모 유출 사고를 냈다. 정부와 기업 모두 보안 의식을 획기적으로 개선하지 않는다면 유사 사고는 언제든 되풀이될 수밖에 없다.

6월 24일 발생… 11월 18일에 인지“정상적 로그인 없이 고객정보 유출”“서버 보안인증 취약점 악용해 공격”정부, 국가 배후 범죄 가능성도 논의일부 집단소송 카페·단톡방 개설도 이번 쿠팡의 정보 유출을 두고 특히 사고를 인지하기까지 5개월이나 걸렸다는 데 대한 비판이 거세다. 회사의 깜깜이 대응에 실망한 소비자들은 집단소송 등 단체 행동에 나설 움직임도 보이고 있다. 30일 쿠팡에 따르면 고객 계정과 관련된 개인정보 무단 접근은 지난 6월 24일부터 시작됐지만 쿠팡은 이를 지난 18일에야 인지하게 됐다. 쿠팡은 그동안 공격자 입장에서 취약점을 찾는 ‘레드팀’과 선제적 위협 탐지·대응을 맡는 ‘고스트팀’을 운영하면서 수준 높은 보안 조직을 갖췄다고 홍보했지만, 정작 개인정보 노출 기간이나 사고 발생 원인에 대해서는 ‘조사 중’이라며 함구하고 있다. 쿠팡 측은 “현재까지 2차 피해는 보고된 바 없다”고 했지만 소비자의 불안과 불신은 확산하고 있다. 민관합동조사단을 꾸리고 쿠팡 본사에서 현장 조사를 진행 중인 정부는 쿠팡 서버 인증 체계에 취약점이 있었다고 짚었다. 이날 배경훈 부총리 겸 과학기술정보통신부 장관은 정부서울청사에서 관계 부처 긴급회의를 열고 “공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 3000만개 이상 고객 계정의 고객명, 이메일, 발송지 전화번호 및 주소를 유출한 것으로 확인했다”고 설명했다. 정부는 회의에서 국가 배후 범죄 가능성에 대해서도 논의했으며 쿠팡 서버에서 악성 코드는 발견되지 않았다고 밝혔다. 쿠팡의 개인정보보호법상 안전조치의무 위반이 확인되면 엄정 제재할 방침이다. 이번 사고가 쿠팡의 내부 직원 소행이라는 추측이 나오면서 내부 보안 대책에 허점이 있었다는 비판도 피할 수 없게 됐다. 특히 수천만명의 정보가 새 나가는 동안 자체적으로 부정·불법행위를 탐지해 내지 못할 정도로 쿠팡 서버의 모니터링 체계가 미흡했다는 지적이 나온다. 염흥열 순천향대 정보보호학과 명예교수는 “유출자가 직장 상사 등의 ID와 비밀번호를 확보해 타인의 접근 권한까지 가졌을 가능성이 있다”며 “서버 접속 과정에서 2차 인증이 필요한데도 1차 인증만으로 통과되는 등 인증 체계에 취약점이 있는 것으로 추정된다”고 말했다. 쿠팡의 책임과 보상을 촉구하기 위한 소비자 움직임도 확산하고 있다. 지난 29일 네이버에 개설된 ‘쿠팡 정보유출 집단소송 카페’ 운영진은 “3370만명이 피해를 본 초유의 사태에 대해 법적 책임을 묻고 공동 대응 방안을 마련하겠다”며 출범 취지를 밝혔다. 카카오톡에서 ‘쿠팡 정보유출 피해자 모임’ 채팅방을 개설한 이모(49)씨도 “개인의 힘으로는 거대 기업인 쿠팡의 안일한 대응에 맞서기 어렵다고 판단했다”면서 “집단분쟁조정 신청이나 공동소송까지 고려하고 있다”고 설명했다. 손해배상 집단소송을 준비 중인 김경호 변호사(법무법인 호인)는 “핵심 쟁점은 쿠팡이 개인정보보호법 제29조에 따른 안전조치의무를 다했는지 여부”라면서 “해킹 기술이 고도화됐다 하더라도 쿠팡이 당시 기술 수준에서 요구되는 접근 통제, 접속 기록 보관, 암호화 조치 등을 소홀히 했다면 과실이 인정된다”고 주장했다.

中업체, 고객 타기팅 정교화 우려SKT 사태보다 심각한 피해 예상배송지는 계정보다 더 많이 유출주소 이용 실제 범죄도 대응해야 쿠팡에서 국내 인구 4분의3에 이르는 약 3370만개의 고객 계정 정보가 유출되는 사고가 발생한 가운데 앞선 SK텔레콤 유심(USIM·가입자 식별 모듈) 정보 노출과 KT의 무단 소액결제 및 해킹 사태 때보다 피해가 훨씬 심각할 수 있다는 우려가 나왔다. 염흥열 순천향대 정보보호학과 명예교수는 30일 서울신문과의 통화에서 “통신 3사는 시장을 나눠 갖기에 한 기업에서 고객 정보 유출 사고가 발생해도 전체 국민이 피해를 보는 건 아니지만 쿠팡은 국민 대다수가 이용하고 있는 만큼 정보 유출 사고로서는 역대급일 것”이라고 설명했다. 염 교수는 특히 2차, 3차 피해 가능성이 통신사의 개인정보 유출 사고보다 심각하다고 설명했다. SK텔레콤의 해킹 사건은 탈취된 유심 정보가 복제폰을 만드는 데 악용될 수 있어 유심을 교체하는 조치가 필요했다면, 쿠팡에서 유출된 정보의 경우 온라인 범죄는 물론 실제 범죄에 쓰일 가능성에도 대비해야 한다는 것이다. 염 교수는 “전화번호와 주소가 같은 데이터베이스 안에 매핑돼 있어 전화번호만 알면 주소를 알 수 있다. 주소에 접근해 물리적 범행을 할 가능성도 존재하기에 추가 범행을 막을 조치가 필요하다”고 말했다. 김명주 서울여대 지능정보보호학부 교수는 “국내 소비자가 알리바바나 테무 등 중국 이커머스를 사용하지 않고 쿠팡을 택한 가장 큰 이유는 중국에 개인정보가 유출되는 걸 우려하기 때문인데, 이번 사태로 어떤 제품을 샀는지 기질·성향을 나타내는 개인 식별 정보가 넘어가게 될 경우 중국 이커머스가 고객 타기팅을 더 정교화하는 데 쓰일 수 있다”고 지적했다. 이 경우 쿠팡뿐 아니라 국내 이커머스 산업 전체가 타격을 받을 수도 있다. 김 교수는 “다크웹을 이용해 다른 사이트에서 유출된 정보와 결합하면 새로운 범죄 가능성이 커진다”며 “이 경우 2차 피해가 즉각 일어나지 않고 소비자 경계가 느슨해진 뒤에 발생하기 때문에 쿠팡 때문인지 알 수 없게 되는 등 원인과 규모를 특정하기도 어려워 소비자 피해는 더 커질 수 있다”고 경고했다. 특히 배송지 정보는 유출된 고객 계정 수인 3370만개보다 더 많이 유출됐을 가능성도 제기된다. 쿠팡에서는 주문을 하고 본인이 수령하는 경우뿐 아니라 지인·가족에게 보내기 위해 1인당 2~3개 이상의 배송지 정보를 입력했을 가능성이 높기 때문이다. 정보가 유출되고도 통지를 받지 못한 사람이 상당할 것이라는 전망도 나온다.

