쿠팡은 지난해 11월 말 3370만명에 달하는 대규모 개인정보 유출 사태와 관련, 16만 5000여건의 계정이 추가로 유출된 사실을 확인했다고 5일 밝혔다. 쿠팡은 이날 추가 정보 유출이 확인된 소비자들에게 개별 통지를 통해 “관련 당국의 조사 과정에서 지난해 11월 발생했던 것과 동일한 개인정보 유출 사건에서 약 16만 5000여 건 계정의 추가 유출이 확인됐다”고 알렸다. 유출 정보는 고객이 입력한 주소록 정보인 이름, 전화번호, 주소 등이다. 결제 및 로그인 정보를 비롯해 공동현관 비밀번호, 이메일, 주문목록은 유출되지 않았다는 것이 쿠팡의 설명이다. 지난해 대규모 개인정보 유출 사태로 정부의 조사를 받고 있는 쿠팡은 이번 유출 사실을 개인정보보호위원회의 권고에 따라 알리게 됐다고 설명했다. 그러면서 이번에 통지된 유출 건은 새롭게 발생한 건이 아니라 지난해 11월 유출 사건과 관련해 추가로 확인된 것이라고 강조했다. 쿠팡은 추가 유출이 확인된 고객들에게 보낸 문자에서 “내부 모니터링을 한층 더 강화해 즉시 대응할 수 있는 체계를 확립하고 운영 중에 있다”며 “현재까지 2차 피해 의심 사례는 발견되지 않고 있다”고 했다. 쿠팡은 추가로 유출이 확인된 고객들에게도 기존과 같은 구매이용권을 지급할 예정이다. 쿠팡은 지난해 12월 25일 정보 유출자를 만나 데스크톱과 하드 드라이브를 회수하고 이를 포렌식한 결과 유출자가 3300만개의 고객 계정에 접근했으며 실제 저장한 계정은 3000건이라는 자체 조사 결과를 발표한 바 있다. 이번 추가 유출 사례는 민관합동조사단의 조사 과정에서 추가로 확인됐다. 한편 경찰은 ‘쿠팡 사태 연석 청문회’에서 위증한 혐의를 받는 해롤드 로저스 한국 쿠팡 임시대표를 6일 재소환할 계획이다. 쿠팡은 ‘셀프 조사’와 관련해서도 증거 일부 인멸이나 사태 규모를 축소하려 했다는 의혹을 받고 있다.

쿠팡은 지난해 11월 말 3370만명에 달하는 대규모 개인정보 유출 사태와 관련, 16만 5000여건의 계정이 추가로 유출된 사실을 확인했다고 5일 밝혔다. 쿠팡은 이날 추가 정보 유출이 확인된 소비자들에게 개별 통지를 통해 “관련 당국의 조사 과정에서 지난해 11월 발생했던 것과 동일한 개인정보 유출 사건에서 약 16만 5000여 건 계정의 추가 유출이 확인됐다”고 알렸다. 유출 정보는 고객이 입력한 주소록 정보인 이름, 전화번호, 주소 등이다. 결제 및 로그인 정보를 비롯해 공동현관 비밀번호, 이메일, 주문목록은 유출되지 않았다는 것이 쿠팡의 설명이다. 지난해 대규모 개인정보 유출 사태로 정부의 조사를 받고 있는 쿠팡은 이번 유출 사실을 개인정보보호위원회의 권고에 따라 알리게 됐다고 설명했다. 그러면서 이번에 통지된 유출 건은 새롭게 발생한 건이 아니라 지난해 11월 유출 사건과 관련해 추가로 확인된 것이라고 강조했다. 쿠팡은 추가 유출이 확인된 고객들에게 보낸 문자에서 “내부 모니터링을 한층 더 강화해 즉시 대응할 수 있는 체계를 확립하고 운영 중에 있다”며 “현재까지 2차 피해 의심 사례는 발견되지 않고 있다”고 했다. 쿠팡은 추가로 유출이 확인된 고객들에게도 기존과 같은 구매이용권을 지급할 예정이다. 쿠팡은 지난해 12월 25일 정보 유출자를 만나 데스크톱과 하드 드라이브를 회수하고 이를 포렌식한 결과 유출자가 3300만개의 고객 계정에 접근했으며 실제 저장한 계정은 3000건이라는 자체 조사 결과를 발표한 바 있다. 이번 추가 유출 사례는 민관합동조사단의 조사 과정에서 추가로 확인됐다. 한편 경찰은 ‘쿠팡 사태 연석 청문회’에서 위증한 혐의를 받는 해롤드 로저스 한국 쿠팡 임시대표를 6일 재소환할 계획이다. 쿠팡은 ‘셀프 조사’와 관련해서도 증거 일부 인멸이나 사태 규모를 축소하려 했다는 의혹을 받고 있다.

20명 이하에 직접 발송은 ‘무제한’주차 차량·주소록 등 번호도 수집“정치 신인 이름 알리는 데 효과”“개인정보 유출된 것 같아 불쾌” “○○시장 출마 예정자 ○○○입니다. 새해 복 많이 받으세요.” 대구 중구에 사는 직장인 권모(28)씨는 최근 낯선 번호로 걸려 온 전화를 받았다. 경북 지역 기초단체장 출마 예정자라고 밝힌 인물의 새해 인사 녹음이었다. 현재 살지도, 살아본 적도 없는 지역에서 온 것이라 의아할 수밖에 없었다. 권씨는 “새해 복 많이 받으라고 하니 고맙긴 하지만 이외에도 각종 출마 예정자들의 문자 메시지를 수도 없이 받았다”면서 “피로감이 쌓이는 게 사실”이라고 토로했다. 경기 지역 한 기초단체장 명의 새해 메시지를 받은 서울 관악구 주민 박모(34)씨도 “얼굴도 모르는 사람에게 문자를 받으니 ‘내 번호는 어떻게 알았나’ 싶다”며 “개인정보 유출이 일상화됐다지만 정치인들까지 무분별하게 메시지를 보내니 불쾌하다”고 말했다. 6·3 전국동시지방선거가 반년 남은 가운데 선거구를 가리지 않고 전국 각지에서 보내오는 입지자들의 자동응답시스템(ARS) 전화와 문자 메시지에 유권자들이 몸살을 앓고 있다. 유권자 입장에선 공해 수준이지만 이를 막지 못하는 것은 제도적 사각지대가 있어서다. 현행 공직선거법상 문자 메시지는 동시에 20명 이상에게 직접 발송하거나 20명 이하라도 프로그램을 통해 보내는 건 유권자 한 명당 8회까지 가능하다. 하지만 20명 이하에게 직접 보내는 건 제한이 없다. 지지 요청을 제외하고, 새해나 명절 인사 목적의 ARS 전화는 사실상 무제한으로 가능한 것이다. 비용 부담이 크지만 출마 예정자들이 선택할 수밖에 없는 이유이기도 하다. 인지도가 낮은 정치 신인의 경우가 특히 그렇다. 대구 지역의 한 입지자는 “남들이 다 하는데 나만 안 할 수도 없는 노릇”이라며 “내 이름 석 자를 알리는 데 이만한 게 없다”고 말했다. 선거법에 전화번호 수집에 관한 규정이 없다는 점도 문제다. 입지자들은 주차 차량에 적힌 전화번호나 동창회, 종친회, 종교단체 주소록 등 다양한 방식으로 연락처를 수집한다. 유권자 동의를 얻지 않는 경우도 부지기수다. 대구시 선거관리위원회 관계자는 “현행법상 명절이나 특정 기념일에 하는 인사말 전송을 막을 수는 없다”면서 “법 개정 등 제도적 측면에서 정비가 필요하다”고 말했다.

