“축하드립니다! 쿠팡 공식 제휴사 체험단으로 선정되셨습니다!” 쿠팡의 대규모 개인정보 유출 사태 이후 ‘탈팡’(쿠팡 탈퇴)한 직장인 한모(41)씨는 3일 아침 출근길에 이런 문자를 받았다. 체험단 참여를 신청하는 카카오톡 오픈채팅방 링크도 첨부돼 있었는데, 전형적인 스미싱 사기였다. 한씨는 “쿠팡을 사용하지 않는 주변에 물어보니 이런 문자를 받은 사람이 한 명도 없었다”며 “탈퇴해도 이미 유출된 정보로 이런 문자가 오는 것 아니냐”고 목소리를 높였다. 쿠팡을 이용한 지 2년 정도 된 직장인 강모(39)씨에게도 전날부터 이날까지 이틀 새 정체를 알 수 없는 국제 전화가 10통 가까이 걸려 왔다. 강씨는 “보이스피싱으로 의심되는 전화가 평소엔 거의 없었는데, 최근 들어 유독 늘었다”며 “실수로 전화를 받았을 땐 이미 상대방이 정확하게 내 이름과 주소를 알고 있었다”고 토로했다. 개인정보가 유출된 쿠팡 고객 중 스미싱, 보이스피싱이 의심되는 전화를 받는 경우가 늘면서 2차 피해에 대한 불안과 분노가 커지고 있다. 쿠팡 아이디가 미국에서 접속되는 일은 겪은 고객도 있었다. 박모(27)씨는 개인정보 유출 사태 이후 혹시나 해서 쿠팡에 접속해 로그인 기록을 살펴봤다. 박씨는 “12월 2일 미국에서 접속한 기록이 있는 것을 확인했는데, 저는 태어나서 미국을 간 적이 한 번도 없다”며 “유출된 정보에 비밀번호 등은 포함돼 있지 않다고 했지만 신뢰가 가지 않는다”고 했다. 이런 고객들의 우려와 달리 쿠팡은 보안 강화 대책을 적극 제시하는 등의 사후 대응에 손 놓고 있다. 쿠팡 메인 화면에는 사과문이나 2차 피해 방지, 보안 대책 강구와 같은 메시지보단 ‘한정 특가’, ‘반짝 세일’ 등의 문구가 주로 노출돼 있다. 이승준(31)씨는 “사태 이후 쿠팡 홈페이지에는 사과문보다 ‘할인쿠폰을 확인하라’ 같은 광고 배너만 있다”며 “탈퇴하고 싶어도 버튼조차 찾기 어렵고, 겨우 찾아 탈퇴하려 해도 6단계 이상 정보를 입력해야 한다. 고객은 어떻게 되든 상관없이 일단 돈만 벌겠다는 심보”라고 꼬집었다.

쿠팡의 대규모 고객 정보 유출 사태 이후 쿠팡이 대대적으로 홍보해 온 ‘원터치 결제’에 대해서도 소비자 불안이 커지고 있다. 원터치 결제는 추가 본인 확인 없이 쉽고 빠르게 결제하는 시스템이지만, 계정 도난 시 무단결제 등의 피해를 입을 수 있어서다. 3일 업계에 따르면, 쿠팡은 계정에 카드가 한 번 등록되면 이후엔 비밀번호나 본인 확인을 하지 않고 저장된 카드로 간편결제할 수 있는 ‘원터치 결제’ 시스템을 갖추고 있다. 온라인 카드결제시 부정사용을 방지하기 위해 본인확인 인증 절차를 거쳐야 하지만 카드사나 전자지급결제대행(PG)사와의 협의를 통해 본인 확인을 생략할 수 있다. 쿠팡의 경우 PG사인 쿠팡페이를 자회사로 두고 있고 쿠팡 가입시 자동으로 쿠팡페이에 가입되는 구조여서 본인인증 없는 간편 결제를 도입할 수 있었던 것으로 파악된다. 네이버나 롯데쇼핑 등 대부분의 이커머스 플랫폼은 로그인과 별도로 결제시 인증을 별도로 하게 돼 있고, SSG닷컴의 경우 쿠팡과 유사한 ‘원클릭 결제’가 있지만 기기가 바뀔 경우 원클릭 결제를 설정할 때 한 번 더 인증 절차를 거쳐야 한다. 문제는 쿠팡의 원터치 결제가 로그인만 되면 계정에 등록된 카드로 바로 결제가 된다는 점에서 계정을 도용당하거나 휴대폰을 분실했을 때 금융사고로 이어질 수 있다는 점이다. 쿠팡은 약 3370만건의 역대 최대 개인정보 유출 사고에서 결제정보는 털리지 않았다고 강조했지만, 이메일·전화번호·주소 등이 노출된 상태여서 안심할 수만은 없는 상황이다. 이커머스업계 관계자는 “(원터치 결제는) 소비자들이 물건 구매를 더 빠르게 유인하는 방법이지만 계정이 도난당하면 심각한 피해로 이어질 수 있는 만큼 최소한의 보안 장치가 필요하다”고 말했다. 특히 결제시 비밀번호를 입력하도록 하는 G마켓에서도 간편결제 서비스에 등록된 카드로 상품권을 결제하는 무단결제 피해 사례가 발생하면서 이러한 우려는 더욱 커지고 있다. 금융감독원이 국민의힘 이양수 의원실에 제출한 자료에 따르면 올해 1~8월 전자금융거래 플랫폼의 부정결제 사고 피해액은 2억 2076만원이었다. G마켓이 1억 6074만원으로 가장 많았고, 쿠팡페이가 3008만원로 뒤를 이었다. 이번 개인정보 유출 사고로 쿠팡페이에 대한 현장점검에 나선 금융감독원 관계자는 “(쿠팡의 원터치) 결제 시 본인 인증 절차에 보안상 허점은 없는지 확인해 보겠다”고 말했다.

계정 도난시 무단 결제 등 금융사고 우려금감원, 현장점검…“보안상 허점 보겠다” 쿠팡의 대규모 고객 정보 유출 사태 이후 쿠팡이 대대적으로 홍보해 온 ‘원터치 결제’에 대해서도 소비자 불안이 커지고 있다. 원터치 결제는 추가 본인 확인 없이 쉽고 빠르게 결제하는 시스템이지만, 계정 도난 시 무단결제 등의 피해를 입을 수 있어서다. 3일 업계에 따르면, 쿠팡은 계정에 카드가 한 번 등록되면 이후엔 비밀번호나 본인 확인을 하지 않고 저장된 카드로 간편결제할 수 있는 ‘원터치 결제’ 시스템을 갖추고 있다. 온라인 카드결제시 부정사용을 방지하기 위해 본인확인 인증 절차를 거쳐야 하지만 카드사나 전자지급결제대행(PG)사와의 협의를 통해 본인 확인을 생략할 수 있다. 쿠팡의 경우 PG사인 쿠팡페이를 자회사로 두고 있고 쿠팡 가입시 자동으로 쿠팡페이에 가입되는 구조여서 본인인증 없는 간편 결제를 도입할 수 있었던 것으로 파악된다. 네이버나 롯데쇼핑 등 대부분의 이커머스 플랫폼은 로그인과 별도로 결제시 인증을 별도로 하게 돼 있고, SSG닷컴의 경우 쿠팡과 유사한 ‘원클릭 결제’가 있지만 기기가 바뀔 경우 원클릭 결제를 설정할 때 한 번 더 인증 절차를 거쳐야 한다. 문제는 쿠팡의 원터치 결제가 로그인만 되면 계정에 등록된 카드로 바로 결제가 된다는 점에서 계정을 도용당하거나 휴대폰을 분실했을 때 금융사고로 이어질 수 있다는 점이다. 쿠팡은 약 3370만건의 역대 최대 개인정보 유출 사고에서 결제정보는 털리지 않았다고 강조했지만, 이메일·전화번호·주소 등이 노출된 상태여서 안심할 수만은 없는 상황이다. 이커머스업계 관계자는 “(원터치 결제는) 소비자들이 물건 구매를 더 빠르게 유인하는 방법이지만 계정이 도난당하면 심각한 피해로 이어질 수 있는 만큼 최소한의 보안 장치가 필요하다”고 말했다. 특히 결제시 비밀번호를 입력하도록 하는 G마켓에서도 간편결제 서비스에 등록된 카드로 상품권을 결제하는 무단결제 피해 사례가 발생하면서 이러한 우려는 더욱 커지고 있다. 금융감독원이 국민의힘 이양수 의원실에 제출한 자료에 따르면 올해 1~8월 전자금융거래 플랫폼의 부정결제 사고 피해액은 2억 2076만원이었다. G마켓이 1억 6074만원으로 가장 많았고, 쿠팡페이가 3008만원로 뒤를 이었다. 이번 개인정보 유출 사고로 쿠팡페이에 대한 현장점검에 나선 금융감독원 관계자는 “(쿠팡의 원터치) 결제 시 본인 인증 절차에 보안상 허점은 없는지 확인해 보겠다”고 말했다.