쿠팡의 대규모 개인정보 유출로 보이스피싱·스미싱(문자로 악성 링크 클릭을 유도하는 피싱 공격) 등 2차 범죄에 대한 경계가 필요한 상황이다. 30일 한국인터넷진흥원(KISA)과 전문가 조언 등을 토대로 상황별 행동 요령을 정리했다. Q. 문자메시지로 ‘피해 보상 신청’ 혹은 ‘환불’ 링크를 받았다면. A. 정보 유출 시 가장 흔한 2차 피해는 피해 보상 신청이나 환불 등을 빌미로 악성 링크를 보내는 스미싱이다. 출처가 불분명한 사이트 주소(링크)가 포함된 문자메시지를 받은 경우 클릭하지 말고 즉시 삭제해야 한다. 카카오톡 채널 ‘보호나라’를 활용하면 스미싱·피싱 의심 사이트를 조회하고 신고할 수 있다. 유출 사실 통보나 보상·환불 절차 안내를 가장해 전화로 원격 제어 앱을 설치하라고 하는 식의 보이스피싱 수법도 조심해야 한다. 기관이나 금융회사는 전화나 문자로 앱 설치나 사이트 접속을 요구하지 않는다. Q. 모바일 결제 피해를 막으려면. A. 유출된 개인정보가 모바일 결제나 휴대전화 개통·계좌 개설에 무단으로 사용될 위험도 있다. 이동통신사 고객센터를 통해 소액결제 내역을 수시로 확인하고 이상이 있으면 경찰에 신고해야 한다. 아울러 명의도용 방지 서비스나 비대면 계좌 개설 안심 차단 서비스 등을 신청하면 추가 피해를 줄일 수 있다. Q. 해외 직구를 자주 한다면. A. 쿠팡이 유출된 개인정보 항목에 ‘일부 주문 정보’가 있었다고 밝히면서 관세청 전자통관시스템을 통해 개인통관고유부호를 재발급받는 소비자들도 있다. 누군가 자신의 고유부호를 이용해 해외에서 사기 주문을 할 수 있다는 우려 때문이다. 개인통관고유부호는 세관 통관절차를 위해 사용되는 개인 식별번호로, 한 사람당 하나의 부호가 부여된다. 쿠팡 측은 “현재까지 확인된 사항에 따르면 개인통관부호는 노출되지 않았다”고 밝혔다. Q. 내 정보가 다크웹에서 유통되는지 확인하려면. A. 개인정보보호위원회가 운영하는 ‘개인정보포털’을 이용하면 ‘다크웹’ 등 음성화 사이트에서 자신의 정보가 유통되고 있는지 확인할 수 있다.

2021년과 2024년 두 차례나 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 취득한 쿠팡이 잇달아 대규모 개인정보 유출 사고를 일으키며 도마 위에 올랐다. 정부 인증체계의 실효성을 되짚어 봐야 한다는 지적이 나오는 까닭이다. 30일 국회 정무위원회 소속 한창민 사회민주당 의원이 개인정보보호위원회에서 제출받은 자료에 따르면 쿠팡은 ISMS-P 인증을 최초 취득한 2021년 3월 이후 올해까지 네 차례의 유출 사고를 냈다. 2021년 10월 앱을 업데이트하면서 테스트를 소홀히 해 14건의 유출 사고를 냈고, 2020년 8월부터 2021년 11월까지 쿠팡이츠 배달원 13만여명의 개인정보가 유출됐다. 2023년 12월에는 판매자 전용 시스템 오류로 2만여명의 개인정보가 노출됐다. ISMS-P 인증은 과학기술정보통신부와 개인정보위가 공동으로 운영하는 국내 유일의 정보보호 및 개인정보보호 관리체계 인증제도다. 2018년 과기정통부의 ‘정보보호 관리체계 인증’(ISMS)과 개인정보위의 ‘개인정보보호 관리체계 인증’(PIMS)을 통합했다. 쿠팡은 전년도 정보통신서비스 부문 매출액이 100억원 이상으로 인증 의무 대상인데, 취득 이후에도 사고가 계속 발생했다는 점이 문제다. ISMS-P는 인증 당시 기준에 맞는지를 평가하는 것으로, 그동안에도 사후 관리 강화 등 보완이 시급하다는 지적이 이어져 왔다. 개인정보위가 장관급 중앙행정기관으로 격상된 2020년 이후부터 이달까지 총 27개의 ISMS-P 인증 기업에서 34건의 정보 유출 사고가 일어났다. 논란이 커지자 정부는 지난 10월 심사 방식을 서류 중심에서 현장 중심으로 전환했다.