“○○시장 출마 예정자 ○○○입니다. 새해 복 많이 받으세요.” 대구 중구에 사는 직장인 권모(28)씨는 최근 낯선 번호로 걸려 온 전화를 받았다. 경북 지역 기초단체장 출마 예정자라고 밝힌 인물의 새해 인사 녹음이었다. 현재 살지도, 살아본 적도 없는 지역에서 온 것이라 의아할 수밖에 없었다. 권씨는 “새해 복 많이 받으라고 하니 고맙긴 하지만 이외에도 각종 출마 예정자들의 문자 메시지를 수도 없이 받았다”면서 “피로감이 쌓이는 게 사실”이라고 토로했다. 경기 지역 한 기초단체장 명의 새해 메시지를 받은 서울 관악구 주민 박모(34)씨도 “얼굴도 모르는 사람에게 문자를 받으니 ‘내 번호는 어떻게 알았나’ 싶다”며 “개인정보 유출이 일상화됐다지만 정치인들까지 무분별하게 메시지를 보내니 불쾌하다”고 말했다. 6·3 전국동시지방선거가 반년 남은 가운데 선거구를 가리지 않고 전국 각지에서 보내오는 입지자들의 자동응답시스템(ARS) 전화와 문자 메시지에 유권자들이 몸살을 앓고 있다. 유권자 입장에선 공해 수준이지만 이를 막지 못하는 것은 제도적 사각지대가 있어서다. 현행 공직선거법상 문자 메시지는 동시에 20명 이상에게 직접 발송하거나 20명 이하라도 프로그램을 통해 보내는 건 유권자 한 명당 8회까지 가능하다. 하지만 20명 이하에게 직접 보내는 건 제한이 없다. 지지 요청을 제외하고, 새해나 명절 인사 목적의 ARS 전화는 사실상 무제한으로 가능한 것이다. 비용 부담이 크지만 출마 예정자들이 선택할 수밖에 없는 이유이기도 하다. 인지도가 낮은 정치 신인의 경우가 특히 그렇다. 대구 지역의 한 입지자는 “남들이 다 하는데 나만 안 할 수도 없는 노릇”이라며 “내 이름 석 자를 알리는 데 이만한 게 없다”고 말했다. 선거법에 전화번호 수집에 관한 규정이 없다는 점도 문제다. 입지자들은 주차 차량에 적힌 전화번호나 동창회, 종친회, 종교단체 주소록 등 다양한 방식으로 연락처를 수집한다. 유권자 동의를 얻지 않는 경우도 부지기수다. 대구시 선거관리위원회 관계자는 “현행법상 명절이나 특정 기념일에 하는 인사말 전송을 막을 수는 없다”면서 “법 개정 등 제도적 측면에서 정비가 필요하다”고 말했다.

회원 3370만명의 ‘공동현관 비밀번호’를 비롯한 개인정보가 유출된 쿠팡의 미국 본사를 상대로 한 집단소송이 추진된다. 한국 법무법인 대륜의 미국 현지 법인인 미국 로펌 SJKP는 8일(현지시간) 뉴욕 맨해튼에서 기자회견을 열고 쿠팡을 상대로 한 징벌적 손해배상 소송을 제기하는 계획을 밝힐 예정이다. 법무법인 대륜은 지난 5일 박대준 쿠팡 대표이사와 사내 개인정보 인증 업무 담당·관리자 등을 개인정보보호법 위반·업무상 배임 혐의로 고소했다. 미국은 한국과 달리 징벌적 손해배상 제도가 있어, 쿠팡에 대해 강력하게 책임을 묻고 피해자들에 대한 실질적인 보상을 끌어낼 수 있다는 복안이다. 대륜 측은 한국과 미국에서 동시에 소송을 진행한다는 계획이다. 대륜 관계자는 “미국에서 제기할 소송과 관련해 이미 원고를 일부 모집했고, 기자회견을 통해 원고를 더 모집할 것”이라고 설명했다. 이달 초 미국 뉴욕에 있는 DJS Law 그룹도 쿠팡의 ‘증권법 위반’ 가능성에 대해 소송을 준비하며 개인정보 유출 사태로 손실을 본 주주를 모집하고 나선 것으로 알려졌다. DJS Law 측은 이번 사태로 뉴욕증권거래소(NYSE)에 상장한 쿠팡 주가가 하락해 주주들이 손실을 보았다고 보고 있으며, 미국 증권거래위원회(SEC)에 관련 정보를 적절하게 공시했는지를 살피고 있는 것으로 전해졌다. SEC에 따르면 상장기업은 ‘중대한 사이버 보안 사고’를 겪었을 경우 이를 4영업일 내에 공시해야 한다. 2010년 설립된 쿠팡은 본사가 미국 캘리포니아주 마운틴뷰에 있으며, 미국 본사인 ‘쿠팡 아이엔씨’가 한국 법인의 지분 100%를 가지고 있다. 쿠팡은 2021년 3월 미 뉴욕증권거래소(NYSE)에 상장했으며, 국내에서는 한국경영자총협회(경총)에 가입돼 있다. 쿠팡 모회사 의결권의 70% 이상을 보유한 김범석 쿠팡 아이엔씨 이사회 의장은 서울에서 태어났으나 현재는 미국 시민권자다. 쿠팡을 상대로 한 소송은 줄을 이을 것으로 보인다. 법무법인 청을 시작으로 LKB평산, 지향 등 다수의 로펌이 소송 참가자를 모집 중이다. 이들 로펌이 개설한 쿠팡 상대 소송 관련 카페는 많게는 10만여명의 회원이 가입된 것으로 파악됐다. 한편 지난달 29일 개인정보 유출 사고가 발생한 쿠팡은 회원들에게 “이름과 주소, 주문 내역 등 개인정보가 노출됐다”는 안내문을 발송했으나 피해 규모를 축소했다는 지적을 받았다. 이에 쿠팡은 지난 7일 재차 안내문을 발송해 “고객님의 개인정보가 유출되는 사고가 발생한 바 있다”며 이름과 이메일 주소, 배송지 주소록 등과 함께 ‘공동현관 출입번호’까지 유출됐다고 명시했다. 쿠팡 측은 “카드 또는 계좌번호 등 결제정보, 비밀번호 등 로그인 관련 정보, 개인통관부호는 유출되지 않았으며 유출된 정보를 이용한 2차 피해 의심 사례는 발견되지 않았다”라고 전했다.

지난달 29일 대규모 고객 정보 유출 사고를 알리며 ‘노출’이란 표현을 썼던 쿠팡이 1주일 여 만에 이를 ‘유출’로 바로 잡고 다시 공지했다. 사태의 심각성을 축소했다는 질타가 이어지자 시정한 것이다. 이틀 만에 사과문이 내려갔던 쿠팡 홈페이지와 애플리케이션에도 다시 관련 공지문이 올라왔다. 7일 쿠팡은 공지문을 통해 “고객 개인정보가 유출되는 사고가 발생한 바 있다”며 주의사항을 안내했다. 개인정보보호위원회가 쿠팡에 “개인정보 ‘노출’ 통지를 ‘유출’로 수정해 다시 통지하고 홈페이지 화면 등을 통해 유출 내용을 공지하고 이용자의 추가적 피해 예방 요령을 적극적으로 안내하라”고 요구한 데 따른 것이다. 쿠팡은 유출된 정보에 이름, 이메일 주소, 배송지 주소록, 일부 주문정보뿐 아니라 지난번 공지에서 빠뜨렸던 공동현관 출입번호도 포함된다고 설명했다. 그러면서 “계좌번호 등 결제 정보, 비밀번호 등 로그인 정보, 개인통관부호는 유출이 없었음을 수차례 확인했다”고 했다. 이날 오전 공개한 공지문에는 “경찰청이 전수조사를 통해 유출 정보를 이용한 2차 피해 의심 사례가 발견되지 않았다고 발표했다”는 내용이 담겼지만 현재 경찰 수사가 진행 중인 점을 고려해 해당 문구는 삭제됐다. 쿠팡은 피해예방요령도 재공지에 담았다. 피해 예방 요령에는 ‘쿠팡은 전화나 문자로 앱 설치를 요구하지 않는다’, ‘공동현관 출입번호를 입력했다면 변경을 권장한다’는 내용이 있다. 하지만 사고의 구체적 경위는 내년에야 규명될 전망이다. 현재 민관 합동 조사가 진행 중이어서 정확한 피해 규모와 범위가 확정되지 않은 상태다. 정부가 면밀한 조사를 강조하고 있어 최종 결과 발표가 해를 넘길 것이라는 게 중론이다. 유심(USIM·가입자 식별 모듈) 정보가 유출된 SK텔레콤은 지난 4월부터 7월까지 3개월간 조사가 진행됐다. 박대준 쿠팡 대표가 지난 3일 피해자 보상을 직접 언급했지만 조사가 우선이라는 쿠팡의 입장을 고려하면 세부 보상안이 나오기까진 상당 시일이 걸릴 것으로 보인다. 이번 사태로 매년 연말 진행하던 쿠팡 배송 단가 협상도 전면 보류됐다. 사태 수습 과정에서 쿠팡의 비용 부담 가능성이 커지면서 배송 기사들이 받는 배송 단가가 더 낮아질 수 있다는 우려도 나온다. 쿠팡 탈퇴·해지 움직임이 잇따르고 있지만 국회 국민동의청원 게시판에 올라온 ‘새벽배송 금지 및 제안 반대’에 대한 청원에는 5만명이 넘게 동의해 소관 상임위원회에 자동 회부될 예정이다. 비판 여론에도 쿠팡의 편의성에 공감하는 소비자가 적지 않다는 방증이다.

