“축하드립니다! 쿠팡 공식 제휴사 체험단으로 선정되셨습니다!” 쿠팡의 대규모 개인정보 유출 사태 이후 ‘탈팡’(쿠팡 탈퇴)한 직장인 한모(41)씨는 3일 아침 출근길에 이런 문자를 받았다. 체험단 참여를 신청하는 카카오톡 오픈채팅방 링크도 첨부돼 있었는데, 전형적인 스미싱 사기였다. 한씨는 “쿠팡을 사용하지 않는 주변에 물어보니 이런 문자를 받은 사람이 한 명도 없었다”며 “탈퇴해도 이미 유출된 정보로 이런 문자가 오는 것 아니냐”고 목소리를 높였다. 쿠팡을 이용한 지 2년 정도 된 직장인 강모(39)씨에게도 전날부터 이날까지 이틀 새 정체를 알 수 없는 국제 전화가 10통 가까이 걸려 왔다. 강씨는 “보이스피싱으로 의심되는 전화가 평소엔 거의 없었는데, 최근 들어 유독 늘었다”며 “실수로 전화를 받았을 땐 이미 상대방이 정확하게 내 이름과 주소를 알고 있었다”고 토로했다. 개인정보가 유출된 쿠팡 고객 중 스미싱, 보이스피싱이 의심되는 전화를 받는 경우가 늘면서 2차 피해에 대한 불안과 분노가 커지고 있다. 쿠팡 아이디가 미국에서 접속되는 일은 겪은 고객도 있었다. 박모(27)씨는 개인정보 유출 사태 이후 혹시나 해서 쿠팡에 접속해 로그인 기록을 살펴봤다. 박씨는 “12월 2일 미국에서 접속한 기록이 있는 것을 확인했는데, 저는 태어나서 미국을 간 적이 한 번도 없다”며 “유출된 정보에 비밀번호 등은 포함돼 있지 않다고 했지만 신뢰가 가지 않는다”고 했다. 이런 고객들의 우려와 달리 쿠팡은 보안 강화 대책을 적극 제시하는 등의 사후 대응에 손 놓고 있다. 쿠팡 메인 화면에는 사과문이나 2차 피해 방지, 보안 대책 강구와 같은 메시지보단 ‘한정 특가’, ‘반짝 세일’ 등의 문구가 주로 노출돼 있다. 이승준(31)씨는 “사태 이후 쿠팡 홈페이지에는 사과문보다 ‘할인쿠폰을 확인하라’ 같은 광고 배너만 있다”며 “탈퇴하고 싶어도 버튼조차 찾기 어렵고, 겨우 찾아 탈퇴하려 해도 6단계 이상 정보를 입력해야 한다. 고객은 어떻게 되든 상관없이 일단 돈만 벌겠다는 심보”라고 꼬집었다.

쿠팡의 퇴사한 직원이 회원 3370만명의 개인정보를 유출한 사태와 관련, 해외 체류 중인 김범석 쿠팡Inc 의장이 입국해 직접 입장을 밝혀야 한다는 목소리가 정치권에서 쏟아지고 있다. 3일 국회 정무위원회에서 열린 쿠팡 관련 현안 질의에서 윤한홍 정무위원장은 김 의장이 이날 불참한 것에 대해 “위원장으로서 강한 유감”이라고 밝혔다. 미국 국적인 김 의장은 주로 미국 등 해외에 머물고 있다. 쿠팡의 대규모 개인정보 유출 사태가 발생한 지 나흘째인 이날까지 김 의장은 사태에 대한 공식적인 입장을 표명한 바 없다. 박대준 쿠팡 대표는 이헌승 국민의힘 의원이 “김 의장이 한국에 어느 정도 체류하냐”, “돈은 한국에서 벌어가면서 왜 한국에 오지 않나”고 따져 묻자 “올해 김 의장을 만난 적이 없다”라면서 “귀국 여부는 모른다”라고 답했다. 이어 “김 의장이 직접 사과하고 보상 대책을 말하도록 건의할 생각이 있느냐”는 질문에 박 대표는 “한국 사업은 제가 대표로서 책임지고 추진하고 있다”라면서도 “이사회를 통해서 보고하겠다”라고 밝혔다. 신장식 조국혁신당 의원은 김 의장에 대해 “미국 국적이고 쿠팡Inc가 미국에 상장했다는 이유로 국회와 국민의 부름에 답하지 않고 있다”면서 “고발해야 한다”고 목소리를 높였다. 강민국 국민의힘 의원도 김 의원을 ‘검은 머리 외국인’이라고 지칭하며 “한국 국민의 개인정보를 활용하고 한국의 물류 배송 인프라를 사용하지만 법적 책임은 전혀 지지 않고 있다”고 질타했다. 한편 박 대표는 개인정보 유출 피해를 본 회원들에게 피해 보상을 검토하겠다고 밝혔다. 박 대표는 “합리적인 방안을 마련하겠다”라면서도 “현재는 피해 범위가 확정되지 않았다”면서 구체적인 보상 시점에 대해서는 말을 아꼈다.