이번 쿠팡의 정보 유출은 특히 사고를 인지하기까지 5개월이나 걸렸다는 데 대한 비판이 거세다. 회사의 깜깜이 대응에 실망한 소비자들은 집단소송 등 단체 행동에 나설 움직임도 보이고 있다. 30일 쿠팡에 따르면 고객 계정과 관련된 개인정보 무단 접근은 지난 6월 24일부터 시작됐지만, 쿠팡은 이를 지난 18일에야 인지하게 됐다. 쿠팡은 그동안 공격자 입장에서 취약점을 찾는 ‘레드팀’과 선제적 위협 탐지·대응을 맡은 ‘고스트팀’을 운영하면서 수준 높은 보안 조직을 갖췄다고 홍보했지만 정작 개인정보 노출 기간이나 사고 발생 원인에 대해서는 ‘조사 중’이라며 함구하고 있다. 쿠팡 측은 “현재까지 2차 피해는 보고된 바 없다”고 했지만 소비자의 불안과 불신은 확산하고 있다. 민관합동조사단을 꾸리고 쿠팡 본사에서 현장 조사를 진행 중인 정부는 쿠팡 서버 인증 체계에 취약점이 있었다고 짚었다. 이날 배경훈 부총리 겸 과학기술정보통신부 장관은 정부서울청사에서 관계 부처 긴급회의를 열고 “공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 3000만개 이상 고객 계정의 고객명, 이메일, 발송지 전화번호 및 주소를 유출한 것으로 확인했다”고 설명했다. 정부는 회의에서 국가 배후 범죄 가능성에 대해서도 논의했으며, 쿠팡 서버에서 악성코드는 발견되지 않았다고 밝혔다. 쿠팡의 개인정보보호법상 안전조치의무 위반이 확인되면 엄정 제재할 방침이다. 이번 사고가 쿠팡의 내부 직원 소행이라는 추측이 나오면서 내부 보안 대책에 허점이 있었다는 비판도 피할 수 없게 됐다. 특히 수천만명의 정보가 새 나가는 동안 자체적으로 부정·불법 행위를 탐지해 내지 못할 정도로 쿠팡 서버의 모니터링 체계가 미흡했다는 지적이 나온다. 염흥열 순천향대 정보보호학과 명예교수는 “유출자가 직장 상사 등의 ID와 비밀번호를 확보해 타인의 접근 권한까지 가졌을 가능성이 있다”며 “서버 접속 과정에서 2차 인증이 필요한데도 1차 인증만으로 통과되는 등 인증 체계의 취약점이 추정된다”고 말했다. 쿠팡의 책임과 보상을 촉구하기 위한 소비자 움직임도 확산하고 있다. 지난 29일 네이버에 개설된 ‘쿠팡 정보유출 집단소송 카페’ 운영진은 “3370만명이 피해를 본 초유의 사태에 대해 법적 책임을 묻고 공동 대응 방안을 마련하겠다”며 출범 취지를 밝혔다. 카카오톡에서 ‘쿠팡 정보유출 피해자 모임’ 채팅방을 개설한 이모(49)씨도 “개인의 힘으로는 거대 기업인 쿠팡의 안일한 대응에 맞서기 어렵다고 판단했다”면서 “집단 분쟁 조정 신청이나 공동소송까지 고려하고 있다”고 설명했다. 손해배상 집단소송을 준비 중인 김경호 변호사(법무법인 호인)는 “핵심 쟁점은 쿠팡이 개인정보보호법 제29조에 따른 ‘안전조치의무’를 다했는지 여부”라면서 “해킹 기술이 고도화됐다 하더라도 쿠팡이 당시 기술 수준에서 요구되는 접근 통제, 접속 기록 보관, 암호화 조치 등을 소홀히 했다면 과실이 인정된다”고 주장했다.

쿠팡에서 국내 인구 4분의 3에 이르는 약 3370만개의 고객 계정 정보가 유출되는 사고가 발생하자, 앞선 SK텔레콤 유심(USIM·가입자 식별 모듈) 정보 노출과 KT의 무단 소액결제 및 해킹 사태 때보다 피해가 훨씬 심각할 수 있다는 우려가 나왔다. 염흥열 순천향대 정보보호학과 교수는 30일 서울신문과의 통화에서 “통신 3사는 시장을 나눠갖기에 한 기업에서 고객 정보 유출 사고가 발생해도 전체 국민이 피해를 보는 건 아니지만 쿠팡은 국민 대다수가 이용하고 있어서 정보 유출 사고로서는 역대급일 것”이라고 설명했다. 염 교수는 특히 2차, 3차 피해 가능성이 통신사의 개인정보 유출 사고보다 심각하다고 설명했다. SK텔레콤의 해킹 사건은 탈취된 유심 정보로 복제폰을 만드는데 악용될 가능성이 있어 유심을 교체하는 조치가 필요했다면, 쿠팡에서 유출된 정보의 경우 온라인 범죄는 물론 실제 범죄에도 대비해야 한다는 것이다. 염 교수는 “전화번호와 주소가 같은 데이터베이스 안에 매핑돼있어 전화번호만 알면 주소를 알 수 있다. 주소에 접근해 물리적 범행을 할 가능성도 존재하기에 추가 범행을 막을 조치가 필요하다”고 했다. 김명주 서울여대 지능정보보호학부 교수는 “국내 소비자가 알리바바나 테무 등 중국 이커머스를 사용하지 않고 쿠팡을 택한 가장 큰 이유가 중국에 개인정보가 넘어갈까봐였는데, 이번 사태로 개인이 식별되는 정보가 넘어가게 될 경우 중국 이커머스가 고객 타겟팅을 더 정교화하는데 쓰일 수 있다”고 말했다. 김 교수는 “다크웹을 이용해 다른 사이트에서 유출된 정보와 결합하면 새로운 범죄 가능성이 커진다”면서 “3차 피해는 쿠팡 때문인지 특정할 수도 없고 피해 규모를 규명하기도 어려워 소비자 피해가 더 커질 수 있다”고 경고했다. 특히 배송지 정보는 유출된 고객 계정 수인 3370만개보다 더 많이 유출됐을 가능성도 제기된다. 쿠팡에서는 주문을 하고 본인이 수령하는 경우뿐 아니라 지인·가족에게 보내기 위해 1인당 2~3개의 배송지 정보를 입력했을 가능성이 높기 때문이다. 이 경우 정보가 유출되고도 통지를 받지 못한 사람이 상당할 것이란 전망도 나온다. 전문가들은 피해를 본 소비자라면 보이스피싱, 스미싱 등에 유의할 것을 당부했다. 한국인터넷진흥원(KISA)은 출처가 불분명한 사이트 주소(링크)가 포함된 문자 메시지를 받은 경우 클릭하지 말고 바로 삭제하라고 권고한다. 의심되는 사이트 주소는 정상 사이트와 일치하는지 확인하는 편이 좋다. 카카오톡 채널 ‘보호나라’를 활용해 스미싱·피싱 사이트 여부를 확인하고 신고할 수 있다. 번호 도용 가능성이 의심된다면 이동통신사에서 제공하는 ‘번호도용문자 차단서비스’를 신청할 수 있다. 개인정보보호위원회가 운영하는 ‘개인정보포털’은 개인정보의 다크웹 유출 여부, 분쟁 조정 등의 서비스를 제공한다.