주문·배송지정보까지…3370만 계정 털린 쿠팡2차피해 등 소비자 불안 고조…보상은 먼 얘기쿠팡에서 3370만개 계정의 고객 정보가 유출되는 초유의 보안 사고가 일어난 지 일주일이 지난 가운데, 정확한 피해 규모가 확인되지 않아 소비자 불안이 커지고 있다. 정부와 민간 전문가가 합동조사 중이지만, 유출 정보량이 방대해 최종 결과는 내년에나 나올 가능성이 크다는 전망이 우세하다. 이번 정보 유출은 중국 국적의 쿠팡 전 직원이 지난 6월 24일부터 11월 8일까지 약 5개월에 걸쳐 저지른 것으로 파악됐다. 아직 정확한 유출 규모와 범위는 확정되지 않았다. 국회 질의를 통해 지금까지 확인된 유출 정보는 고객명, 이메일, 전화번호, 배송지 주소, 공동현관 비밀번호 등이며, 3370만건에는 휴면·탈퇴 계정도 포함된 것으로 나타났다. 쿠팡은 결제정보와 개인통관부호는 유출되지 않았다는 입장이지만, 정부 조사 결과에 따라 달라질 여지는 남아 있다. 피해 규모가 명확하지 않아 보상 논의도 진전을 보지 못하는 상황이다. 이와 관련해 쿠팡은 사태가 불거진 지 일주일만인 7일 정부의 지시에 따라 ‘수정 공지’ 및 2차 피해 방지 안내를 내놨다. “정보노출”→“정보유출” 일주일만 수정공지“계좌번호, 비번, 개인통관부호는 유출 안 돼”쿠팡은 공지문에서 “새로운 유출 사고는 없었다”고 강조하며, “추가피해 예방을 위한 주의사항을 안내한다”고 밝혔다. 그러면서 “카드 또는 계좌번호 등 결제정보, 비밀번호 등 로그인 관련 정보, 개인통관부호는 유출이 없었음을 수차례 확인했다”고 설명했다. 앞서 개인정보보호위원회는 3일 쿠팡의 ‘노출’ 통지 표현을 ‘유출’로 바로잡고, 실제 유출 항목을 빠짐없이 재통지하라고 지시했다. 쿠팡이 유출 사실을 파악하고도 고객에게는 ‘노출’이라는 표현을 사용해 비판이 제기됐기 때문이다. 쿠팡은 스미싱·피싱 피해를 막기 위한 주의사항도 안내했다. “쿠팡은 전화나 문자로 앱 설치를 요구하지 않는다”며 “출처가 불분명한 링크는 절대 클릭하지 말고 삭제해야 한다”고 당부했다. 또한 의심스러운 전화·문자는 112 또는 금융감독원 신고, 금융거래 안심차단 서비스 이용, 쿠팡 공식 고객센터 발신 여부 확인 등을 권고했다. 배송 기사 관련해서는 “특수 상황을 제외하고는 고객에게 직접 전화·문자를 보내지 않는다”고 강조하며, 공동현관 비밀번호를 주소록에 저장한 고객에게는 변경을 권장했다. 대통령실, 강훈식·김현지·김남국 감찰“인사내용 전달 없어…공직기강 확립”대통령실은 7일 김남국 전 디지털소통비서관의 ‘인사 청탁’ 논란과 관련, 내부 감찰 결과 인사 청탁 내용이 대통령실 내부로 전달되지 않은 것으로 확인됐다고 밝혔다. 강훈식 대통령 비서실장은 이날 ‘이재명 정부 6개월 성과보고’ 기자간담회에서 공직기강비서관실이 본인과 김 전 비서관, 김현지 제1부속실장을 대상으로 감찰을 실시했다며 “김 전 비서관이 관련 내용을 (대통령실 내부로) 전달하지 않았다는 점을 확인했다”고 설명했다. 이어 “대통령실은 부적절한 청탁에 단호하게 대응하고 있다”며 “엄정한 공직기강 확립에 만전을 기하겠다”고 밝혔다. 앞서 김 전 비서관은 지난 2일 문진석 더불어민주당 원내수석부대표와 인사청탁 성격의 문자 메시지를 주고받은 사실이 드러나 이틀 만에 사직했다. 당시 문 수석부대표가 특정 인사를 한국자동차산업협회장에 추천해달라고 부탁하는 문자를 보내자, 김 전 비서관은 ‘훈식이 형(강 비서실장)이랑 현지 누나(김 제1부속실장)한테 추천할게요’라고 문자로 답해 논란을 일으켰다. 국힘, 김남국 사퇴에 “전형적 꼬리 자르기”문진석·김남국·강훈식·김현지 고발 예고국민의힘은 김 전 비서관 사퇴를 강도높게 비판했다. 최은석 원내수석대변인은 이날 논평에서 “대통령실이 내놓은 ‘김남국 사퇴’ 카드는 국민 분노를 무마하기 위한 전형적인 꼬리 자르기”라며 “국정 전횡과 인사농단의 실체는 여전히 대통령실 핵심부에 남아 있다”고 주장했다. 특히 “국정을 사유화한 몸통 김현지가 그냥 있는 한 이번 사태는 또 다른 국정 농단의 신호탄이 될 뿐”이라며 김 실장에게 즉각적인 사퇴를 요구했다. 최보윤 수석대변인도 논평에서 “국회 청문회·국정조사·특검 등 모든 권한을 총동원해 인사농단의 전모를 끝까지 규명하겠다”며 문 수석부대표, 김 전 비서관, 김 실장, 강 비서실장 등 4명을 직권남용·부정청탁금지법 위반 혐의로 고발하겠다는 방침을 밝혔다. 민주 일각 “사퇴 돋보여, 같이 돌 맞겠다”김남국 옹호…문진석 원내직 거취 신중반면 민주당 일각에서는 김 전 비서관을 두둔하는 의견이 나왔다. 박지원 의원은 5일 페이스북에 “내란을 하고 인정도, 반성도, 사과도 하지 않는 사람들, 그를 추종하는 장동혁 대표 일당보다 김 전 비서관 사과와 사퇴가 훨씬 돋보인다”고 적었다. 이어 “정치권에서 형, 형님, 누나, 누님이라고 부르는 것은 선배 동료들을 살갑게 부르는 민주당의 일종의 언어 풍토”라고 주장했다. 강득구 의원도 김 전 비서관을 감싸며 “세상이 그에게 돌을 던진다면 저도 함께 맞겠다”고 적었다. 민주당은 문 수석부대표의 거취 문제에 대해 신중한 태도를 보이고 있다. 박수현 수석대변인은 “여러 상황을 잘 이해하고 지켜보고 있다”며 “문 수석께서 진심으로 사과한 것으로 이해한다”고 말했다.