대규모 개인정보 유출 사태로 논란이 이어지는 가운데 쿠팡 전·현직 임원들이 유출 발생 시점 이후 수십억 원대 자사 주식을 매도한 사실이 드러났다. 다만 미 증권거래위원회(SEC) 공시에는 해당 거래가 1년 전 수립된 사전 매매 계획(Rule 10b5-1)에 따른 것으로 나타났다. CFO, 지난해 12월 수립한 자동매매 계획에 따라 매도 2일(현지시간) SEC 공시에 따르면 거랍 아난드 쿠팡 최고재무책임자(CFO)는 지난달 10일 쿠팡 보통주 7만5350주를 주당 29.02달러에 매도했다. 매각 금액은 약 218만6000달러, 한화로 약 32억 원 규모다. SEC 신고서(Form 4) 주석에는 “이번 매도는 2024년 12월 8일 채택된 Rule 10b5-1 사전 매매 계획에 따라 이행됐으며 특정 세금 납부 의무를 충족하기 위한 목적”이라고 명시됐다. 이 제도는 임원이 미공개 정보를 알지 못하는 시점에 미리 매매 시기와 수량을 정해두면 이후 직접 개입하지 않아도 자동으로 거래가 실행되는 구조다. 한 번 설정된 계획은 임의 변경이 어렵기 때문에 시장 상황과 무관하게 예정된 시점에 매매가 이뤄지는 특징이 있다. 즉 개인정보 유출 사태가 발생하기 약 1년 전 미리 확정된 자동매매 계획에 따른 거래였다. 쿠팡은 지난달 6일 해킹 시도가 발생했으나 12일이 지나 침해 사실을 인지했다고 관계기관에 신고했으며, 그달 29일에는 고객 계정 약 3,370만 건의 정보가 유출됐다고 공식 발표했다. CFO의 매도일(11월 10일)은 회사가 유출 사실을 공식적으로 인지한 시점보다 앞선다. 전 부사장도 사임 이후 통상 절차로 매도 프라남 콜라리 전 쿠팡 부사장 역시 지난달 17일 보유 주식 2만7388주(약 11억 원 상당)를 매도했다. 콜라리 전 부사장은 쿠팡의 검색·추천 알고리즘 부문을 총괄하던 핵심 기술임원으로 10월 15일 사임 의사를 통보하고 그다음달 14일 사임 효력이 발생했다. 그의 매도는 퇴사 이후 정산 절차의 일환으로 이뤄진 것으로 파악된다. “규정상 문제 없지만 민감한 시기”…내부자거래 논란은 여전 SEC 신고서상 두 사람의 거래는 모두 회사의 ‘유출 인지’ 이전에 이뤄졌으며 계획된 절차에 따른 것으로 확인됐다. 다만 유출 직후 공개된 시점이 맞물리며 시장의 의심을 자극했다. 일각에서는 “규정상 문제는 없더라도 시기적으로 민감한 시점에 매도 사실이 드러난 만큼 내부자거래 논란이 완전히 사라지긴 어려울 것”이라는 분석이 제기된다. 쿠팡 측은 “CFO의 거래는 미국 증권법상 요건을 충족한 정기적 매매였으며, 회사는 관련 규정을 준수하고 있다”고 밝혔다. 대규모 유출 후폭풍…‘내부통제’는 여전히 과제 쿠팡은 지난달 말 고객 3370만 명의 개인정보가 유출된 사실을 공개했다. 이름, 이메일, 주소, 전화번호 등 기본 정보뿐 아니라 일부 주문내역과 배송지 정보 등이 포함된 것으로 알려졌다. 정부는 개인정보보호위원회와 과기정통부, 한국인터넷진흥원이 참여하는 민관합동조사단을 구성해 사고 원인과 내부 통제 체계를 조사 중이다. 보안업계 관계자는 “이번 거래 자체가 불법은 아닐 수 있으나, 결과적으로 데이터 유출에 이어 신뢰 훼손과 임원 매도 논란으로까지 번진 점은 기업의 경영 관리 체계와 투명성의 문제로 남는다”고 지적했다. “보상안·과징금 가능성…단기 비용 불가피” 글로벌 투자은행 JP모건은 이번 사태와 관련해 “쿠팡이 경쟁자가 없는 시장 지위를 지니고 있어 고객 이탈은 제한적일 것”이라고 진단했다. 