“축하드립니다! 쿠팡 공식 제휴사 체험단으로 선정되셨습니다!” 쿠팡의 대규모 개인정보 유출 사태 이후 ‘탈팡’(쿠팡 탈퇴)한 직장인 한모(41)씨는 3일 아침 출근길에 이런 문자를 받았다. 체험단 참여를 신청하는 카카오톡 오픈채팅방 링크도 첨부돼 있었는데, 전형적인 스미싱 사기였다. 한씨는 “쿠팡을 사용하지 않는 주변에 물어보니 이런 문자를 받은 사람이 한 명도 없었다”며 “탈퇴해도 이미 유출된 정보로 이런 문자가 오는 것 아니냐”고 목소리를 높였다. 쿠팡을 이용한 지 2년 정도 된 직장인 강모(39)씨에게도 전날부터 이날까지 이틀 새 정체를 알 수 없는 국제 전화가 10통 가까이 걸려 왔다. 강씨는 “보이스피싱으로 의심되는 전화가 평소엔 거의 없었는데, 최근 들어 유독 늘었다”며 “실수로 전화를 받았을 땐 이미 상대방이 정확하게 내 이름과 주소를 알고 있었다”고 토로했다. 개인정보가 유출된 쿠팡 고객 중 스미싱, 보이스피싱이 의심되는 전화를 받는 경우가 늘면서 2차 피해에 대한 불안과 분노가 커지고 있다. 쿠팡 아이디가 미국에서 접속되는 일은 겪은 고객도 있었다. 박모(27)씨는 개인정보 유출 사태 이후 혹시나 해서 쿠팡에 접속해 로그인 기록을 살펴봤다. 박씨는 “12월 2일 미국에서 접속한 기록이 있는 것을 확인했는데, 저는 태어나서 미국을 간 적이 한 번도 없다”며 “유출된 정보에 비밀번호 등은 포함돼 있지 않다고 했지만 신뢰가 가지 않는다”고 했다. 이런 고객들의 우려와 달리 쿠팡은 보안 강화 대책을 적극 제시하는 등의 사후 대응에 손 놓고 있다. 쿠팡 메인 화면에는 사과문이나 2차 피해 방지, 보안 대책 강구와 같은 메시지보단 ‘한정 특가’, ‘반짝 세일’ 등의 문구가 주로 노출돼 있다. 이승준(31)씨는 “사태 이후 쿠팡 홈페이지에는 사과문보다 ‘할인쿠폰을 확인하라’ 같은 광고 배너만 있다”며 “탈퇴하고 싶어도 버튼조차 찾기 어렵고, 겨우 찾아 탈퇴하려 해도 6단계 이상 정보를 입력해야 한다. 고객은 어떻게 되든 상관없이 일단 돈만 벌겠다는 심보”라고 꼬집었다.

대규모 개인정보 유출 사태로 논란이 이어지는 가운데 쿠팡 전·현직 임원들이 유출 발생 시점 이후 수십억 원대 자사 주식을 매도한 사실이 드러났다. 다만 미 증권거래위원회(SEC) 공시에는 해당 거래가 1년 전 수립된 사전 매매 계획(Rule 10b5-1)에 따른 것으로 나타났다. CFO, 지난해 12월 수립한 자동매매 계획에 따라 매도 2일(현지시간) SEC 공시에 따르면 거랍 아난드 쿠팡 최고재무책임자(CFO)는 지난달 10일 쿠팡 보통주 7만5350주를 주당 29.02달러에 매도했다. 매각 금액은 약 218만6000달러, 한화로 약 32억 원 규모다. SEC 신고서(Form 4) 주석에는 “이번 매도는 2024년 12월 8일 채택된 Rule 10b5-1 사전 매매 계획에 따라 이행됐으며 특정 세금 납부 의무를 충족하기 위한 목적”이라고 명시됐다. 이 제도는 임원이 미공개 정보를 알지 못하는 시점에 미리 매매 시기와 수량을 정해두면 이후 직접 개입하지 않아도 자동으로 거래가 실행되는 구조다. 한 번 설정된 계획은 임의 변경이 어렵기 때문에 시장 상황과 무관하게 예정된 시점에 매매가 이뤄지는 특징이 있다. 즉 개인정보 유출 사태가 발생하기 약 1년 전 미리 확정된 자동매매 계획에 따른 거래였다. 쿠팡은 지난달 6일 해킹 시도가 발생했으나 12일이 지나 침해 사실을 인지했다고 관계기관에 신고했으며, 그달 29일에는 고객 계정 약 3,370만 건의 정보가 유출됐다고 공식 발표했다. CFO의 매도일(11월 10일)은 회사가 유출 사실을 공식적으로 인지한 시점보다 앞선다. 전 부사장도 사임 이후 통상 절차로 매도 프라남 콜라리 전 쿠팡 부사장 역시 지난달 17일 보유 주식 2만7388주(약 11억 원 상당)를 매도했다. 콜라리 전 부사장은 쿠팡의 검색·추천 알고리즘 부문을 총괄하던 핵심 기술임원으로 10월 15일 사임 의사를 통보하고 그다음달 14일 사임 효력이 발생했다. 그의 매도는 퇴사 이후 정산 절차의 일환으로 이뤄진 것으로 파악된다. “규정상 문제 없지만 민감한 시기”…내부자거래 논란은 여전 SEC 신고서상 두 사람의 거래는 모두 회사의 ‘유출 인지’ 이전에 이뤄졌으며 계획된 절차에 따른 것으로 확인됐다. 다만 유출 직후 공개된 시점이 맞물리며 시장의 의심을 자극했다. 일각에서는 “규정상 문제는 없더라도 시기적으로 민감한 시점에 매도 사실이 드러난 만큼 내부자거래 논란이 완전히 사라지긴 어려울 것”이라는 분석이 제기된다. 쿠팡 측은 “CFO의 거래는 미국 증권법상 요건을 충족한 정기적 매매였으며, 회사는 관련 규정을 준수하고 있다”고 밝혔다. 대규모 유출 후폭풍…‘내부통제’는 여전히 과제 쿠팡은 지난달 말 고객 3370만 명의 개인정보가 유출된 사실을 공개했다. 이름, 이메일, 주소, 전화번호 등 기본 정보뿐 아니라 일부 주문내역과 배송지 정보 등이 포함된 것으로 알려졌다. 정부는 개인정보보호위원회와 과기정통부, 한국인터넷진흥원이 참여하는 민관합동조사단을 구성해 사고 원인과 내부 통제 체계를 조사 중이다. 보안업계 관계자는 “이번 거래 자체가 불법은 아닐 수 있으나, 결과적으로 데이터 유출에 이어 신뢰 훼손과 임원 매도 논란으로까지 번진 점은 기업의 경영 관리 체계와 투명성의 문제로 남는다”고 지적했다. “보상안·과징금 가능성…단기 비용 불가피” 글로벌 투자은행 JP모건은 이번 사태와 관련해 “쿠팡이 경쟁자가 없는 시장 지위를 지니고 있어 고객 이탈은 제한적일 것”이라고 진단했다. 그러나 “자발적 보상 패키지 제공 가능성과 정부의 과징금 부과 여부에 따라 상당한 일회성 손실이 발생할 수 있다”고 내다봤다. 앞서 SK텔레콤이 대규모 해킹 이후 요금 감면과 무료 데이터 제공 등 수천억 원대 보상안을 내놓은 전례를 감안하면 쿠팡 역시 멤버십 연장이나 무료 쿠폰 제공 등 소비자 대상 보상안을 마련할 가능성이 크다. 업계에서는 쿠팡이 평판 회복을 위해 올해 4분기 또는 내년 초 일정 규모의 보상 비용을 반영할 것이라는 전망도 제기된다. 전문가들은 “단기 손실보다 중요한 것은 투명한 보상 절차와 내부 통제 강화”라며 “소비자 신뢰 회복이 쿠팡의 향후 시장 평가를 좌우할 것”이라고 입을 모았다.