이용자 3370만여명의 개인정보 유출 사고가 발생한 쿠팡이 홈페이지와 애플리케이션에 올린 사과문을 이틀 만에 내리고 쿠팡이츠 등 자사의 서비스를 홍보해 빈축을 사고 있다. 당국은 애초 고객 안내문에 ‘개인정보 노출’이라는 문구를 사용한 쿠팡에 ‘유출’로 수정해 다시 통보하라고 요구했다. 3일 업계에 따르면 쿠팡 홈페이지와 앱에는 지난 30일 게시된 개인정보 유출 관련 사과문이 사라진 상태다. 기자가 쿠팡 앱에 접속해보니 사과문이 게시돼 있던 자리에는 쿠팡의 음식 배달 서비스 ‘쿠팡이츠’를 홍보하는 배너가 노출됐다. 사과문은 게시된 지 이틀 만인 전날 내려간 것으로 알려졌다. 쿠팡 앱에는 전날 같은 자리에 로켓배송을 홍보하는 배너를 내걸었다. 쿠팡의 이 같은 행태는 전날 국회에서 뭇매를 맞았다. 국회 과학기술정보방송통신위원회 긴급 현안질의에서 한준호 더불어민주당 의원은 박대준 쿠팡 대표에게 “하루 사이에 사과문을 없애버렸다”면서 “수천만 명이 불안에 떨고 있는데 장사 좀 더 하겠다고 이렇게 하고 있다”라고 질타했다. 황정아 민주당 의원도 “사과문이 잠깐 있다 사라진 것인가?”라며 “잘 보이는 데 있어야 하는 것 아니냐”라고 추궁했다. 질타가 쏟아지자 박 대표는 “저 사과문 내용만으로는 부족하고 2차 피해를 우려하시는 분들이 있어 별도 이메일 공지로 상세한 내용을 전달하기 위해 준비 중”이라고 답했다. 한편 개인정보보호위원회는 쿠팡에 유출 항목을 빠짐없이 반영하고 개인정보 ‘노출’을 ‘유출’로 수정해 안내문을 다시 통지하라고 이날 요구했다. 개인정보위는 이날 긴급 전체회의를 열고 쿠팡이 이 같은 내용을 포함한 조치를 즉각 실시할 것을 심의·의결했다고 밝혔다. 앞서 쿠팡은 이용자들에게 개인정보 유출 사실을 안내하면서도 안내문에 ‘유출’이 아닌 ‘노출’이라는 표현을 썼다. 또한 안내문에는 이용자의 이름과 주소, 전화번호, 주문 내역이 유출됐다고 밝혔지만 이후 배송 주소록에 입력한 공동현관 비밀번호도 일부 유출된 사실을 뒤늦게 밝혔다. 개인정보위는 “국민 대다수가 이용하는 이커머스 서비스에서 발생한 유출 사고임에도, 정보주체가 취할 수 있는 피해 예방 조치 안내가 충분하지 않았다”라면서 “쿠팡의 자체 대응과 피해 구제 절차도 미흡해 국민 우려가 커졌다”라고 지적했다. 또한 이용자 한 명이 따로 사는 가족이나 선물할 지인들의 주소를 등록해놓은 경우 이들의 정보가 통째로 유출될 수 있다는 점을 고려해 쿠팡 측에 배송지 명단에 포함돼 정보 유출 피해를 본 사람들에게도 유출 사실을 통보하라고 요구했다. 개인정보위는 홈페이지 초기 화면이나 팝업창을 통해 일정 기간 이상 유출 내용을 공지하고, 공동현관 비밀번호 변경이나 쿠팡 계정 비밀번호 변경 등 피해를 예방하기 위한 요령을 적극 안내하라고 주문했다.

쿠팡의 퇴사한 중국인 직원이 회원 3370만명의 개인정보를 유출한 사고와 관련, 박대준 쿠팡 대표가 유출된 정보 중에 휴면 상태이거나 탈퇴한 회원의 정보도 포함됐을 수 있다고 2일 밝혔다. 박 대표는 이날 국회 과학기술정보방송통신위원회의 현안질의에서 휴면 및 탈퇴 회원의 정보가 유출됐을 가능성을 묻는 질문에 “일부 포함됐을 것이라고 생각한다”면서 이같이 말했다. 박 대표는 휴면 및 탈퇴 여부와 관련 없이 피해를 본 모든 회원들에게 개인정보 유출 사실을 안내했다고 설명했다. 다만 정보가 유출된 휴면 또는 탈퇴 회원이 몇 명인지를 묻는 질문에는 “정확히 세는 건 어렵다”고 답했다. 쿠팡에 따르면 이번 사고로 유출된 개인정보는 이용자들의 이름과 전화번호, 주소록에 입력한 배송지 주소, 주문 정보다. 비밀번호와 결제 카드 등 결제에 필요한 정보는 유출되지 않았다고 쿠팡은 설명했지만, 박 대표는 이용자들이 배송 주소록에 입력하는 공동현관 비밀번호도 일부 유출됐을 가능성이 있다고 시인했다. 이번 사태의 피해 규모는 지난해 SK텔레콤에서 발생한 해킹 사태(2300만명 피해)를 뛰어넘는다. SK텔레콤은 당시로는 역대 최대 규모인 1347억 9000만원의 과징금을 부과받았는데, 정치권에서는 쿠팡에 대해 1조원대의 과징금을 부과해야 한다는 주장이 나오고 있다. 황정아 더불어민주당 의원은 “(개인정보보호법에 따르면) 매출액의 3%, 1조 3000억원의 과징금을 물 수 있다고 한다”며 “개인정보보호위원회에서 과징금을 부과하면 소송전 없이 수용할 생각인가?”라고 물었다. 이에 박 대표는 “책임을 회피하고 싶은 생각이 없다”며 “책임이 있는 부분이 있다면 당연히 책임져야 된다고 생각한다”고 답했다.

쿠팡의 퇴사한 직원이 이용자 3370만명의 개인정보를 유출한 사태와 관련, 유출된 개인정보에 이용자들의 공동현관 비밀번호도 일부 포함된 것으로 확인됐다. 2일 국회 과학기술정보방송통신위원회의 쿠팡 개인정보 유출사고 관련 긴급 현안질의에서 박대준 쿠팡 대표는 “공동현관 비밀번호도 유출됐느냐”는 질의에 “일부 포함된 것으로 알고 있다”고 답했다. 노종면 더불어민주당 의원이 “그런데 왜 통지문(안내 문자)에 그 내용이 없느냐”고 물었고, 박 대표는 “(개별 이용자들의 정보에) 모두 항상 들어있는 것은 아니다”라고 답했다. 이에 노 의원은 “공동현관 비밀번호가 (유출 범위에) 포함된 경우 그 내용이 안내 문자에 들어가야 이용자들이 대응을 할 수 있지 않느냐”고 따졌고, 박 대표는 “세심하게 신경쓰겠다”라며 고개를 숙였다. 앞서 쿠팡은 지난달 30일부터 개인정보 유출 피해를 본 이용자들에게 안내 문자를 보내 “노출된 정보는 고객님 이름, 이메일 주소, 배송지 주소록, 주문정보 일부”라고 설명했다. 그러나 아파트 등 공동주택에 거주하는 이용자들은 공동현관 비밀번호를 주소록에 입력해놓고 있어 ‘현관 앞’에 도달하는 정보까지 유출됐을 가능성이 제기돼왔다. 공동현관 비밀번호와 세대 현관 비밀번호를 동일하게 설정하는 경우도 적지 않아 이용자들은 불안에 떨고 있다. 박 대표는 개인정보 유출 용의자로 지목된 전직 중국 직원과 관련해 “인증 시스템을 개발하는 개발자였다”라고 밝혔다. 박 대표는 “여러 인원으로 구성된 개발팀이 여러 역할을 갖고 팀을 구성한다”면서 피의자의 규모에 대해 “단수나 복수라 단정할 수 없다”고 덧붙였다. 또 피의자는 훔친 서명키를 이용해 인증 토큰을 생성해 개인정보를 빼낸 것으로 드러났다. 브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 “피의자는 훔친 서명키를 사용해 실제로 키에 서명을 해 다른 사용자인 것처럼 가장했다”라고 설명했다.

쿠팡에서 3000만명이 넘는 고객의 정보가 유출된 사실이 드러난 가운데, 식별된 공격 기간은 올해 6월 24일부터 11월 8일까지인 것으로 나타났다. 2일 국회 과학기술정보방송통신위원회(과방위) 쿠팡 개인정보 유출 사고 관련 긴급 현안 질의에서 류제명 과학기술정보통신부 2차관은 대응 경과보고를 통해 “지난해 7월부터 올해 11월까지 전수 로그 분석을 한 결과 3000만개 이상 계정에서 개인정보가 유출됐다”며 이같이 밝혔다. 류 차관은 “공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했다”며 “이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 사용됐다”고 설명했다. 개인정보 유출 규모는 약 3370만건이다. 정보에는 고객 이름, 이메일 주소, 배송지 주소록(이름·전화번호·주소) 등이 포함됐다. 류 차관은 조사 과정에서 실제 피해 계정 수는 달라질 수 있다고 전했다. 현재는 퇴사한 중국인 인증 담당자가 개인정보를 유출했다는 의혹에 대해 류 차관은 “현재 언급되는 공격자의 신상에 대한 정보는 경찰 수사로 확인이 필요하다”며 “확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3000만건의 개인정보 유출을 주장했다”고 했다. 정부는 앞으로 민관 합동조사단을 통해 사고 경위와 쿠팡의 보안 문제점을 면밀히 규명하고 결과를 투명하게 공개하겠다는 방침이다. 류 차관은 스미싱 등 2차 피해 우려가 커진 만큼 “2차 피해 발생 여부를 지속 모니터링하고, 개인정보위·경찰청 등 관계기관과 공조해 추가 피해를 방지하겠다”고 밝혔다.