그러나 “자발적 보상 패키지 제공 가능성과 정부의 과징금 부과 여부에 따라 상당한 일회성 손실이 발생할 수 있다”고 내다봤다. 앞서 SK텔레콤이 대규모 해킹 이후 요금 감면과 무료 데이터 제공 등 수천억 원대 보상안을 내놓은 전례를 감안하면 쿠팡 역시 멤버십 연장이나 무료 쿠폰 제공 등 소비자 대상 보상안을 마련할 가능성이 크다. 업계에서는 쿠팡이 평판 회복을 위해 올해 4분기 또는 내년 초 일정 규모의 보상 비용을 반영할 것이라는 전망도 제기된다. 전문가들은 “단기 손실보다 중요한 것은 투명한 보상 절차와 내부 통제 강화”라며 “소비자 신뢰 회복이 쿠팡의 향후 시장 평가를 좌우할 것”이라고 입을 모았다.

대규모 개인정보 유출 사태로 논란이 이어지는 가운데 쿠팡 전·현직 임원들이 유출 발생 시점 이후 수십억 원대 자사 주식을 매도한 사실이 드러났다. 다만 미 증권거래위원회(SEC) 공시에는 해당 거래가 1년 전 수립된 사전 매매 계획(Rule 10b5-1)에 따른 것으로 나타났다. CFO, 지난해 12월 수립한 자동매매 계획에 따라 매도 2일(현지시간) SEC 공시에 따르면 거랍 아난드 쿠팡 최고재무책임자(CFO)는 지난달 10일 쿠팡 보통주 7만5350주를 주당 29.02달러에 매도했다. 매각 금액은 약 218만6000달러, 한화로 약 32억 원 규모다. SEC 신고서(Form 4) 주석에는 “이번 매도는 2024년 12월 8일 채택된 Rule 10b5-1 사전 매매 계획에 따라 이행됐으며 특정 세금 납부 의무를 충족하기 위한 목적”이라고 명시됐다. 이 제도는 임원이 미공개 정보를 알지 못하는 시점에 미리 매매 시기와 수량을 정해두면 이후 직접 개입하지 않아도 자동으로 거래가 실행되는 구조다. 한 번 설정된 계획은 임의 변경이 어렵기 때문에 시장 상황과 무관하게 예정된 시점에 매매가 이뤄지는 특징이 있다. 즉 개인정보 유출 사태가 발생하기 약 1년 전 미리 확정된 자동매매 계획에 따른 거래였다. 쿠팡은 지난달 6일 해킹 시도가 발생했으나 12일이 지나 침해 사실을 인지했다고 관계기관에 신고했으며, 그달 29일에는 고객 계정 약 3,370만 건의 정보가 유출됐다고 공식 발표했다. CFO의 매도일(11월 10일)은 회사가 유출 사실을 공식적으로 인지한 시점보다 앞선다. 전 부사장도 사임 이후 통상 절차로 매도 프라남 콜라리 전 쿠팡 부사장 역시 지난달 17일 보유 주식 2만7388주(약 11억 원 상당)를 매도했다. 콜라리 전 부사장은 쿠팡의 검색·추천 알고리즘 부문을 총괄하던 핵심 기술임원으로 10월 15일 사임 의사를 통보하고 그다음달 14일 사임 효력이 발생했다. 그의 매도는 퇴사 이후 정산 절차의 일환으로 이뤄진 것으로 파악된다. “규정상 문제 없지만 민감한 시기”…내부자거래 논란은 여전 SEC 신고서상 두 사람의 거래는 모두 회사의 ‘유출 인지’ 이전에 이뤄졌으며 계획된 절차에 따른 것으로 확인됐다. 다만 유출 직후 공개된 시점이 맞물리며 시장의 의심을 자극했다. 