대규모 개인정보 유출 사태로 논란이 이어지는 가운데 쿠팡 전·현직 임원들이 유출 발생 시점 이후 수십억 원대 자사 주식을 매도한 사실이 드러났다. 다만 미 증권거래위원회(SEC) 공시에는 해당 거래가 1년 전 수립된 사전 매매 계획(Rule 10b5-1)에 따른 것으로 나타났다. CFO, 지난해 12월 수립한 자동매매 계획에 따라 매도 2일(현지시간) SEC 공시에 따르면 거랍 아난드 쿠팡 최고재무책임자(CFO)는 지난달 10일 쿠팡 보통주 7만5350주를 주당 29.02달러에 매도했다. 매각 금액은 약 218만6000달러, 한화로 약 32억 원 규모다. SEC 신고서(Form 4) 주석에는 “이번 매도는 2024년 12월 8일 채택된 Rule 10b5-1 사전 매매 계획에 따라 이행됐으며 특정 세금 납부 의무를 충족하기 위한 목적”이라고 명시됐다. 이 제도는 임원이 미공개 정보를 알지 못하는 시점에 미리 매매 시기와 수량을 정해두면 이후 직접 개입하지 않아도 자동으로 거래가 실행되는 구조다. 한 번 설정된 계획은 임의 변경이 어렵기 때문에 시장 상황과 무관하게 예정된 시점에 매매가 이뤄지는 특징이 있다. 즉 개인정보 유출 사태가 발생하기 약 1년 전 미리 확정된 자동매매 계획에 따른 거래였다. 쿠팡은 지난달 6일 해킹 시도가 발생했으나 12일이 지나 침해 사실을 인지했다고 관계기관에 신고했으며, 그달 29일에는 고객 계정 약 3,370만 건의 정보가 유출됐다고 공식 발표했다. CFO의 매도일(11월 10일)은 회사가 유출 사실을 공식적으로 인지한 시점보다 앞선다. 전 부사장도 사임 이후 통상 절차로 매도 프라남 콜라리 전 쿠팡 부사장 역시 지난달 17일 보유 주식 2만7388주(약 11억 원 상당)를 매도했다. 콜라리 전 부사장은 쿠팡의 검색·추천 알고리즘 부문을 총괄하던 핵심 기술임원으로 10월 15일 사임 의사를 통보하고 그다음달 14일 사임 효력이 발생했다. 그의 매도는 퇴사 이후 정산 절차의 일환으로 이뤄진 것으로 파악된다. “규정상 문제 없지만 민감한 시기”…내부자거래 논란은 여전 SEC 신고서상 두 사람의 거래는 모두 회사의 ‘유출 인지’ 이전에 이뤄졌으며 계획된 절차에 따른 것으로 확인됐다. 다만 유출 직후 공개된 시점이 맞물리며 시장의 의심을 자극했다. 일각에서는 “규정상 문제는 없더라도 시기적으로 민감한 시점에 매도 사실이 드러난 만큼 내부자거래 논란이 완전히 사라지긴 어려울 것”이라는 분석이 제기된다. 쿠팡 측은 “CFO의 거래는 미국 증권법상 요건을 충족한 정기적 매매였으며, 회사는 관련 규정을 준수하고 있다”고 밝혔다. 대규모 유출 후폭풍…‘내부통제’는 여전히 과제 쿠팡은 지난달 말 고객 3370만 명의 개인정보가 유출된 사실을 공개했다. 이름, 이메일, 주소, 전화번호 등 기본 정보뿐 아니라 일부 주문내역과 배송지 정보 등이 포함된 것으로 알려졌다. 정부는 개인정보보호위원회와 과기정통부, 한국인터넷진흥원이 참여하는 민관합동조사단을 구성해 사고 원인과 내부 통제 체계를 조사 중이다. 보안업계 관계자는 “이번 거래 자체가 불법은 아닐 수 있으나, 결과적으로 데이터 유출에 이어 신뢰 훼손과 임원 매도 논란으로까지 번진 점은 기업의 경영 관리 체계와 투명성의 문제로 남는다”고 지적했다. “보상안·과징금 가능성…단기 비용 불가피” 글로벌 투자은행 JP모건은 이번 사태와 관련해 “쿠팡이 경쟁자가 없는 시장 지위를 지니고 있어 고객 이탈은 제한적일 것”이라고 진단했다. 그러나 “자발적 보상 패키지 제공 가능성과 정부의 과징금 부과 여부에 따라 상당한 일회성 손실이 발생할 수 있다”고 내다봤다. 앞서 SK텔레콤이 대규모 해킹 이후 요금 감면과 무료 데이터 제공 등 수천억 원대 보상안을 내놓은 전례를 감안하면 쿠팡 역시 멤버십 연장이나 무료 쿠폰 제공 등 소비자 대상 보상안을 마련할 가능성이 크다. 업계에서는 쿠팡이 평판 회복을 위해 올해 4분기 또는 내년 초 일정 규모의 보상 비용을 반영할 것이라는 전망도 제기된다. 전문가들은 “단기 손실보다 중요한 것은 투명한 보상 절차와 내부 통제 강화”라며 “소비자 신뢰 회복이 쿠팡의 향후 시장 평가를 좌우할 것”이라고 입을 모았다.