쿠팡에서 3370만건의 개인정보가 한꺼번에 빠져나간 데 이어 유출 정보를 ‘언론에 공개하겠다’는 협박 이메일까지 등장했다. 단순한 사고를 넘어 국가적 사이버 보안 사태가 이미 2차 범죄 단계에 진입했다는 의미다. 어제 금융당국이 보이스피싱·스미싱 등 각종 금융사기에 악용될 우려가 높다는 이유로 소비자경보 ‘주의’를 발령했다. 가입자 규모에 비춰 상당수 국민들이 잠재적 피해자가 될 수 있다는 우려도 높아지는 상황이다. 불안에 떨고 있는 국민에게 당장 필요한 것은 2차 피해 차단을 위한 실행 계획이다. 정부는 유출 정보가 암거래 게시판이나 해킹 커뮤니티 등으로 흘러가는지 24시간 추적하고, 거래나 공유 시도가 포착되는 즉시 삭제 요청과 차단 조치를 해야 한다. 금융기관·포털·통신·택배사와 연동한 피싱 자동 감지 체계도 적극 검토해야 한다. 쿠팡 역시 이용자의 불안을 낮추는 실질적 조치에 나서야 한다. 피해 계정 비밀번호·OTP(일회용 인증 비밀번호) 일괄 초기화, 배송지 주소록 암호화 및 재동의 절차, 로그인 위치·기기 이상 탐지 시스템 구축은 지금도 실행할 수 있다. 안내 문자 발송만으로는 책임을 면할 수 없다. 개인정보 자산을 잠재적 범죄 도구로 전락시킨 책임은 전적으로 기업이 감당해야 한다. 우리는 이미 생활·결제·택배·병원·쇼핑의 70% 이상을 플랫폼을 통해 처리한다. 내부 직원 단 한 명이 두 차례 보안 절차를 우회해 정보를 반출할 수 있었으니 우리 데이터가 얼마나 쉽게 위험에 노출되는지 적나라하게 확인한 셈이다. 이번 사태는 쿠팡뿐만이 아니라 한국 디지털 경제 전체에 울린 경고음이다. 정부는 개인정보를 다루는 기업의 내부 반출 차단 시스템(DLP) 도입 의무화 등 제도적 개선에 나서야 한다. 이번 사태를 전환점으로 디지털 보안 체계를 한 단계 끌어올리지 못한다면 제2·제3의 쿠팡 사태는 언제든 반복될 수 있다.

쿠팡의 퇴사한 직원에 의해 가입자 3370만명의 개인정보가 유출돼 파장이 일고 있는 가운데, 쿠팡 측이 설정한 복잡한 탈퇴 경로도 비판의 도마 위에 올랐다. 이용자들의 탈퇴를 어렵게 해 회원 수를 유지하려는 전형적인 ‘다크 패턴(눈속임 상술)’이라는 지적이다. 1일 업계에 따르면 쿠팡의 개인정보 유출 사태로 온라인 커뮤니티 등에서는 ‘쿠팡 탈퇴’ 움직임이 일고 있다. 개인정보 유출 피해를 입은 이용자들은 쿠팡 계정 자체를 해지하거나 ‘와우 멤버십’ 해지, 결제 카드 정보 변경, 간편결제 비밀번호 변경 등으로 대응하고 있다. 그러나 이용자들은 “쿠팡 앱에서 탈퇴하는 과정이 복잡하다”고 호소한다. 실제 기자가 쿠팡 앱에서 ‘회원 탈퇴’ 메뉴를 찾아봤으나, 앱 메인 화면은 물론 주문 내역 등을 확인할 수 있는 개인 페이지, ‘설정’ 페이지 등 어디에서도 탈퇴 메뉴를 찾을 수 없었다. 이에 ‘전체메뉴’를 통해 가장 아래에 있는 ‘고객센터’를 찾아 ‘탈퇴’ 키워드를 검색하자 질의응답(FAQ) 리스트 중에서 “회원 탈퇴는 어떻게 하나”라는 질문을 찾았고, 비로소 ‘회원 탈퇴하기’ 메뉴를 찾을 수 있었다. 그러나 정작 메뉴로 들어가 비밀번호를 입력하고 나자 “회원 탈퇴는 PC 버전으로 이동해 진행할 수 있다”는 하단의 안내 문구와 함께 ‘PC버전으로 이동’ 메뉴로 연결됐다. 이후에도 본인 확인과 이용내역 확인, 설문조사 등을 거쳐야 한다. ‘쿠팡에 바라는 점’ 등 설문조사까지 마쳐야 탈퇴가 가능하다. PC 버전으로 이동해야 탈퇴…“귀찮아서 포기”이 같은 과정을 거쳤더라도 쿠팡의 유료 멤버십인 ‘와우 멤버십’에 가입돼 있는 이용자는 먼저 와우 멤버십을 해지해야 한다. 그런데 와우 멤버십 해지 역시 복잡하다. 앱 내 ‘와우 멤버십’ 해지 메뉴로 들어가면 “지금 해지하면 쿠팡플레이 혜택을 즐길 수 없다”, “와우할인가로 구매할 수 없다”, “새벽배송, 당일배송 혜택이 사라진다”, “무료 이용권을 더 써보고 결정해라” 등의 안내문이 줄줄이 뜬다. 스크롤을 한참 내려야 ‘와우 전용 혜택 그만 받기’ 버튼이 나타나는데, 버튼을 눌러도 “혜택을 포기하면 와우 전용 쿠폰이 사라진다” 등 이중삼중의 질문을 해 답변을 유도한다. 이 같은 앱의 이용자 환경(UI)은 ‘다크 패턴’이라고 비판받는다. 다크 패턴은 스마트폰 애플리케이션 등의 UI을 교묘하게 설정해 이용자들에게 의도하지 않은 소비를 유도하거나 회원 탈퇴를 어렵게 하는 등의 눈속임을 뜻한다. 쿠팡의 탈퇴 절차가 지나치게 복잡한 탓에 네이버 카페 등 온라인 커뮤니티에서는 “쿠팡 탈퇴 방법”이 공유되고 있다. 쿠팡을 7년간 이용해왔다는 회사원 김모(39)씨는 “쿠팡 탈퇴 메뉴에 들어갔다 ‘PC 버전으로 이동’ 안내를 보고 바쁘고 짜증나서 포기했다”면서 “어차피 내 개인정보는 이미 공공재가 된 것 아니냐”라고 한탄했다. 쿠팡 측은 이용자들에게 보낸 문자메시지를 통해 “노출된 정보는 이름과 이메일 주소, 배송지 주소록, 주문정보”라며 결제 카드와 비밀번호 등은 노출되지 않았다고 설명했다. 다만 쿠팡의 이 같은 해명에도 이용자들의 불안은 가시지 않고 있다. 아파트 등 공동주택에 거주하는 이용자들은 자신의 주소록에 집 주소뿐 아니라 세대로 진입할 수 있는 공동현관 비밀번호도 입력하는 탓이다. 부모가 타지에서 사는 자녀들의 이름과 주소, 전화번호를 등록해 자녀에게 필요한 물건을 대신 배송해주는 사례도 적잖다. 사실상 온 가족의 ‘현관 앞’으로 도달할 수 있는 민감한 개인정보가 유출됐을 가능성에 이용자들은 불안을 호소한다. 쿠팡 측은 “쿠팡을 사칭하는 전화, 문자 등에 주의해달라”는 안내 외에는 이용자들이 취해야 할 조치를 안내하지 않았다. 그런데도 이용자들 사이에서는 자신이 아닌 누군가가 자신의 계정으로 로그인한 기록을 찾아 로그아웃하는 방법이 공유되는가 하면, 쿠팡 앱으로 해외 직구를 이용한 경우 ‘개인통관고유부호’도 유출됐을 수 있으니 바꿔야 한다는 주장까지 나오고 있다.