국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡이 대규모 개인정보 유출 사고에 대해 공개 사과했다. 박대준 쿠팡 대표는 30일 오후 정부서울청사에서 기자들과 만나 이같은 뜻을 밝혔다. 박 대표는 “이번 사태로 인해 피해를 보신 쿠팡 고객들과 국민들에게 심려를 끼쳐드려 너무 죄송한 말씀과 사과의 말씀을 드린다”고 고개를 숙였다. 그러면서 이번 사태의 원인이 빠르게 규명될 수 있도록 노력하겠다는 뜻도 전달했다. 쿠팡은 지난 18일 약 4500개 계정의 개인정보가 무단으로 노출된 사실을 인지했다고 밝혔으나 후속 조사 과정에서 노출된 계정 수가 3370만개로 확인됐다. 고객 이름, 이메일 주소, 배송지 주소록에 입력된 정보 등이 유출됐지만 결제 정보와 로그인 정보 등은 유출 대상에 포함되지 않았다는 게 쿠팡 측 설명이다. 쿠팡은 지난 25일 정보통신망법상 정보통신망 침입 혐의로 ‘성명불상자’를 수사해달라고 경찰에 고소장을 제출한 바 있다. 회사도 이날 박 대표 명의의 사과문을 내고 “올해 6월 24일 시작된 쿠팡의 최근 사고에 유감을 표명한다”며 “국민 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과드린다”고 밝혔다. 이어 “올해 6월부터 최근까지 고객 정보에 대한 무단 접근이 발생했다”며 “무단 접근된 고객 정보는 이름과 이메일, 전화번호, 배송지 주소, 특정 주문 정보로 제한됐다”고 밝혔다. 쿠팡은 “모든 고객 정보를 보호하는 것이 가장 중요한 우선순위”라며 “종합적인 데이터 보호 및 보안 조치와 프로세스를 유지하고 있다”고 덧붙였다. 이어 “과학기술정보통신부와 개인정보보호위원회, 한국인터넷진흥원, 경찰청 등 민관합동조사단과 긴밀히 협력해 추가적인 피해 예방을 위해 최선을 다하겠다”고 밝혔다. 쿠팡은 “앞으로 이러한 사건으로부터 고객 데이터를 더 안전하게 보호할 수 있도록, 현재 기존 데이터 보안 장치와 시스템에 어떤 변화를 줄 수 있는지 검토하고 있다”고 부연했다.

3370만개에 달하는 쿠팡 고객 계정의 개인정보 유출은 외부 해킹이 아닌 내부자 소행으로 보이는 정황이 있는 것으로 전해졌다. 30일 연합뉴스 등에 따르면 서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아 개인정보 유출 사태에 대한 수사에 착수했다. 쿠팡의 고소장에 피고소인이 특정되지 않고 ‘성명불상자’로 기재됐지만, 내부에서 고객 정보를 비인가 조회한 주체가 쿠팡에 근무했던 중국 국적자로 추정된다고 연합뉴스는 보도했다. 이 직원이 외국 국적자인 데다 이미 쿠팡을 퇴사해 한국을 떠난 것으로 전해지면서 수사가 쉽지 않은 것 아니냐는 우려도 나온다. 쿠팡은 앞서 이번 정보 유출 사고가 해킹 등 외부 요인에 따른 것이 아님을 시사한 바 있다. 쿠팡은 정보 유출 피해 고객 계정이 4500여개라고 발표했던 지난 20일 당시 입장문에서 “고객 개인정보가 비인가 조회된 것으로 확인됐다. 쿠팡 시스템과 내부 네트워크망의 외부 침입 흔적은 없는 것으로 확인했다”고 밝혔다. 쿠팡은 현재까지 고객 계정 약 3370만개가 유출된 것을 확인했다. 이는 국내 성인 4명 중 3명의 정보에 해당하며 사실상 쿠팡 전체 계정에 맞먹을 것으로 추정되는 규모다. 유출 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보 등이다. 또 쿠팡은 정보 침탈 시도가 이미 5개월 전인 지난 6월 24일 시작된 것으로 보고 있다. SK텔레콤과 KT 등 최근 발생한 대규모 정보 유출 사건은 주로 외부 해킹에 의한 것이었으나, 이번 사태는 내부 직원의 소행으로 추정되면서 쿠팡의 내부 관리 허점이 드러났다는 지적이 나온다. 쿠팡의 이번 고객 정보 유출 규모는 지난 2011년 약 3500만명이 정보 유출 사태를 겪은 싸이월드·네이트 사례와 맞먹는다. 당시 이 사고는 해킹으로 인한 것이었다. 개인정보 보호 위반으로 개인정보보호위원회로부터 역대 최대 과징금(1348억원) 처분을 받은 SK텔레콤의 개인정보 유출 역시 해킹 사고였다. 한편 경찰 수사와 별개로 정부는 민간과 합동조사단을 꾸려 사고 원인 분석에 나선 상황이다. 과학기술정보통신부는 쿠팡 침해사고 및 개인정보 대규모 유출 사고와 관련해 민관합동조사단을 꾸려 사고 원인 분석 및 재발 방지 대책을 마련할 계획이다.