이용자 3370만여명의 개인정보 유출 사고가 발생한 쿠팡이 홈페이지와 애플리케이션에 올린 사과문을 이틀 만에 내리고 쿠팡이츠 등 자사의 서비스를 홍보해 빈축을 사고 있다. 당국은 애초 고객 안내문에 ‘개인정보 노출’이라는 문구를 사용한 쿠팡에 ‘유출’로 수정해 다시 통보하라고 요구했다. 3일 업계에 따르면 쿠팡 홈페이지와 앱에는 지난 30일 게시된 개인정보 유출 관련 사과문이 사라진 상태다. 기자가 쿠팡 앱에 접속해보니 사과문이 게시돼 있던 자리에는 쿠팡의 음식 배달 서비스 ‘쿠팡이츠’를 홍보하는 배너가 노출됐다. 사과문은 게시된 지 이틀 만인 전날 내려간 것으로 알려졌다. 쿠팡 앱에는 전날 같은 자리에 로켓배송을 홍보하는 배너를 내걸었다. 쿠팡의 이 같은 행태는 전날 국회에서 뭇매를 맞았다. 국회 과학기술정보방송통신위원회 긴급 현안질의에서 한준호 더불어민주당 의원은 박대준 쿠팡 대표에게 “하루 사이에 사과문을 없애버렸다”면서 “수천만 명이 불안에 떨고 있는데 장사 좀 더 하겠다고 이렇게 하고 있다”라고 질타했다. 황정아 민주당 의원도 “사과문이 잠깐 있다 사라진 것인가?”라며 “잘 보이는 데 있어야 하는 것 아니냐”라고 추궁했다. 질타가 쏟아지자 박 대표는 “저 사과문 내용만으로는 부족하고 2차 피해를 우려하시는 분들이 있어 별도 이메일 공지로 상세한 내용을 전달하기 위해 준비 중”이라고 답했다. 한편 개인정보보호위원회는 쿠팡에 유출 항목을 빠짐없이 반영하고 개인정보 ‘노출’을 ‘유출’로 수정해 안내문을 다시 통지하라고 이날 요구했다. 개인정보위는 이날 긴급 전체회의를 열고 쿠팡이 이 같은 내용을 포함한 조치를 즉각 실시할 것을 심의·의결했다고 밝혔다. 앞서 쿠팡은 이용자들에게 개인정보 유출 사실을 안내하면서도 안내문에 ‘유출’이 아닌 ‘노출’이라는 표현을 썼다. 또한 안내문에는 이용자의 이름과 주소, 전화번호, 주문 내역이 유출됐다고 밝혔지만 이후 배송 주소록에 입력한 공동현관 비밀번호도 일부 유출된 사실을 뒤늦게 밝혔다. 개인정보위는 “국민 대다수가 이용하는 이커머스 서비스에서 발생한 유출 사고임에도, 정보주체가 취할 수 있는 피해 예방 조치 안내가 충분하지 않았다”라면서 “쿠팡의 자체 대응과 피해 구제 절차도 미흡해 국민 우려가 커졌다”라고 지적했다. 또한 이용자 한 명이 따로 사는 가족이나 선물할 지인들의 주소를 등록해놓은 경우 이들의 정보가 통째로 유출될 수 있다는 점을 고려해 쿠팡 측에 배송지 명단에 포함돼 정보 유출 피해를 본 사람들에게도 유출 사실을 통보하라고 요구했다. 개인정보위는 홈페이지 초기 화면이나 팝업창을 통해 일정 기간 이상 유출 내용을 공지하고, 공동현관 비밀번호 변경이나 쿠팡 계정 비밀번호 변경 등 피해를 예방하기 위한 요령을 적극 안내하라고 주문했다.

3370만여명의 개인정보가 유출된 쿠팡의 주요 임원이 정보침해 사건이 발생한 시점 이후 쿠팡 보유 주식 수십억원대를 내다 판 것으로 확인됐다. 2일(현지시간) 미 증권거래위원회(SEC) 공시에 따르면 거랍 아난드 쿠팡 최고재무책임자(CFO)는 지난달 10일 자신이 쿠팡Inc 주식 7만 5350주를 주당 29.0195달러에 매도했다고 신고했다. 매도 가액은 약 218만 6000달러(약 32억원)에 달한다. 프라남 콜라리 전 부사장도 지난달 17일 쿠팡 주식 2만 7388주를 매도했다고 신고했다. 매각 가액은 77만 2000달러(약 11억 3000만원)로 신고했다. 콜라리 전 부사장은 검색 및 추천 부문을 총괄하던 핵심 기술담당 임원이었다. 그는 지난달 14일 사임했다. 아난드 CFO와 콜라리 전 부사장의 쿠팡 주식 매도 시점은 쿠팡이 개인정보 유출 침해사고 발생 사실을 인지했다고 밝힌 시점 이전이다. 회사가 정보침해 사고를 인지했다고 밝힌 시점보다 앞서서 이뤄진 거래이긴 하지만, 민감한 시점에 발생한 전현직 핵심 임원의 주식 처분은 ‘내부자 거래’ 논란을 부를 수 있는 대목이다. 쿠팡은 고객 계정 약 3370만개 정보가 유출됐다고 지난 27일 발표했다. 유출된 정보는 고객의 이름과 이메일, 전화번호, 공동현관 비밀번호 정보가 포함된 주소, 일부 주문정보 등이었다. 쿠팡이 관계당국에 피해 사실을 최초로 신고한 것은 지난달 18일이었다. 당시 쿠팡이 파악한 개인정보 유출 규모는 4500여명이었다. 과학기술정보방송통신위원장 최민희 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 침해사고 신고서에 따르면 쿠팡은 한국시간 지난달 6일 오후 6시 38분 자사 계정 정보에 대한 무단 접근이 발생했다고 보고했다. 그러나 침해 사실을 인지한 시점은 12일이 지난 11월 18일 오후 10시 52분으로 기록됐다.

쿠팡 고객 3370만 명의 개인정보가 유출되면서 파장이 일고 있는 가운데, 주문한 적 없는 택배가 중국에서 배송됐다는 사례가 심심치 않게 나오고 있다. 최근 엑스(X)에는 “여자 혼자 사는 집인데 시킨 적 없는 택배가 중국에서 온다. 택배에는 내 이름과 전화번호, 주소가 기입돼 있었다”, “택배를 발송한 사람의 번호가 중국 번호라 보낸 사람한테 연락을 할 수도 없다” 등의 글이 올라왔다. 해당 글 작성자는 자신의 사례를 공개하며 개인통관고유부호를 재발급 받으라고 권했다. 개인통관고유부호는 해외직구 시 세관 통관 절차에서 개인을 식별하기 위해 사용되는 번호다. 해당 게시물은 쿠팡 개인 정보 유출 사태와 맞물리면서 큰 주목을 받았다. 쿠팡에서 해외 직구 서비스를 이용할 때 반드시 개인통관고유번호를 입력해야 하는데, 개인 정보가 유출되면서 개인통관고유번호도 함께 유출됐을 가능성이 제기됐기 때문이다. 쿠팡 정보 유출 사고의 2차 피해를 우려한 일부 시민들이 개인통관고유부호를 바꾸려 관세청 전자통관시스템(유니패스)으로 몰려들면서 홈페이지가 일시 먹통이 되기도 했다. 2일 오후 3시 기준 관세청 유니패스 홈페이지는 접속 지연 상태가 지속됐다. 이는 전날 오전 9시 15분부터 시작된 접속 지연 사태가 이어진 것이다. 국회 과학기술정보방송통신위원회의 쿠팡 현안 질의가 진행되던 정오 경에는 트래픽이 더욱 폭주해 홈페이지가 일시 먹통이 됐다. 관세청은 홈페이지 공지를 통해 “현재 유니패스 이용량 증가 및 서버 처리 지연으로 인해 일부 서비스 이용이 원활하지 않을 수 있다”면서 “서비스는 안정화 작업 진행 중”이라고 안내했다. 2일 오후 5시 30분 기준, 유니패스 홈페이지는 아예 열리지 않거나 페이지가 열릴 때마다 상당한 로딩이 걸리는 상태다. 쿠팡 사태의 2차 피해를 우려하는 사람들 사이에서는 개인통관고유번호와 이미 유출된 개인 정보로 인해 스미싱 등에 노출되고 최악의 경우 밀수품 수입에 개인 명의가 도용될 수 있다는 우려까지 퍼지는 상황이다. 전문가들은 2차 피해를 막기 위해 쿠팡에서 결제 정보를 삭제하고 로그인 비밀번호를 바꾸는 등 조치를 해야 한다고 조언한다. 쿠팡은 이중 카드 결제 번호나 개인통관고유번호 등은 유출되지 않았다고 밝혔지만 아직 조사가 진행 중인 만큼 쿠팡 측 주장을 모두 신뢰하기는 어려운 상황이다. 비번 변경 공지 권유에 쿠팡이 내놓은 답변개인정보 도용과 보이스피싱, 스미싱 등을 통한 2차 피해가 우려되는 상황에서 쿠팡은 여전히 사태를 축소하는 데 급급한 모양새다. 2일 국회 과학기술정보방송통신위원회의 쿠팡 현안 질의에 참석한 김승주 고려대 정보보호대학원 교수는 “피해가 확산될 수 있어 쿠팡에 결제용 카드를 등록했다면 삭제해야 하고, 해당 (신용·체크) 카드의 비밀번호를 바꿀 수 있다면 바꾸는 것이 좋다”면서 “쿠팡 로그인 비밀번호도 바꾸면 좋다”고 말했다. 이후 과방위원장인 최민희 더불어민주당 의원이 쿠팡 측에 김 교수가 당부한 조치 3가지를 공지하라고 권고하자, 박대준 쿠팡 대표는 “(김 교수가 말한) 정보가 노출됐다고 확인된 바는 아직 없고, 너무 과잉해서 안내할 경우 불안감을 조성하게 된다”며 사실상 거절했다. 한편 관세청은 2026년부터 개인통관고유부호를 1년에 한 번씩 갱신하도록 하고, 도용이 의심될 경우 관세청이 직권으로 사용을 정지할 수 있도록 정했다.