국내 전자상거래 1위 업체인 쿠팡에서 3000만건이 넘는 대규모 개인정보 유출 사고가 발생한 가운데 쿠팡이 ‘유출 정보를 공개하겠다’는 협박을 받은 것으로 드러났다. 1일 연합뉴스에 따르면 사건을 수사 중인 서울경찰청 사이버수사2대는 쿠팡이 “회원들의 개인정보를 보유하고 있다”며 “보안을 강화하지 않으면 유출 사실을 언론에 알리겠다”는 협박성 이메일을 받은 사실을 확인한 것으로 전해졌다. 다만 금전 요구는 없었다고 한다. 경찰은 이 이메일이 쿠팡 이용자들의 개인정보를 빼돌린 인물과 동일인이 보낸 것인지 추적 중이다. 현재 쿠팡 고객 정보는 쿠팡에 근무했던 중국 국적자가 유출한 것으로 알려졌다. 경찰은 지난달 21일 해당 사건에 대해 입건 전 조사(내사)에 착수했으며, 같은 달 25일 정보통신망법상 정보통신망 침입 혐의로 ‘성명불상자’를 수사해달라는 쿠팡의 고소장을 접수해 수사로 전환했다. 경찰은 이후 쿠팡으로부터 서버 기록 등 이번 사건과 관련한 자료를 임의제출 받아 분석에 들어갔다. 쿠팡은 지난달 18일 4500여개 계정의 개인정보가 무단으로 노출된 사실을 인지했다고 밝혔으나 이후 조사 과정에서 노출된 계정 수가 3370만개에 이르는 것으로 확인됐다. 쿠팡 측은 고객 이름과 이메일 주소, 배송지 주소록에 입력된 정보 등이 유출됐으나 결제 정보와 로그인 정보 등은 유출 대상에 포함되지 않았다고 밝혔다.

3370만명 고객정보 무단 노출 확인중국 국적 전 직원이 정보 빼돌린 듯카드·통신 사고 이어 불안감 확산 국내 1위 온라인 유통 기업인 쿠팡에서 우리나라 국민의 절반이 넘는 약 3370만명의 고객 계정 정보가 무단으로 노출되는 초유의 사고가 벌어지면서 국민 불안이 소위 포비아(공포증) 수준으로 치닫고 있다. 역대 최대 규모의 고객 정보 유출인 데다 쿠팡이 5개월간 지속된 개인정보 탈취 시도조차 인지하지 못했기 때문이다. 이번 사고가 중국 국적의 내부자 소행이라는 언급도 나온다. 전문가들은 이 사태가 스미싱(문자로 악성 링크 클릭을 유도하는 피싱 공격)이나 보이스피싱 등 추가 피해로 연결될 가능성을 경고했다. 쿠팡이 고객 계정의 이름, 이메일, 배송지 주소록(입력한 이름·전화번호·주소), 일부 주문 정보가 노출된 사실을 지난 29일 확인한 가운데 박대준 쿠팡 대표는 30일 정부서울청사에서 “국민 여러분께 불편을 끼쳐 드려 진심으로 사과드린다”며 첫 사과에 나섰다. 쿠팡은 지난 18일 약 4500개 계정의 개인정보가 노출된 사실을 인지했다고 밝혔지만 후속 조사에서 7500배나 많은 3370만개가 유출된 것으로 확인됐다. 쿠팡 구매 이력이 있는 고객 수(2470만명)보다 900만명이나 많고, 역대 최대 과징금인 1348억원 처분을 받은 SK텔레콤의 개인정보 유출 규모(2324만명)도 크게 웃돈다. 쿠팡은 지난 6월 24일부터 5개월 동안 지속된 개인정보 탈취 시도를 전혀 파악하지 못했다는 점에서도 책임을 피하기 어려워 보인다. 여기에 중국 국적의 전 쿠팡 직원이 고객 정보를 유출했다는 의혹도 제기됐다.  경찰은 쿠팡으로부터 서버 기록 등 이번 사건과 관련한 자료를 임의 제출받아 분석 중이다. 경찰은 “모든 가능성을 열어 두고 절차에 따라 수사하고 있다”고 전했다. 다만 쿠팡 측은 내부 직원 소행 가능성에 대해선 확인이 어렵다는 입장이다. 쿠팡은 이날 오후 웹사이트와 애플리케이션에 게재한 사과문에서 “결제 정보, 신용카드 번호, 로그인 정보는 노출되지 않아 고객이 계정 관련해 조치를 취할 필요는 없다”고 밝혔다. 하지만 전문가들은 이번 사고가 스미싱이나 보이스피싱 등 추가 피해로 연결될 가능성을 경고한다. 한국인터넷진흥원(KISA)은 ‘피해 보상’이나 ‘피해 사실 조회’, ‘환불’ 등의 키워드로 피해 기업(쿠팡)을 사칭하는 스미싱이나 보이스피싱 등에 주의할 것을 권고했다. 김기형 아주대 사이버보안학과 교수는 “최근 주문 건에 문제가 있다며 주소나 연락처를 다시 확인하라는 식의 피싱이 대표적”이라면서 “문자, 전화, 카카오톡 등 어떤 채널에서도 모르는 링크는 클릭하지 않는 것이 중요하다”고 말했다. 정보 유출 경로가 오리무중인 상황에서 피해를 본 소비자들은 분통을 터뜨리고 있다. 빠른 배송 때문에 쿠팡을 애용했다는 구정순(62)씨는 이번 사태가 터지자마자 쿠팡을 탈퇴했다. 구씨는 “회사가 정확한 진단이나 대책을 내놓지 못해 정보가 유출된 피해자만 발을 동동 구르고 있다”며 “‘전화번호는 노출됐는데 카드 정보와 비밀번호는 노출되지 않았다’는 회사의 설명을 어떻게 믿겠느냐”고 말했다. 일부 고객 사이에서는 공동 현관 비밀번호도 털렸을 수 있다는 불안감이 높은 상황이다. 쿠팡의 경우 음식이나 택배 배송 요청란에 아파트 공동 현관 비밀번호를 쓰는 경우가 많고 이를 배송 정보로 관리하기 때문이다.

국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡이 대규모 개인정보 유출 사고에 대해 공개 사과했다. 박대준 쿠팡 대표는 30일 오후 정부서울청사에서 기자들과 만나 이같은 뜻을 밝혔다. 박 대표는 “이번 사태로 인해 피해를 보신 쿠팡 고객들과 국민들에게 심려를 끼쳐드려 너무 죄송한 말씀과 사과의 말씀을 드린다”고 고개를 숙였다. 그러면서 이번 사태의 원인이 빠르게 규명될 수 있도록 노력하겠다는 뜻도 전달했다. 쿠팡은 지난 18일 약 4500개 계정의 개인정보가 무단으로 노출된 사실을 인지했다고 밝혔으나 후속 조사 과정에서 노출된 계정 수가 3370만개로 확인됐다. 고객 이름, 이메일 주소, 배송지 주소록에 입력된 정보 등이 유출됐지만 결제 정보와 로그인 정보 등은 유출 대상에 포함되지 않았다는 게 쿠팡 측 설명이다. 쿠팡은 지난 25일 정보통신망법상 정보통신망 침입 혐의로 ‘성명불상자’를 수사해달라고 경찰에 고소장을 제출한 바 있다. 회사도 이날 박 대표 명의의 사과문을 내고 “올해 6월 24일 시작된 쿠팡의 최근 사고에 유감을 표명한다”며 “국민 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과드린다”고 밝혔다. 이어 “올해 6월부터 최근까지 고객 정보에 대한 무단 접근이 발생했다”며 “무단 접근된 고객 정보는 이름과 이메일, 전화번호, 배송지 주소, 특정 주문 정보로 제한됐다”고 밝혔다. 쿠팡은 “모든 고객 정보를 보호하는 것이 가장 중요한 우선순위”라며 “종합적인 데이터 보호 및 보안 조치와 프로세스를 유지하고 있다”고 덧붙였다. 이어 “과학기술정보통신부와 개인정보보호위원회, 한국인터넷진흥원, 경찰청 등 민관합동조사단과 긴밀히 협력해 추가적인 피해 예방을 위해 최선을 다하겠다”고 밝혔다. 쿠팡은 “앞으로 이러한 사건으로부터 고객 데이터를 더 안전하게 보호할 수 있도록, 현재 기존 데이터 보안 장치와 시스템에 어떤 변화를 줄 수 있는지 검토하고 있다”고 부연했다.