국내 전자상거래(이커머스) 시장 1위 업체인 쿠팡의 대규모 개인정보 유출이 반년 전부터 발생했을 가능성이 제기되면서 소비자들 사이에서 불안과 우려가 커지고 있다. 정부는 민간과 합동조사단을 꾸려 사고 원인 분석에 나섰고, 경찰은 수사에 착수했다. 30일 유통업계에 따르면 쿠팡은 전날 오후 “고객 계정 약 3370만개가 무단으로 노출된 것으로 확인됐다”고 공지했다. 쿠팡은 노출된 고객 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 ‘제한’됐고, 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 이어 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 덧붙였다. 고객의 민감한 개인정보 탈취 시도가 이미 5개월 전에 시작됐다는 것이다. 쿠팡은 이번 유출 사고를 지난 18일에서야 인지하고 지난 20일과 전날 각각 관련 내용을 개인정보보호위원회에 신고했다. 개인정보보호위는 현재 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인 정보 유출 사태에 대한 수사에 착수했다. 전자상거래를 이용하는 국민이라면 대부분 쓰고 있다고 볼 수 있는 쿠팡에서 대규모 고객 정보 유출 사고가 발생하면서 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 전날 관련 기사에는 “개인정보 털렸는데 그냥 미안하다고 문자 하나만 띡 보내면 다냐”, “요즘 광고 전화 너무 많이 오더니”, “전 국민 털렸네” 등 정보 유출에 대한 불안과 분노 섞인 댓글이 달렸다. 또 고객의 이름과 이메일, 전화번호, 주소만으로도 분히 사기 등의 범죄에 악용될 수 있다는 지적도 나온다. 특히 주소가 유출되면서 문 앞 배송을 원활히 하기 위해 기재한 공동 현관 비밀번호까지 다 노출된 것 아니냐는 불안까지 제기되고 있다. 쿠팡이 피해 규모를 9일 만에 약 7500배로 조정한 것을 두고도 향후 조사 결과에 따라 피해 규모가 더 커질지도 모른다는 추측도 나온다. 또 지난 6월부터 정보 탈취 시도가 있었던 것으로 확인된 만큼 정보 유출이 수개월에 걸쳐 이뤄졌을 가능성도 제기된다. 쿠팡은 지난 20일 정보 유출 피해 고객 계정이 4500여개라고 발표했으나 29일에는 3370만개라고 다시 공지했다. 쿠팡이 지난 3분기 실적 발표 당시 언급한 프로덕트 커머스 부분 활성고객(구매 이력이 있는 고객)이 2470만명인데 이보다 훨씬 많은 수준이다. 사실상 전체 고객의 정보가 유출된 것으로 보인다. 또 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만명)를 뛰어넘는 규모다. 다른 기업들의 보안 관련 사고에서도 당국의 조사가 진행되면서 피해 규모는 더 커졌다. 앞서 사이버 침해 사고가 발생한 롯데카드의 경우 지난 9월 4일 사과문에서는 “현재까지 조사한 결과에 따르면 고객 정보 유출 사실은 확인되지 않았다”고 공지했으나, 그로부터 2주 뒤에는 카드번호뿐 아니라 CVC번호 등 민감 정보까지 유출됐다고 밝혔다. KT의 경우 해킹 사고 처리 과정에서 서버를 폐기해 증거를 은닉했다는 의혹이 제기돼 경찰이 이달 강제수사에 착수했다.

최근 해킹으로 611만여명의 고객 및 임직원의 개인정보가 유출된 국내 대형 게임사 넷마블이 이른바 3N(넥슨·넷마블·엔씨소프트)으로 불리는 게임업체 중 정보보호 투자 규모는 가장 적은 것으로 나타났다. 28일 한국인터넷진흥원(KISA)의 ‘정보보호 공시현황’에 따르면 넷마블이 지난해 지출한 정보보호 부문 투자액은 약 57억원으로 전체 정보기술 부문 투자액 1100억원의 5.2% 수준이다. 엔씨소프트는 182억원, 넥슨코리아는 228억원을 보안에 투자했고, 국내 상장 게임사 중 시가총액 1위인 크래프톤은 97억원을 투자했다. 정보보호 지출 규모도 최근 점점 줄인 것으로 나타났다. 넷마블은 2021년 정보보호 분야에 73억원을 썼지만, 2022년엔 66억원, 2023년 52억원으로 줄었다. 반면 엔씨소프트는 2022년 이후 게임 매출 감소에도 불구하고 2021년 162억원에서 지난해 투자 규모를 약 12% 늘렸다. 같은 기간 넥슨코리아는 67%, 크래프톤은 138% 늘렸다. 넷마블은 지난 22일 바둑·장기 등 PC 게임 포털사이트에서 발생한 고객 및 일부 임직원 정보 유출 건에 대한 자체 조사 결과, 휴면 계정을 포함해 611만여명의 회원 정보가 유출된 것으로 집계됐다고 전날 밝혔다. 주민등록번호와 같은 고유식별정보나 민감정보 유출은 없었지만 이름과 생년월일, 암호화된 비밀번호 등이 유출된 것으로 조사됐다. 또 휴면 처리된 채 남아 있던 ID와 비밀번호 3100만여개, 2015년 이전 PC방 가맹점 6만 6000여곳의 사업주 이름과 이메일 정보 등이 함께 유출됐다고 밝혔다.