인플루언서 존니 디줄리어스가 요르단 사막 한복판에 놓인 ‘야외 침대’ 에어비앤비를 리뷰한 영상이 온라인에서 폭발적인 반응을 얻고 있습니다. 영상에서 그는 “40달러(약 6만원)를 내고 와디럼(Wadi Rum) 사막에서 하룻밤 묵기로 했다”면서 “주변에 나밖에 없다. 미쳤다”고 말하며 사막 한가운데 놓인 침대를 공개했습니다. 영상은 단 4일 만에 1400만 회를 넘기며 큰 화제를 모았지만, 동시에 “저기서 자도 안전한 거냐”, “전갈 나오면 어떡하냐”, “AI 합성 아니냐” 등 각종 우려와 의문도 이어졌습니다. 논란이 커지자 존니는 후속 영상을 통해 직접 해명에 나섰습니다. 그는 와디럼이 국립공원과 유사한 보호구역으로, 입장료와 등록 절차를 거쳐야 들어갈 수 있는 안전한 지역이라고 설명했습니다. 방문객은 마을 주차장까지 이동한 뒤, 호스트의 지프를 타고 약 40분을 달려야 숙소에 도착하기 때문에 “주소만 찍고 아무나 찾아갈 수 있는 곳도 아니다”라고 강조했죠. 또한 숙소에는 화장실로 사용하는 동굴도 별도로 마련되어 있으며, 야생동물에 대한 우려에 대해서는 “전갈은 사막 어디에나 있지만 실제로는 도마뱀 한 마리 본 게 전부였다”며 “밤 기온도 시원했고, 침대로 모래도 전혀 들어오지 않았다”고 말했습니다. 그는 “별빛 아래서 완전 꿀잠 잤다. 단 한 순간도 위험하다고 느끼지 않았다”며 “인생에서 가본 곳 중 다섯 손가락 안에 드는 곳”이라고 극찬하기도 했습니다. 실제 에어비앤비 페이지에 따르면, 이 ‘선셋 케이브’는 베두인 부족 알잘라비예(Al Zalabieh) 가문이 운영하는 전통식 캠프로, 붉은 사막과 별빛이 어우러진 풍경을 자랑합니다. 방문객은 베두인식 저녁 식사, 지프 투어, 하이킹 등 다양한 추가 체험도 선택할 수 있다고 합니다. 여러분이라면 사막 한가운데, 야외에서 하룻밤… 도전 가능한가요? Instagram에서 이 게시물 보기 이슈&트렌드 | 케찹(@ccatch_upp)님의 공유 게시물

쿠팡의 퇴사한 중국인 직원이 회원 3370만명의 개인정보를 유출한 사고와 관련, 박대준 쿠팡 대표가 유출된 정보 중에 휴면 상태이거나 탈퇴한 회원의 정보도 포함됐을 수 있다고 2일 밝혔다. 박 대표는 이날 국회 과학기술정보방송통신위원회의 현안질의에서 휴면 및 탈퇴 회원의 정보가 유출됐을 가능성을 묻는 질문에 “일부 포함됐을 것이라고 생각한다”면서 이같이 말했다. 박 대표는 휴면 및 탈퇴 여부와 관련 없이 피해를 본 모든 회원들에게 개인정보 유출 사실을 안내했다고 설명했다. 다만 정보가 유출된 휴면 또는 탈퇴 회원이 몇 명인지를 묻는 질문에는 “정확히 세는 건 어렵다”고 답했다. 쿠팡에 따르면 이번 사고로 유출된 개인정보는 이용자들의 이름과 전화번호, 주소록에 입력한 배송지 주소, 주문 정보다. 비밀번호와 결제 카드 등 결제에 필요한 정보는 유출되지 않았다고 쿠팡은 설명했지만, 박 대표는 이용자들이 배송 주소록에 입력하는 공동현관 비밀번호도 일부 유출됐을 가능성이 있다고 시인했다. 이번 사태의 피해 규모는 지난해 SK텔레콤에서 발생한 해킹 사태(2300만명 피해)를 뛰어넘는다. SK텔레콤은 당시로는 역대 최대 규모인 1347억 9000만원의 과징금을 부과받았는데, 정치권에서는 쿠팡에 대해 1조원대의 과징금을 부과해야 한다는 주장이 나오고 있다. 황정아 더불어민주당 의원은 “(개인정보보호법에 따르면) 매출액의 3%, 1조 3000억원의 과징금을 물 수 있다고 한다”며 “개인정보보호위원회에서 과징금을 부과하면 소송전 없이 수용할 생각인가?”라고 물었다. 이에 박 대표는 “책임을 회피하고 싶은 생각이 없다”며 “책임이 있는 부분이 있다면 당연히 책임져야 된다고 생각한다”고 답했다.