직원에게 닭을 향해 석궁을 쏘라고 지시하고 무차별적으로 뺨을 때리는 영상이 공개돼 2018년 이른바 ‘양진호법’으로 불리는 직장 내 괴롭힘 금지법의 도화선이 됐던 양진호 전 한국미래기술 회장이 징역 1년 형을 추가로 선고받았다. 회사 내부 비리를 폭로해 공익신고자가 된 직원들을 조직적으로 응징하라고 지시한 혐의다. 양 전 회장 측의 ‘먼지떨이식 고발’을 호소하며 법정 공세에 맞서온 직원들은 이번 1심 판결로 반격의 발판을 마련했다. 재판부는 국민권익위원회의 보호 결정을 무시한 채 공익신고자들을 괴롭힌 점을 무겁게 봤다. 양 전 회장에 징역 1년, 회사 500만원 벌금17일 법조계에 따르면 수원지법 안양지원 형사1단독 장윤미 판사는 공익신고자 보호법 위반 혐의로 재판에 넘겨진 양 전 회장에게 징역 1년을 선고했다. 보복 지시를 직접 실행에 옮긴 한국인터넷기술원의 전 대표이사에게는 벌금 300만원을, 한국인터넷기술원에는 500만원의 벌금을 각각 부과했다. 이들은 회사 내부 비리를 신고한 A씨를 포함해 공익 신고를 한 직원들에게 조직적으로 보복한 혐의를 받는다. 공익신고자 보호법은 내부 비리를 신고한 사람이 불이익 조치나 차별과 같은 보복을 당하지 않도록 보호하며, 이를 어길 경우 형사 처벌하도록 규정하고 있다. 불이익 조치에는 해고, 징계 등 업무상의 불이익뿐만 아니라 직장 내 괴롭힘도 포함된다. 구치소에서도 “해고하고 다 빼앗아 와”사건의 발단은 2018년으로 거슬러 올라간다. ‘양진호 사건’을 세상에 알린 공익신고자 A씨는 양 전 회장이 설치를 지시한 사내 업무 연락 프로그램이 직원들의 위치 정보, 주소록, 통화녹음 등을 무단으로 수집한다며 2018년 11월 국민권익위원회에 신고했다. 이로써 A씨는 공익신고자로서 법적 보호를 받을 수 있는 지위를 얻었다. 그러나 A씨는 신고 직후 회사로부터 직위해제와 대기발령 조치를 받았다. 권익위가 이 조치를 부당하다고 결정함에 따라 A씨는 2019년 2월 복직했지만, 그 이후에도 회사 측의 끊임없는 보복에 시달려야 했다. 판결문에 따르면 당시 서울동부구치소에 수감 중이던 양 전 회장은 한국인터넷기술원 주식 99% 이상을 보유하며 회사를 실질적으로 운영하고 있었다. 양 전 회장의 지시에 따라 회사는 복직한 A씨에게 회사 차량과 사택 반납을 요구하고 근태 문제를 제기하는 등 불이익 조치를 지속했다. 양 전 회장의 보복은 여기서 그치지 않았다. 2019년 5월 구치소 면회실에서 측근에게 “A씨를 해고하고 다 빼앗아 오라”고 지시했다. 심지어 권익위가 보호조치 결정을 이행하지 않은 회사에 이행강제금 2000만원을 부과했으나 소용없었다. 회사는 2020년 1월 결국 A씨를 해고했다. 양 전 회장 측 “정당한 징계” 주장 모두 배척양 전 회장 측은 A씨 해고가 근무 태만 때문이라며 정당한 징계라고 항변했다. 또한 사내 업무 연락 프로그램은 어린이 보호용으로 개발 중이던 것을 테스트한 것에 불과하며, 신고 내용이 사실이 아니므로 공익 신고에 해당하지 않는다고 주장했다. 그러나 법원은 이러한 주장을 모두 받아들이지 않았다. 양 전 회장은 이미 해당 프로그램을 통한 불법 감시 혐의로 유죄 판결을 받아 형이 확정된 상태였다. 따라서 A씨의 신고는 적법한 공익 신고라는 것이 법원의 판단이다. 해고 사유가 근무 태만 때문이라는 주장에 대해서도 법원은 받아들이지 않았다. 오랜 기간 문제 삼지 않던 사안에 대해 갑자기 자료 제출을 요구하며 문제 삼은 점, 공익신고자 두 명을 같은 날 동일한 방식으로 해고한 점 등이 보복 의도를 명백히 드러낸다고 재판부는 판단했다. 당시 양 전 회장이 구금 중이라 공모할 수 없었다는 반박 역시 받아들여지지 않았다. “죄질 매우 불량”…확정된 형량만 12년 6개월재판부는 양형 이유를 설명하면서 범행의 심각성을 강조했다. 첫 번째 보복 조치 후 권익위의 보호 결정이 나왔는데도 이를 무시하고 결국 해고까지 강행한 점을 들어 죄질이 매우 나쁘다고 판단했다. 또한 재판부는 관련 형사재판에서 유죄가 확정됐는데도 양 전 회장이 여전히 잘못을 회피하는 태도로 일관하면서 A씨에 대해 인신공격을 반복하고 있다고 지적했다. 공익신고자가 회사의 보복으로 오히려 피해를 입는 현실이 이번 판결에 반영된 셈이다. 법원은 피해자들이 신고 후 수년간 금전적·정신적 고통을 겪었다는 점을 인정하며 양 전 회장의 책임을 무겁게 물었다. 다만 이번 판결은 1심이며 아직 확정되지 않은 상태다. 양 전 회장 측이나 검찰이 항소하면 2심으로 넘어가게 된다. 한편 양 전 회장은 이번 판결 외에도 여러 형사 판결이 확정된 상태다. 정보통신망법 위반으로 징역 2년 및 3년, 배임으로 징역 2년, 근로기준법 위반으로 징역 6개월, 업무상횡령으로 징역 5년이 각각 확정됐다.

“2022년 황해남도의 한 광산에서 공개처형을 봤습니다. 처형장에서 ‘괴뢰(남한) 놈들의 노래 70곡과 영화 3편을 보다가 체포됐다’고 읊었습니다.” 북한이 ‘반동사상문화배격법’(이하 ‘반동법’) 등을 근거로 남한 노래·영화 유포자를 공개처형하고, 신부가 흰색 드레스를 입으면 반동으로 처벌하며 적극적으로 주민 통제에 나서고 있다는 북한이탈주민(탈북민) 증언이 나왔다. 통일부가 공개한 ‘2024 북한인권보고서’에는 북한이 이른바 ‘3대 악법’(반동사상문화배격법, 청년교양보장법, 평양문화어보호법)을 근거로 청년층에 대한 교양과 처벌을 강화하고 있다며 관련 사례를 전했다. 이번 보고서에는 반동법을 근거를 적용한 공개처형 사례가 처음으로 공개됐다. 황해남도에 거주하는 22세 청년은 남한의 노래 70곡과 영화 3편을 보다가 체포됐으며, 이를 7명에게 유포해 공개처형 당했다고 지난해 탈북한 남성이 전했다. 또한 2018년 탈북한 여성은 “손전화기(휴대폰)를 들고 걸어가면 단속원들이 와서 손전화기를 다 뒤져본다. 주소록도 단속을 하는데, 예를 들어 주소록에 ‘아빠’라고 쓰면 우리식이 아니라고 단속 대상이다. 주소록에는 이름만 있어야지 그 앞에 ‘예명’(별명)을 붙여서도 안 된다. 선생님도 ‘쌤이라고 쓰면 단속한다”고 말했다.심지어는 결혼식에서 신랑이 신부를 업는 행위, 신부가 흰색 드레스를 입는 행위, 선글라스를 착용하는 행위 등도 처벌 대상인 것으로 나타났다. 북한에서는 이 같은 행동을 모두 ‘괴뢰(남한)식’이라며 ‘반동사상문화’로 규정했다. 북한 결혼식에서는 보통 신부가 조선치마저고리(한복)를 입지만 당국의 감시를 피해 웨딩드레스를 입은 경우 ‘자본주의 결혼식’이라며 처벌을 받는다. 신부의 웨딩드레스 때문에 탄광으로 보내진 신랑도 있었다. 해외파견 노동자도 예외없이 감시 대상이었다고 탈북민은 전했다. 한 탈북민은 “(해외에서) 함께 일하던 동료가 손전화기로 남한 드라마를 시청하다가 보위부에 적발돼 강제 송환됐다. 나중에 그 동료가 처형됐다는 이야기를 들었다”고 말했다. 이들은 살아있는 기계처럼 부려졌다고 말했다. 강제 북송 과정에서 성폭행 피해를 입었다는 증언도 나왔다. 한 탈북민은 “2016년 북송 당시 여동생의 나이는 15세였다. 교화소에서 나온 여동생이 당시 성인과 같은 감방에서 고정자세를 강요받았고, 대소변도 허락을 받고 움직일 수 있었다”고 말했으며, 또 다른 탈북민은 “북송되어 구금 중에 탈의실로 불려가 강간당했다”고 증언했다. 코로나19가 한창이던 지난 2021년에는 격리시설에 있던 주민들에게 목욕탕 이용을 허락했던 당 간부들이 공개 총살됐다는 증언도 나왔다. 이 외에도 종교와 사상의 자유가 없으며, 신분이 고정되고, 주민간의 감시가 심화되는 등 여러 인권침해 사례가 보고서에 담겼다.