올해 2월 세상을 떠난 배우 김새론의 유족 측이 고인이 미성년자일 때 김수현과 교제했다고 재차 주장하며 증거를 추가 공개했다. 고인의 어머니는 26일 법무법인 부유를 통해 발송한 입장문에서 “김새론이 미성년자 시절 김수현과 교제했다”며 “저희가 가진 자료들 중 일부를 오늘 공개한다”고 밝혔다. 고인의 어머니가 입장을 밝힌 것은 지난 3월 모 유튜브 채널에서 인공지능(AI) 목소리로 입장문을 대독한 이후 약 8개월 만이다. 김새론 모친은 “새론이 엄마입니다. 많은 고민 끝에 용기를 내어 글을 적어 봅니다. 저희 사건은 현재 수사가 진행되고 있습니다. 수사기관에서는 각 당사자들에 언론의 접촉을 자제해주었으면 좋겠다고 권고했고, 저희는 수사기관의 권고를 받아들였다”고 입을 열었다. 모친은 “하지만 최근 김수현의 법률대리인이라고 하는 고상록 변호사는 자신의 유튜브 채널 ‘진격의 고변’을 통해 지속적인 게시글을 올리며 거짓 주장을 통해 여론을 선동하고 있다”며 “저희는 언론 대응을 전혀 하지 않고 있는데, 상대방은 변호사의 유튜브를 통해 지속적인 언론 대응을 하고 있어 마치 상대방의 거짓 주장을 세상이 믿는 것은 아닌지, 진실이 흔들려 묻히는 것은 아닌지 걱정이 된다”고 전했다. 이어 모친은 “이에 김새론이 미성년자 시절 김수현과 교제하였다는 점을 보여드리기 위해 저희가 가진 자료들 중 일부를 오늘 공개한다. 이 보도자료를 마지막으로 양측은 언론 대응을 그치고 수사기관의 수사결과를 기다렸으면 하는 바람”이라고 밝혔다. 모친은 먼저 김새론 지인의 녹취록을 공개했다. 이 지인은 김새론과 제주도에 갔을 때 ‘수현 오빠가 공항에 (김새론을) 데려다 주고 그랬는데’ ‘그때 론이가 열여덟인가?’라고 증언했다. 김새론 고양이 ‘팥떡’과 ‘꿀떡’은 김수현이 ‘해를 품은 달’(2012)에 출연한 뒤 ‘달’과 ‘구름’으로 바뀌었다. “김새론이 김수현을 ‘달님’이라 지칭했다는 진술도 있다”고 모친은 전했다. 김새론의 전자기기를 포렌식해 2017년 9월 28일 작성한 메모도 공개했다. 김수현은 그해 10월 23일 입대한 상태였다. ‘남은 시간 매일을 너랑 같이 보내고 싶어라고 하면 안 돼?’ ‘오빠 그냥 단지 군대 가서 그런 건 아냐’ ‘우리는 어렵잖아. 건너가야 할 게 많잖아. 일차적으로 눈에 보이는 게 나이고’ ‘오빠가 나를 정말로 다시 만날 생각이어서 그런 말한 거면 그냥 내가 오빠 지금 기다릴 수 있어. 기다린다기보단 그냥 계속 좋아할 수 있어’ 등의 내용이 담겼다. 모친은 “연인 간에만 할 수 있는 표현”이라며 “김새론과 김수현이 2017년 9월 28일 메모 작성 전에 이미 연인 관계였던 사실을 쉽게 알 수 있다”고 짚었다. 김수현이 2018년 2월 18일 신병위로휴가를 나와 ‘하트’ 이모티콘을 쓰거나 ‘보고 싶다, 이쁘다’고 표현한 메시지를 두고도 “연인 간 메시지가 아니라고 할 수 있는지 의문”이라고 했다. 2018년 4월 12일 약속을 앞두고 김수현이 ‘당장 보고 싶다’고 하거나 ‘옷을 다 벗고 있다’는 표현을 사용했다며 “두 사람이 연인일 수밖에 없다”고 강조했다. 김새론이 지난해 3월 전 소속사 골드메달리스트에 음주운전 위약금 내용증명을 받고 난 뒤 쓴 편지에 대해서도 “‘우리가 만난 기간이 대략 5~6년 됐더라. 첫사랑이기도 마지막 사랑이기도 해서’라는 문구가 기재돼 있는 것만 보더라도 미성년자 시절부터 상당한 기간 동안 김수현과 교제한 사실이 확인된다”고 모친은 주장했다. 김수현의 법률대리인 고상록 변호사는 이날 김새론 모친이 공개한 증거들에 대해 “수사기관에 제출해 저희도 이미 본 자료들이다. 김수현과 무관하거나 고인이 혼자 쓴 글들”이라며 “증거 가치가 없고 세부적으로 보면 포렌식(디지털 증거 추출) 정보도 다르다”고 연합뉴스에 전했다. 김수현 측은 그동안 김새론과 교제를 한 것은 맞다고 인정하면서도 미성년자 때 교제한 적은 없다고 주장해왔다. 김수현은 지난 3월 기자회견을 열고 “고인이 미성년자이던 시절 교제하지 않았다”면서 “저의 외면으로 인해, 또 소속사가 고인 채무를 압박했기 때문에 비극적인 선택을 했다는 것 또한 사실이 아니다”라며 오열했다. 유족 측이 공개한 2016년과 2018년 카톡 메시지 조작 의혹도 제기했다. 그러면서 유족과 가세연 운영자 김세의 등을 상대로 120억원 손해배상청구 등 민·형사상 소송을 냈으며, 정보통신망이용촉진및정보보호등에관한법률위반(명예훼손) 혐의 등으로 고소·고발했다. 김새론 유족 측도 지난 5월 김수현을 아동복지법 위반 및 무고 혐의로 맞고소하며 진실 공방을 이어가고 있는 상황이다.

다음달 5일 2026학년도 대학수학능력시험(수능) 성적 발표를 앞두고 수험생들이 정시 모집 지원 전략을 세우는 시기다. 수험생들은 전년도 모집 요강과 입시 결과를 참고하면서 올해 변경된 대학별 입시요강을 꼼꼼하게 점검해야 한다. 이투스에듀의 도움을 받아 주요 대학별로 올 정시부터 변화하는 입시 요강을 정리했다. 국민대 수능 반영 비율 변경국민대는 주요 모집 군이 이동한다. 가군에서 다군으로 이동하는 모집 단위는 경영정보학부(인문·5명)와 경영정보학부(자연·3명)이다. 기존 나군에서 다군으로 이동하는 모집 단위는 경제학과(10명)와 기계공학부(10명)이고, 다군에서 가군으로 이동하는 모집 단위는 산림환경시스템학과(2명)와 임산생명공학과(2명)다. 기존 자유전공과 미래융합전공이 계열별(A형·B형)로 분리된다. 자유전공 및 미래융합전공의 A형은 기존보다 국어 반영 비율이 증가(40%)하고 수학 반영 비율이 증가(30%)한다. 영어(10%)와 탐구(20%)의 반영 비율은 줄었다. 자유전공(B)의 경우 2026학년도부터 수학(미적분·기하) 5% 가산과 과탐 5% 가산이 신설된다. 미래융합전공(B)은 기존에 미적분·기하 및 과탐에 각각 3%씩 가산되던 비율이 각각 5%로 상향된다. 자유전공은 A형 120명, B형 120명으로 계열 분리 모집을 실시한다. 미래융합전공은 미래융합전공(A)가 166명에서 146명으로 20명 감소하고, 미래융합전공(B)는 197명에서 177명으로 20명 줄어든다. 숭실대 가산점 적용 모집단위 확대 숭실대는 기존의 가군 소프트웨어학부(16명)와 다군 AI융합학부(16명)는 통합되어 가군 AI소프트웨어학부(74명)로 선발된다. 인문계열과 경상계열의 수능 영역별 반영 비율도 변경된다. 인문계열은 수학 반영 비율이 25%에서 20%로 감소하는 대신, 탐구 영역의 반영 비율이 총 20%에서 25%로 증가한다. 경상계열 역시 수학 반영 비율이 35%에서 30%로 감소하고, 탐구 영역의 반영 비율이 총 20%에서 25%로 증가했다. 가산점 적용 모집 단위가 확대된다. 2025학년도에는 자유전공학부(인문)에만 적용되던 사탐 과목당 2.5% 가산점이 2026학년도부터는 자유전공학부(인문) 외에 인문계열 및 경상계열에도 적용된다. 세종대 첨단융합계열 등 모집단위 신설 세종대는 세 개의 새로운 모집 단위를 신설한다. 가군에 국방AI로봇융합공학과가 6명을, 나군에 양자지능정보학과가 15명을, 다군에 첨단융합계열이 185명을 모집한다. 가군에서 나군으로 이동하는 모집 단위는 인문사회계열(100명), 자연생명계열(113명), 경제학과, 호텔관광외식경영학부, 정보보호학과 등이다. 나군에서 가군으로 이동하는 모집 단위는 경상호텔관광계열(119명) 등 일부 학과의 이월인원이 있다. 모집 인원 감소가 두드러지는 모집 단위는 ▲인문사회계열(122→100명) ▲자연생명계열(126→113명) ▲IT계열(125→104명) ▲공과계열(208→170명) 등이다. 특히 인공지능데이터사이언스학과(60→6명), AI로봇학과(79→8명), 지능정보융합학과(50→7명), 콘텐츠소프트웨어학과(32→6명) 등 첨단 분야 모집 단위의 인원 감소 폭이 크다. 국방AI융합시스템공학 특별전형의 수능 최저학력기준이 완화됐다. 수능 최저학력기준이 국어·수학·영어·탐구(1과목) 중 3개 등급 합 10 이내에서 3개 등급 합 11 이내로 변경됐다.