12월 1일부터 모집…착수금 1인당 만 원 최근 쿠팡에서 3,370만 건에 달하는 고객 개인정보가 무단 유출된 사실이 드러난 가운데, 법률사무소 화음(대표변호사 정재권)이 쿠팡 개인정보유출 피해자 집단소송 접수를 시작했다고 밝혔다. 법률사무소 화음은 지난 12월 1일부터 쿠팡 개인정보 유출 사태와 관련해 쿠팡 측에 집단소송을 제기하기 위한 참여자를 모집하고 있다. 법률사무소 화음 정재권 변호사는 “이번 개인정보유출 사건은 외부의 해킹이 아닌 ‘내부 직원’에 의한 유출이므로 쿠팡의 책임이 보다 막중하다”라며 “유출된 정보에는 이름, 휴대전화 번호와 이메일 주소가 포함되어 있어 다른 웹사이트에 대입하는 크리덴셜 스터핑 공격 시도의 가능성이 있으며, 2차 추가 피해의 우려가 있다. 배송 지연을 사칭한 스미싱, 가족과 지인의 정보까지 유추되어 활용되는 등 사생활 침해 위험도 매우 높아 보인다”라고 전했다. 이어 “개인정보보호법에 따르면 정보주체는 법 위반 행위로 손해를 입으면 개인정보처리자에게 배상을 청구할 수 있고, 이 경우 사업자가 고의·과실이 없음을 입증하지 못하면 책임을 면할 수 없다. 과거 카드사 정보 유출, 인터파크 해킹 사건 등에서 법원은 기업의 과실이 인정될 경우 피해자 1인당 10~20만 원 내외의 위자료를 인정한 바 있다. 이번 사건은 주소지(거주지) 정보가 포함돼 스토킹, 보이스피싱 등 오프라인 범죄 악용 가능성이 크므로 더 높은 위자료가 인정될 여지가 있다. 집단 소송을 통해 효율적인 권리 구제와 유사 사태 재발 방지가 최선의 선택이 될 수 있다”라고 전했다. 실제로 해당 사건은 온라인에서도 움직임이 확산되고 있다. 개인정보 유출 사실이 공개된 지 이틀 만에 네이버에는 쿠팡 집단소송 관련 카페가 10여 곳 개설됐으며, 현재도 가입자 수가 빠르게 늘고 있다. 이번에 유출된 계정 정보가 3,370만 개에 달하는 만큼 개인정보 유출 관련 국내 단체 소송 가운데 최대 규모가 될 수 있다는 전망이 나온다. 앞서 법률사무소 화음은 SKT 유심정보 유출 피해자 단체소송을 3차까지 진행한 바 있다. 특히 화음 정재권 대표변호사는 과학기술정보통신부 고문변호사로 고도의 경험과 전문성을 바탕으로 소송을 진행해 나간다. 현재 법률사무소 화음에서 진행하는 쿠팡 개인정보유출 집단소송은 착수금 1만 원으로 참여할 수 있으며, 홈페이지 내 신청서 작성 등의 방법으로 신청자를 모집하고 있다. 배상금은 최소 10만 원에서 최대 30만 원 정도로 예상하고 있으며, 진행 과정에서 구체적 사실관계의 확정 및 증거 현출에 따라 청구금액을 확장하는 방식으로 진행할 예정이다. 정 변호사는 “과학기술정보통신부 고문 변호사로서의 경험을 통해 축적된 정보통신 관련 법률 및 정책에 대한 높은 이해도는 이번 소송을 성공적으로 이끄는 데 큰 강점이 될 것”이라며 “더 이상 혼자 고민하지 마시고, 저희와 함께 목소리를 내주시길 바란다”라고 밝혔다. 한편, 법률사무소 화음은 과학기술정보통신부(과기부) 고문 변호사로 위촉된 정재권 대표변호사를 포함해 IT 분야의 전문성을 지닌 변호사들로 구성된 로펌이다.

서울 중랑구는 취업 취약계층인 장애인의 사회참여 기회를 확대하고 소득 보장을 지원하기 위해 ‘2026년 장애인 일자리 사업’ 참여자 360명을 모집한다고 2일 밝혔다. 모집 대상은 서울시에 거주하는 18세 이상 미취업 등록장애인이며, 모집 유형은 구 직접 채용 일자리 136명(일반형 128명, 복지 8명)과 민간 수행기관 채용 일자리 224명(일반형 20명, 복지 204명)으로 구성된다. 일반형 및 복지형 136명의 모집 기간은 이달 5일까지다. 참여를 희망하는 서울시 거주 18세 이상 미취업 등록장애인은 주소지 동주민센터를 방문해서 신청하면 된다. 단, 민간 수행기관에서 선발하는 224명은 기관별 채용 계획에 따라 12월 중 별도로 모집할 예정이다. 선발된 참여자들은 근무 형태에 따라 다양한 업무를 수행하게 된다. ‘일반형 일자리’ 참여자는 구청, 동주민센터, 도서관 등 공공기관에 배치돼 행정 및 복지 업무 보조를 담당한다. ‘복지 일자리’ 참여자는 주 14시간 이내로 근무하며 급식 지원, 환경 정비, 장애인 주차 구역 계도 등 맞춤형 복지 서비스를 지원한다. 선발 절차는 1차 서류심사 이후 2차 면접 심사를 이달 15일~17일까지 진행할 예정이다. 최종 합격자는 24일 발표된다. 2018년 84명으로 시작된 사업은 매년 점진적으로 늘어 2025년에는 일반형 일자리 135명, 복지 일자리 185명 등 총 320명이 참여했다. 2026년에는 이보다 40명이 증가한 360명에게 일자리를 제공해 장애인의 경제활동 참여 기회를 더욱 확대한다. 류경기 중랑구청장은 “장애인일자리사업은 장애인이 지역사회에서 안정적으로 일할 기회를 확보하고 자립할 수 있는 중요한 사업”이라며 “앞으로도 다양한 수요에 맞춘 맞춤형 일자리를 발굴해 장애인의 사회참여를 적극 확대하겠다”고 말했다.

“고향사랑기부제 연말특수를 잡아라” 연말정산 세액공제 혜택을 받기 위해 고향사랑기부가 늘어날 것으로 예상되는 연말이 되자 지자체들이 너도나도 선물을 덤으로 주는 이벤트에 나서고 있다. 충북 진천군은 이달 31일까지 고향사랑기부제 참여자에게 추가 혜택을 제공하는 특별 이벤트를 마련했다고 2일 밝혔다. 이번 행사는 롯데리아 전용 고향사랑기부제 이벤트 페이지를 통해 참여하면 된다. 10만원 이상 진천군에 기부한 고객 전원에게 롯데리아 ‘한우불고기버거 콤보 쿠폰 1매’를 제공한다. 충북 증평군은 10만원 이상 기부자 240명을 추첨해 추가 선물을 준다. 이벤트는 두 번으로 나누어 진행한다. 1차로 1일부터 15일까지 기부자 가운데 120명을 선정해 커피 상품권과 네이버페이 중 하나를 제공한다. 2차로 16일부터 31일까지 기부자 가운데 120명을 추첨해 커피 상품권과 올리브영 상품권 중 하나를 준다. 증평군 관계자는 “연말이 되면 세액공제 혜택 때문에 고향사랑기부제에 대한 관심이 높아져 이벤트를 마련했다”며 “11월과 12월에 기부되는 금액이 연간 전체 기부 금액의 40%를 차지한다”고 설명했다. 부산시는 역대급 경품을 주는 부산 고향사랑기부제 연말 빅 이벤트를 진행 중이다. 이달 말까지 부산시에 10만원 이상 기부한 5000명을 선정해 성수기에 이용할 수 있는 해운대 5성급 호텔 숙박권, 한우등심세트, 3만원 상당의 지역특산품, 부산지역화폐 동백전 1만원 등을 증정한다. 시는 연말까지 5만명 참여를 목표로 잡았다. 고향사랑 기부제는 본인 주소지를 제외한 지자체에 연간 2000만원까지 기부할 수 있는 제도다. 기부자는 세액공제 혜택과 함께 기부 금액의 30%에 해당하는 답례품을 받는다.