탈북 남성 A씨는 2022년 황해남도 ○○군의 광산에서 공개처형을 목격했다. 처형을 당한 이는 22살의 농장원이었다. A씨는 “재판관으로 추측되는 사람이 ‘괴뢰(남한)놈들의 노래 70곡과 영화 3편을 보다가 체포됐는데 심문과정에서 7명에게 유포했다는 사실이 드러났다’고 했다”고 밝혔다. 북한이 외부정보 유입을 통제하기 위해 도입한 ‘반동사상문화배격법’(반동법)을 근거로 남한 영화 유포자를 공개처형 했다는 북한이탈주민(탈북민) 증언이 나왔다. 27일 통일부가 공개한 ‘2024 북한인권보고서’에 따르면 북한에서 2020년 반동법, 2021년 청년교양보장법(청년법), 지난해 평양문화어보호법(평양법)이 제정된 이후 남한 문화 확산에 대한 단속·통제가 극심해졌다. 통일부에 따르면 반동사상문화배격법에 반동사상문화 유포 행위에 대해 최고 사형에 처하는 근거가 포함된 것은 알려져 있었지만, 실제로 사형이 집행됐다는 증언은 이번 보고서에 처음 수록됐다. 북한당국은 특히 청년층을 외부 정보·문화로부터 차단하려고 감시와 처벌을 강화하는 동향도 뚜렷하다고 통일부는 평가했다. 또다른 탈북자 B씨는 “(이전에는) 1년에 2~3번 정도 방안에서 텔레비전을 검사하는 정도였다면, (반동법 시행 이후) 두 달에 3번꼴로 가택수색을 들어와서는 구석구석 이동식저장장치(USB)를 찾아낼 수 있을 정도로 방안을 싹 뒤졌다”고 말했다. 증언에 따르면 주민들에게 반동법을 교육하기 위한 영상자료에선 결혼식에서 신랑이 신부를 업는 것, 신부가 한복 대신 흰색 드레스를 입는 것도 모두 ‘반동’이라고 규정했다. 해당 영상은 결혼식에 등장했던 사람들이 머리를 삭발하고 죄인처럼 서 있는 것으로 끝난다고 한다. 또 선글라스 착용, 와인잔으로 와인 마시기, 여러개 장신구를 동시에 착용하기도 모두 반동이다. 그러나 김정은 국무위원장도 선글라스를 착용한 모습이 자주 노출되는 상황에서 이를 처벌한다는 것은 의아하다는 지적도 나온다.주민들의 남한식 언어사용을 통제하기 위해 만들어진 평양법은 단어 하나하나를 검열하고 있다. 이 법은 ‘괴뢰말’로 칭하는 남한말을 ‘쓰레기 말’이라고 정의하고, 사용을 엄격하게 금지한다. 평양법상 ‘괴뢰말투유포죄’에 해당하면 사형 선고도 가능하다. 단속원들은 거리에서 행인들의 휴대전화 주소록이나 문자메시지를 수시로 검열하며 ‘괴뢰식’ 말투를 쓰는지 확인한다. 혈육관계가 아닌 연인관계 등 사이에서 ‘오빠’란 말을 쓰거나 직무 뒤에 ‘님’을 붙여 부르는 것도 남한식 표현으로 규정된다. ‘아빠’, ‘쌤(선생님)’ 같은 호칭이나 ‘~했어요’ 등 해요체나 ‘빨리 와!’ 같은 표현도 대표적인 단속 사례다. 2020년 전 세계적으로 코로나19가 확산하면서 방역을 명분으로 한 인권 침해도 횡행한 것으로 전해졌다. 북한은 2020년 1월 코로나19 차단을 위해 국경을 봉쇄했으며 지난해 8월에야 3년7개월 만에 국경을 개방했다. 국경에는 70m 간격으로 경비대원이 배치됐고 봉쇄구역에 진입하면 발각 즉시 사살하라는 방침도 내려졌다고 한다. 철조망에는 전류를 흘렸다. 2020∼2021년 접경지역(양강도와 자강도)에서 봉쇄방침 위반자가 피격 사망하거나 총살된 사례도 3건이 수집됐다. 2021년 탈북한 한 남성은 그 해 한 지역의 당 조직비서와 인민위원장 등 간부 2명이 비상방역법 위반 행위로 재판 없이 공개 총살됐다고 증언했다. 비상방역조치를 위반해 격리시설에 수용된 주민들이 집단 목욕을 하도록 허락했다는 이유에서다. 북한은 백신을 확보하지 못하자 경구용 예방약 개발을 시도한 것으로 보인다. 검증되지 않은 약물로 일부 지역 주민을 대상으로 임상실험을 하는 과정에서 투약자가 부작용으로 쓰러지는 일이 발생하며 개발이 중단됐다는 증언이 나왔다. 한편 보고서는 통일부 누리집을 통해 전자책 형태로 공개됐다. 정부의 북한인권보고서 공개는 작년에 이어 두 번째다. 그러나 소수의 탈북민 증언을 토대로 만든 보고서여서 북한 내부 상황이 얼마나 정확하게 담겼는지는 검증이 필요하다는 지적도 나온다.

최근 서울 서초구 서이초등학교 교사 사망 사건과 관련해 추모 모임 초대장을 사칭한 피싱(사기) 문자가 발견됐다. 2일 사이버 보안기업 안랩에 따르면 공격자(피싱 문자 유포자)는 ‘고인의 마지막 가시는 길 외롭지 않게 부디 오셔서 참석해주세요’라는 내용과 함께 악성 인터넷주소(URL)를 포함한 문자를 발송했다. 사용자가 문자메시지 내 URL에 접속하면 공격자가 만든 피싱 웹사이트로 이동한다. 이 웹사이트는 ‘애도를 표한다’, ‘고인의 명복을 빈다’는 문구와 이미지를 사용해 고인이 된 교사를 추모하는 ‘추모 모임 초대장’처럼 교묘하게 위장하고 있다. 해당 화면의 하단에 있는 ‘열기’를 누르면 ‘정확한 장소와 시간을 보기 위하여 확인을 눌러주세요~’라는 문구가 적힌 창이 뜬다. 이때 ‘OK’를 누르면 ‘초대장 카드’를 위장한 악성 애플리케이션(앱) 설치파일(.apk)이 다운로드된다.악성 앱은 설치된 이후 문자메시지(SMS), 주소록, 전화번호, 통화 내역 등 감염 스마트폰 내 다양한 개인 정보를 유출한다. 공격자는 확보한 개인 정보를 보이스 피싱 등 추가 범죄에 활용할 수 있다. 해당 메시지를 처음 발송한 공격자는 아직 확인되지 않은 것으로 알려졌다. 피해를 예방하기 위해서는 ▲출처가 불분명한 문자메시지 내 URL 및 첨부파일 실행금지 ▲앱 다운로드 시 구글플레이 등 정식 앱 마켓 이용 ▲앱 설치 시 요구하는 권한 확인 ▲스마트폰에 V3 모바일 시큐리티 등 모바일 백신설치 등 필수 보안 수칙을 실천해야 한다. 이번 피싱 문자 샘플을 분석한 안랩 강동현 엔진개발팀 수석연구원은 “공격자는 사회적 관심이 높은 이슈 등 사용자를 유인할 수 있을 만한 소재라면 어떤 것이라도 가리지 않는다”면서 “사용자는 피싱 문자로 인한 피해 예방을 위해 출처가 불분명한 문자메시지 내 URL은 실행하지 않는 등 기본 보안수칙을 철저하게 준수해야 한다”고 강조했다.