경찰이 인공지능(AI) 기술 도입 등을 총괄하는 전담 부서를 만든다. 경찰 내 데이터·정보시스템·과학치안 등 여러 부서가 AI와 직·간접적으로 연결돼 있지만 ‘컨트롤타워’ 역할을 할 조직이 없다는 지적이 제기된 데 따른 것이다. 기존의 태스크포스(TF)를 연내 공식 직제화해 AI 시스템 도입과 관리, 인력 보강 등 장기적이고 지속 가능한 전략을 마련한다는 방침이다. 23일 서울신문 취재를 종합하면, 경찰청은 ‘AI 혁신 TF’를 정규 직제화하는 방안을 행정안전부 등에 요청한 것으로 파악됐다. 경찰청 관계자는 “행안부를 포함해 관련 부처와 AI 전담 부서 설치를 논의 중”이라고 말했다. 이에 따라 임시 조직이었던 TF를 정식 부서로 전환하고, 구성원도 기존 7명에서 더 늘릴 계획이다. 특히 데이터분석 자격증 보유자나 관련 석·박사 등 다양한 전문 인력을 확대 영입해 전문성을 강화한다는 구상이다. 경찰청은 지난 5월 미래치안정책국 산하에 ‘AI 혁신 TF’를 설치해 운영해왔다. TF는 AI 관련 기술 연구개발, 예산 편성 등 각종 업무를 전담해 왔다. TF는 그동안 딥페이크 탐지 소프트웨어, 진술 조서 정리·증거 분석 등 경찰관들의 수사를 보조하는 ‘AI 수사도우미’, 폐쇄회로(CC)TV 영상 분석 프로그램 등을 도입했다. 이 외에 AI순찰드론 도입, AI 훈령 및 윤리 준칙 마련도 추진하고 있다. 특히 CCTV·블랙박스 등 영상분석, AI 수사도우미 등은 업무 효율성과 정확성을 높여 경찰 내부에서도 만족도가 높았다. 이처럼 수사 전반에 AI 활용이 늘면서 경찰은 전담 부서를 통해 총괄적인 관리 체계를 갖추겠다는 계획이다. 서울에 근무하는 한 경찰관은 “신기술 도입뿐 아니라 기술 활용이 개인정보보호나 수사 인권 등 내부 규정에 어긋나지 않는지, 직원들이 도입된 기술을 제대로 사용하고 있는지 등을 정기적으로 점검할 별도 부서가 필요하다”고 전했다. 경찰청 관계자는 “AI 기술을 활용한 치안 수요가 늘고 활용 역량도 중요해졌다”며 “전담 부서 설치는 관련 기술 도입 시 장기성과 일관성을 도모하기 위한 차원”이라고 말했다.

최근 공공과 민간을 가리지 않고 해킹이 빈발하면서 관련 업무가 폭증하는 가운데 과학기술정보통신부가 추진하던 ‘정보보호정책관’ 신설이 암초에 부딪혔습니다. 정책 수요는 어느 때보다 커졌지만, 조직은 제자리를 벗어나지 못할 수 있다는 우려가 나옵니다. 20일 관가에 따르면 행정안전부는 최근 과기정통부의 정보보호국 분리·신설 요청을 허용하지 않고, 해킹 업무를 담당하던 사이버침해대응 심사 인력을 일부 보강해 침해사고조사팀만 신설하는 방안을 비중 있게 검토 중인 것으로 알려졌습니다. 앞서 과기정통부는 기존 네트워크정책실의 이름을 정보보호·네트워크정책실로 바꾸고 산하에 정보보호정책관을 신설하는 조직 개편안을 행안부에 제출했습니다. 국 단위인 정보보호네트워크정책관을 정보보호정책국과 네트워크정책국으로 나누고, 정보보호정책국 아래 사이버 침해 업무를 전담하는 별도 조직까지 만드는 구상이었습니다. 반복되는 해킹 사태를 고려해 정보보호를 전면에 세우겠다는 의지를 담은 것입니다. 하지만 행안부의 반대로 제동이 걸릴 가능성이 커졌습니다. 문제는 현장 대응 여력이 이미 포화 상태라는 점입니다. 사이버침해대응과에서 해킹 관련 업무를 전담하는 인력은 사무관 1명, 주무관 1명뿐입니다. 과기정통부 관계자는 “별도 조직이 생기면 대응이 수월해질 것”이라고 말했습니다. 이와 관련해 행안부는 네트워크정책실이 신설된 지 얼마 안 됐고 최근 몇 년 사이 기능이 이미 세분됐다는 이유로 조직 신설의 필요성에 의문을 제기하는 것으로 알려졌습니다. 해킹 사고가 터질 때마다 국회와 업계는 “정부의 보안 대응 체계가 시대 변화에 뒤처졌다”고 지적합니다. 이런 상황에서 조직 신설이 좌초된다면 과기정통부가 구상했던 정보보호 역량 강화도 원점으로 돌아갈 수 있습니다. 정보보호는 더이상 선택이 아닌 필수 정책 영역입니다. 행안부의 최종 판단이 주목됩니다.