쿠팡의 퇴사한 직원이 이용자 3370만명의 개인정보를 유출한 사태와 관련, 유출된 개인정보에 이용자들의 공동현관 비밀번호도 일부 포함된 것으로 확인됐다. 2일 국회 과학기술정보방송통신위원회의 쿠팡 개인정보 유출사고 관련 긴급 현안질의에서 박대준 쿠팡 대표는 “공동현관 비밀번호도 유출됐느냐”는 질의에 “일부 포함된 것으로 알고 있다”고 답했다. 노종면 더불어민주당 의원이 “그런데 왜 통지문(안내 문자)에 그 내용이 없느냐”고 물었고, 박 대표는 “(개별 이용자들의 정보에) 모두 항상 들어있는 것은 아니다”라고 답했다. 이에 노 의원은 “공동현관 비밀번호가 (유출 범위에) 포함된 경우 그 내용이 안내 문자에 들어가야 이용자들이 대응을 할 수 있지 않느냐”고 따졌고, 박 대표는 “세심하게 신경쓰겠다”라며 고개를 숙였다. 앞서 쿠팡은 지난달 30일부터 개인정보 유출 피해를 본 이용자들에게 안내 문자를 보내 “노출된 정보는 고객님 이름, 이메일 주소, 배송지 주소록, 주문정보 일부”라고 설명했다. 그러나 아파트 등 공동주택에 거주하는 이용자들은 공동현관 비밀번호를 주소록에 입력해놓고 있어 ‘현관 앞’에 도달하는 정보까지 유출됐을 가능성이 제기돼왔다. 공동현관 비밀번호와 세대 현관 비밀번호를 동일하게 설정하는 경우도 적지 않아 이용자들은 불안에 떨고 있다. 박 대표는 개인정보 유출 용의자로 지목된 전직 중국 직원과 관련해 “인증 시스템을 개발하는 개발자였다”라고 밝혔다. 박 대표는 “여러 인원으로 구성된 개발팀이 여러 역할을 갖고 팀을 구성한다”면서 피의자의 규모에 대해 “단수나 복수라 단정할 수 없다”고 덧붙였다. 또 피의자는 훔친 서명키를 이용해 인증 토큰을 생성해 개인정보를 빼낸 것으로 드러났다. 브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 “피의자는 훔친 서명키를 사용해 실제로 키에 서명을 해 다른 사용자인 것처럼 가장했다”라고 설명했다.

전남 담양군이 관내 임산부와 태아의 건강관리를 위해 추진하는 산전검진비 지원사업이 큰 호응을 얻고 있다. 2일 담양군에 따르면 보건소는 군에 주소를 둔 임산부 등록 시 엽산제와 철분제, 튼살 크림을 제공하고 자체 제작한 출산 안내 책자와 검진 쿠폰을 함께 지원한다. 또 산전검진비를 임신 기간 동안 13회 지원하며, 광주광역시 4개 협약 의료기관에 쿠폰을 제시하면 보건소가 해당 의료기관에 검진비를 지급한다. 군은 전문가가 가정을 방문하는 1:1 모유 수유 프로그램을 운영해 수유에 어려움을 겪는 산모들의 호응을 얻었다. 이와 함께 산모신생아 건강관리사 지원, 다자녀가정 기저귀 지원, 임산부 건강교실, 영유아 영양제 지원 등 출산·양육 부담을 줄이기 위한 다양한 장려 정책을 추진한다. 군 관계자는 “임신과 출산은 가정뿐 아니라 지역사회가 함께 책임져야 하는 중요한 과정”이라며 “앞으로도 다양한 지원사업과 의료서비스를 통해 임신과 출산에 대한 관심을 높이겠다”고 밝혔다.

쿠팡에서 3000만명이 넘는 고객의 정보가 유출된 사실이 드러난 가운데, 식별된 공격 기간은 올해 6월 24일부터 11월 8일까지인 것으로 나타났다. 2일 국회 과학기술정보방송통신위원회(과방위) 쿠팡 개인정보 유출 사고 관련 긴급 현안 질의에서 류제명 과학기술정보통신부 2차관은 대응 경과보고를 통해 “지난해 7월부터 올해 11월까지 전수 로그 분석을 한 결과 3000만개 이상 계정에서 개인정보가 유출됐다”며 이같이 밝혔다. 류 차관은 “공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했다”며 “이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 사용됐다”고 설명했다. 개인정보 유출 규모는 약 3370만건이다. 정보에는 고객 이름, 이메일 주소, 배송지 주소록(이름·전화번호·주소) 등이 포함됐다. 류 차관은 조사 과정에서 실제 피해 계정 수는 달라질 수 있다고 전했다. 현재는 퇴사한 중국인 인증 담당자가 개인정보를 유출했다는 의혹에 대해 류 차관은 “현재 언급되는 공격자의 신상에 대한 정보는 경찰 수사로 확인이 필요하다”며 “확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3000만건의 개인정보 유출을 주장했다”고 했다. 정부는 앞으로 민관 합동조사단을 통해 사고 경위와 쿠팡의 보안 문제점을 면밀히 규명하고 결과를 투명하게 공개하겠다는 방침이다. 류 차관은 스미싱 등 2차 피해 우려가 커진 만큼 “2차 피해 발생 여부를 지속 모니터링하고, 개인정보위·경찰청 등 관계기관과 공조해 추가 피해를 방지하겠다”고 밝혔다.

쿠팡에서 3370만건의 개인정보가 한꺼번에 빠져나간 데 이어 유출 정보를 ‘언론에 공개하겠다’는 협박 이메일까지 등장했다. 단순한 사고를 넘어 국가적 사이버 보안 사태가 이미 2차 범죄 단계에 진입했다는 의미다. 어제 금융당국이 보이스피싱·스미싱 등 각종 금융사기에 악용될 우려가 높다는 이유로 소비자경보 ‘주의’를 발령했다. 가입자 규모에 비춰 상당수 국민들이 잠재적 피해자가 될 수 있다는 우려도 높아지는 상황이다. 불안에 떨고 있는 국민에게 당장 필요한 것은 2차 피해 차단을 위한 실행 계획이다. 정부는 유출 정보가 암거래 게시판이나 해킹 커뮤니티 등으로 흘러가는지 24시간 추적하고, 거래나 공유 시도가 포착되는 즉시 삭제 요청과 차단 조치를 해야 한다. 금융기관·포털·통신·택배사와 연동한 피싱 자동 감지 체계도 적극 검토해야 한다. 쿠팡 역시 이용자의 불안을 낮추는 실질적 조치에 나서야 한다. 피해 계정 비밀번호·OTP(일회용 인증 비밀번호) 일괄 초기화, 배송지 주소록 암호화 및 재동의 절차, 로그인 위치·기기 이상 탐지 시스템 구축은 지금도 실행할 수 있다. 안내 문자 발송만으로는 책임을 면할 수 없다. 개인정보 자산을 잠재적 범죄 도구로 전락시킨 책임은 전적으로 기업이 감당해야 한다. 우리는 이미 생활·결제·택배·병원·쇼핑의 70% 이상을 플랫폼을 통해 처리한다. 내부 직원 단 한 명이 두 차례 보안 절차를 우회해 정보를 반출할 수 있었으니 우리 데이터가 얼마나 쉽게 위험에 노출되는지 적나라하게 확인한 셈이다. 이번 사태는 쿠팡뿐만이 아니라 한국 디지털 경제 전체에 울린 경고음이다. 정부는 개인정보를 다루는 기업의 내부 반출 차단 시스템(DLP) 도입 의무화 등 제도적 개선에 나서야 한다. 이번 사태를 전환점으로 디지털 보안 체계를 한 단계 끌어올리지 못한다면 제2·제3의 쿠팡 사태는 언제든 반복될 수 있다.

“서버 접근권 말소 안 해 생긴 일”개인정보 문 열어 놓은 꼴… 대통령실 “징벌적 손배 필요” 쿠팡에서 인증 관련 담당자로 일하던 중국인 개발자가 고객 3370만명의 개인정보를 유출한 사태와 관련해 쿠팡 측의 안일한 대응에 대한 비판이 커지고 있다. 정부는 외부 해킹이 아닌 쿠팡 측의 방치에 따라 이번 사건이 벌어졌다고 보고 관련 책임을 엄중히 묻겠다는 입장이다. 원활한 피해자 보상을 위해 징벌적 손해배상제 개선 카드도 꺼내 들었다. 경찰도 범행에 사용된 인터넷주소(IP)를 확보하는 등 수사에 속도를 내고 있다. 1일 정부 고위 관계자는 “쿠팡이 서버 관리를 굉장히 부실하게 한 것이라 책임을 피하기 어려울 것”이라고 말했다. 이 관계자는 “인증 관리 업무를 담당하던 중국인 개발자가 퇴사한 후에도 계속 서버 접근 권한을 말소하지 않아서 생긴 일”이라며 “본질적으로 해킹을 당한 롯데카드와는 아예 다른 사건”이라고 진단했다. 그는 또 “(인증키를) 말소시키지 않으니 시스템은 정상적 접근이라고 본 것”이라며 “혹시 다른 해킹이 있을지 한국인터넷진흥원(KISA)이 들여다보고 있는데 현재까진 나온 게 없다”고 전했다. 그러면서 “피해자 숫자와 범위 등이 더 늘어날 가능성은 충분해 보인다”고도 했다. 국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원실 등에 따르면 고객 정보를 빼돌린 직원은 퇴사 이후인 지난 6월 24일부터 개인정보에 접근한 것으로 추정된다. 이 직원은 개인정보 탈취 과정에서 시스템에 로그인 없이 접근할 수 있는 ‘인증 토큰’을 이용한 것으로 보인다. 이와 관련해 강훈식 대통령실 비서실장은 “징벌적 손해배상 제도가 사실상 작동하지 않고 있는 현실은 대규모 유출 사고를 막는 데 한계가 있다”며 “기업의 책임이 명백한 경우 제도가 실효성 있게 작동할 수 있도록 개선 방안을 검토하라”고 밝혔다. 아울러 강 실장은 과학기술정보통신부 등에 “근본적인 제도 보완, 현장 점검 체계 재정비, 기업 보안 역량 강화 지원책 등을 신속히 보고해 달라”고도 지시했다. 국회는 쿠팡 및 유관 기관 관계자들을 출석시켜 긴급 현안 질의를 진행한다. 2일에는 국회 과학기술정보방송통신위원회에서, 3일에는 정무위원회에서 각각 현안 질의를 한다. 경찰도 관련 수사를 진행 중이다. 서울경찰청 관계자는 이날 “쿠팡 측으로부터 서버 로그 기록을 제출받아서 분석 중”이라며 “정보 유출 등으로 협박하는 내용이 담긴 이메일 계정 2개를 추적하고 있다”고 밝혔다. 경찰은 피의자의 국적과 함께 정보 유출 당사자가 협박성 이메일을 보낸 사람과 동일인인지 등을 파악하고 있다. 경찰 관계자는 “피의자를 특정하기 위한 수사를 진행 중”이라며 “IP 추적을 위한 해외 공조도 벌이고 있다”고 설명했다. 쿠팡은 지난달 18일 개인정보보호위원회 등에 고객 4500여명의 개인정보가 유출됐다며 신고했고, 이후 같은 달 25일 정보통신망 침입 혐의로 고소장을 제출했다. 쿠팡 측은 협박 메일이 발송된 지 이틀이 지나서야 대응에 나섰다. 경찰은 지난달 28일 쿠팡 측 관계자를 불러 조사했다. 쿠팡이 회사 외형을 키우는 데 몰두한 나머지 정보보호에는 무감각했다는 비판이 거세지고 있다. 2023년부터 매년 10조원가량 매출이 뛰며 급성장해 오는 동안 정보보호 투자 비중은 반대로 감소해서다. 2010년 출범한 쿠팡이 로켓배송에 나선 것은 2014년이었다. 2012년 이후 규제에 묶인 대형마트의 빈자리를 채우기 시작하면서 급격히 몸집을 불렸다. 쿠팡은 2023년 매출 31조 8298억원을 기록하며 이마트(연결 기준 매출 29조 4722억원)를 처음 넘어섰다. 지난해 매출 41조 2901억원을 올렸고 올해에는 50조원 달성도 가능하다는 예측이 나왔다. 반면 최근 4년간 쿠팡의 정보기술(IT) 투자 대비 정보보호 투자 비중은 꾸준히 하락했다. KISA 공시에 따르면 쿠팡은 전체 IT 부문에 1조 9171억원을 투자했으며 이 가운데 정보보호 부문에 투입한 금액은 890억원으로 전체의 4.6%에 그쳤다. 전체 정보보호 투자 공시 기업 773곳의 평균(6.28%)보다 낮은 수준이다. 쿠팡의 지난해 매출 대비 정보보호 부문 투자액은 0.2%로 같은 기간 카카오·SK텔레콤(0.7%), 네이버·KT(0.4%)보다 저조했다. 숱한 논란에도 쿠팡의 사업이 순항한 건 정치권 및 정부 출신 인사를 대거 영입해 온 점과 무관하지 않다. 올해 쿠팡 또는 그 계열사로 이직하기 위해 취업 심사를 받은 4급 보좌관은 총 9명이었다. 정부 출신 중 4급 이상 등 취업 심사 대상 퇴직자 9명이 올해 쿠팡이나 그 계열사에 취직했다.

지난달 29일 발생한 쿠팡의 대규모 개인정보 유출 사태로 우려가 커지는 가운데, 쿠팡 내 IT 인력 상당수가 중국인이라는 주장이 나왔다. 지난달 30일 직장인 익명 커뮤니티인 ‘블라인드’에 “쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저는 90% 이상이 중국 국적자”라며 “조직(쿠팡)이 ‘중국인 카르텔’에 의해 장악되고 있다”고 주장하는 글이 올라왔다. 자신을 쿠팡 개발자라고 주장한 글쓴이는 “매 분기 퇴사 인사는 한국인들이고, 매 분기 신규 입사자들을 소개하면 80%가 중국, 나머지가 인도와 한국인들”이라며 “(중국인이) 차근차근 비율을 높이면서 카르텔을 형성하고 있으며 잠실, 용산 등 최고급 주거시설과 자녀 국제학교 학비 등 한국인이 누리지 못하는 복지로 혜택을 보고 있다”고 밝혔다. 이어 “개인적으로 이번 사태는 무분별하게 중국인들을 (IT 인력으로) 데려다 쓴 결과라 생각한다”고 덧붙였다. 해당 글은 삭제됐으나 이미 온라인 커뮤니티를 중심으로 캡처 사진이 돌면서 논란이 확산하고 있다. 이와 관련해 쿠팡은 1일 “수사 영역이고 수사에 적극 협조 중”이라면서 “(블라인드에 올라온 글은) 사실과 다르다”고 밝혔다. 쿠팡, 퇴사한 중국인 직원의 데이터 접근 열쇠 갱신 안 했다1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 현재 쿠팡은 전 중국인 직원을 정보 유출자로 추정하고 있다. 문제는 쿠팡이 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 데이터 접근 열쇠인 액세스 토큰과 서명키를 곧바로 삭제하거나 갱신하지 않았다는 사실이다. 액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 의미한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 쿠팡 측이 제공한 자료에 따르면 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 직원 퇴사 이후에도 폐기하거나 갱신하지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다. 쿠팡 측은 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다. 쿠팡, 5개월 간 유출 시도 몰랐다이번 사고로 유출된 쿠팡 고객 계정은 약 3370만 개에 달한다. 쿠팡은 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 밝혔다. 사실상 고객 정보 탈취가 5개월 전부터 시작됐지만 쿠팡이 이를 뒤늦게야 인지한 셈이다. 쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 그러나 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 더불어 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만 명)를 뛰어넘는 규모다. 현재 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.