SK텔레콤이 유심 해킹 사태로 개인정보 유출 피해를 본 고객들에게 1인당 30만원을 배상하도록 한 개인정보보호위원회 분쟁조정위원회의 조정안을 수용하지 않겠다고 20일 밝혔다. SK텔레콤 관계자는 “조정위의 결정을 존중하지만, 사고 후 회사가 취한 선제적 보상과 재발 방지 조치가 조정안에 충분히 반영되지 않아 수용하지 않기로 했다”면서 “다만 고객 신뢰 회복과 추가 피해 예방을 위한 조치는 계속 이어갈 것”이라고 전했다. 앞서 분쟁조정위는 지난 4일 SK텔레콤에 피해 고객 3998명에 대해 1인당 30만원 지급을 권고하는 조정안을 내놓았다.

쿠팡에서 고객 4500여명의 개인 정보가 노출되는 사고가 발생했다. 쿠팡은 20일 고객들에게 “지난 18일 제3자가 비인가 접근을 통해 고객 4500여명의 이름, 이메일, 전화번호, 주소, 최근 5건의 주문 이력을 조회한 것을 확인했다”면서 “즉시 제3자가 사용했던 접근 경로를 차단했으며 고객에게 개별 공지를 완료했다”고 밝혔다. 쿠팡은 결제 정보에 대한 접근이나 쿠팡 시스템의 외부 침입, 조회한 정보를 이용한 사례 등은 없는 것으로 확인했다고 덧붙였다. 쿠팡은 파악한 원인과 경과 등을 과학기술정보통신부, 한국인터넷진흥원과 개인정보보호위원회에 신고했다.

쿠팡에서 고객 4500여명의 개인 정보가 노출되는 사고가 발생했다. 쿠팡은 20일 고객들에게 “지난 18일 제3자가 비인가 접근을 통해 고객 4500여명의 이름, 이메일, 전화번호, 주소, 최근 5건의 주문 이력을 조회한 것을 확인했다”면서 “즉시 제3자가 사용했던 접근 경로를 차단했으며 고객에게 개별 공지를 완료했다”고 밝혔다. 쿠팡은 해당 활동을 탐지한 후, 즉시 필요한 대응 조치를 완료하였고 모니터링을 지속적으로 강화하고 있다고 설명했다. 또한 결제 정보에 대한 접근이나 쿠팡 시스템의 외부 침입, 조회한 정보를 이용한 사례 등은 없는 것으로 확인했다고 덧붙였다. 쿠팡은 파악한 원인과 경과 등을 과학기술정보통신부, 한국인터넷진흥원과 개인정보보호위원회에 신고했다. 회사 측은 “고객께 심려를 끼치게 돼 진심으로 사과의 말씀을 드린다”고 했다.

“어디까지가 ‘고영향’ 인공지능(AI) 사업자인가요?” 내년 1월 ‘AI 기본법’(인공지능발전과 신뢰기반조성 등에 관한 기본법) 시행을 두 달 앞둔 지난 18일 서울 중구 법무법인 광장 사무실에서 열린 ‘2025년 데이터, AI법 이슈의 분석과 과제’ 세미나 현장에는 세계 최초로 시행되는 AI 기본법에 대한 높은 관심을 보여주듯 변호사, 기업 관계자들 40여명이 자리를 가득 채웠다. 이날 약 4시간에 걸쳐 진행된 세미나의 가장 큰 화두는 ‘고영향 AI’였다. 고영향 AI란 ‘사람의 생명과 신체의 안전, 기본권에 중대한 영향을 미치거나 위험을 초래할 우려가 있는 인공지능 시스템’을 말한다. AI 기본법이 시행될 경우 이같은 고영향 AI를 활용하는 기업에겐 ▲위험관리방안의 수립 및 운영 ▲이용자 보호 방안의 수립 및 운영 ▲고영향 AI에 대한 사람의 관리·감독 등의 의무가 생긴다. 이미 AI 사용이 대부분의 기업에서 보편화된 가운데 추가 관리 인력과 자원을 전방위적으로 투입하게 되는 셈이다. 또 만약 고영향 AI나 생성형 AI에 기반해 제품이나 서비스가 운용되는 것을 사전고지하지 않을 경우엔 3000만원 이하의 과태료가 부과된다. 그러나 아직까지 고영향 AI를 분류할 명확한 기준이 제시되지 않고 있다는 지적이다. 이날 참석자들은 “‘중대한 영향’과 ‘위험을 초래할 우려’라는 기준이 모호해 세부 조항으로 보완이 필요하다”고 입을 모았다. 사정이 이렇다보니 업계에선 고영향 AI 사업자로 분류되는 것을 꺼리는 분위기가 감지된다. ‘AI를 이용하더라도 사람이 직접 판단했다는 증거를 최대한 만들어 둬야 한다’는 목소리도 나온다. 주성완 가로재 법률사무소 변호사는 “예컨대 기업이 채용단계에서 AI를 많이 사용하는데 고영향 AI로 분류되면 비용이 얼마나 더 나오는지 관심”이라며 “결정적 판단을 사람이 했다는 자료를 최대한 남기는 식으로 대비하자는 게 실무자들의 판단”이라고 전했다. 이주연 네이버 리더는 “이용자 보호도 중요하지만 산업 진흥 측면에서도 과제가 많다”며 “유럽은 고위험 자체 평가 원칙을 두고 정부는 사후 감사 중심으로 운영한다. 판단 기준을 명확히 하되 일률적인 기준이 아니라 상황에 맞는 적합성을 스스로 선언할 수 있게 하는 유연한 입법 체계가 필요하다”고 지적했다. 중소기업에서는 대응할 여력이 없어 법 준수를 포기하게 될 것이라는 우려도 나왔다. 임주영 법무법인 응원 변호사는 “대기업도 대비가 버겁다면 중소기업에게는 사실상 법을 준수하지 말라고 떠미는 상황”이라며 “법이 유명무실해져 ‘장외법’이 될 우려가 있다”고 했다. 개인정보보호법 도입 당시 중소기업들이 보호 조치에 손을 놓았던 상황이 되풀이될 수 있다는 설명이다. 기업이 대비할 수 있도록 법 시행을 늦추는 것이 방법이 될 수 있다는 목소리도 나온다. 이성엽 고려대 법학전문대학원 교수는 “내년 1월 AI 기본법이 적용되면 고영향 AI 사업자에 해당하는 업장 모두 법을 어기는 상태가 될 수 있다”며 “하위 법령이 너무 많아 기업이 준수하기 어려워 최소 1년 정도 시행을 유예할 필요가 있다”고 조언했다.