일각에서는 “규정상 문제는 없더라도 시기적으로 민감한 시점에 매도 사실이 드러난 만큼 내부자거래 논란이 완전히 사라지긴 어려울 것”이라는 분석이 제기된다. 쿠팡 측은 “CFO의 거래는 미국 증권법상 요건을 충족한 정기적 매매였으며, 회사는 관련 규정을 준수하고 있다”고 밝혔다. 대규모 유출 후폭풍…‘내부통제’는 여전히 과제 쿠팡은 지난달 말 고객 3370만 명의 개인정보가 유출된 사실을 공개했다. 이름, 이메일, 주소, 전화번호 등 기본 정보뿐 아니라 일부 주문내역과 배송지 정보 등이 포함된 것으로 알려졌다. 정부는 개인정보보호위원회와 과기정통부, 한국인터넷진흥원이 참여하는 민관합동조사단을 구성해 사고 원인과 내부 통제 체계를 조사 중이다. 보안업계 관계자는 “이번 거래 자체가 불법은 아닐 수 있으나, 결과적으로 데이터 유출에 이어 신뢰 훼손과 임원 매도 논란으로까지 번진 점은 기업의 경영 관리 체계와 투명성의 문제로 남는다”고 지적했다. “보상안·과징금 가능성…단기 비용 불가피” 글로벌 투자은행 JP모건은 이번 사태와 관련해 “쿠팡이 경쟁자가 없는 시장 지위를 지니고 있어 고객 이탈은 제한적일 것”이라고 진단했다. 그러나 “자발적 보상 패키지 제공 가능성과 정부의 과징금 부과 여부에 따라 상당한 일회성 손실이 발생할 수 있다”고 내다봤다. 앞서 SK텔레콤이 대규모 해킹 이후 요금 감면과 무료 데이터 제공 등 수천억 원대 보상안을 내놓은 전례를 감안하면 쿠팡 역시 멤버십 연장이나 무료 쿠폰 제공 등 소비자 대상 보상안을 마련할 가능성이 크다. 업계에서는 쿠팡이 평판 회복을 위해 올해 4분기 또는 내년 초 일정 규모의 보상 비용을 반영할 것이라는 전망도 제기된다. 전문가들은 “단기 손실보다 중요한 것은 투명한 보상 절차와 내부 통제 강화”라며 “소비자 신뢰 회복이 쿠팡의 향후 시장 평가를 좌우할 것”이라고 입을 모았다.

이용자 3370만여명의 개인정보 유출 사고가 발생한 쿠팡이 홈페이지와 애플리케이션에 올린 사과문을 이틀 만에 내리고 쿠팡이츠 등 자사의 서비스를 홍보해 빈축을 사고 있다. 당국은 애초 고객 안내문에 ‘개인정보 노출’이라는 문구를 사용한 쿠팡에 ‘유출’로 수정해 다시 통보하라고 요구했다. 3일 업계에 따르면 쿠팡 홈페이지와 앱에는 지난 30일 게시된 개인정보 유출 관련 사과문이 사라진 상태다. 기자가 쿠팡 앱에 접속해보니 사과문이 게시돼 있던 자리에는 쿠팡의 음식 배달 서비스 ‘쿠팡이츠’를 홍보하는 배너가 노출됐다. 사과문은 게시된 지 이틀 만인 전날 내려간 것으로 알려졌다. 쿠팡 앱에는 전날 같은 자리에 로켓배송을 홍보하는 배너를 내걸었다. 쿠팡의 이 같은 행태는 전날 국회에서 뭇매를 맞았다. 국회 과학기술정보방송통신위원회 긴급 현안질의에서 한준호 더불어민주당 의원은 박대준 쿠팡 대표에게 “하루 사이에 사과문을 없애버렸다”면서 “수천만 명이 불안에 떨고 있는데 장사 좀 더 하겠다고 이렇게 하고 있다”라고 질타했다. 황정아 민주당 의원도 “사과문이 잠깐 있다 사라진 것인가?”라며 “잘 보이는 데 있어야 하는 것 아니냐”라고 추궁했다. 질타가 쏟아지자 박 대표는 “저 사과문 내용만으로는 부족하고 2차 피해를 우려하시는 분들이 있어 별도 이메일 공지로 상세한 내용을 전달하기 위해 준비 중”이라고 답했다. 한편 개인정보보호위원회는 쿠팡에 유출 항목을 빠짐없이 반영하고 개인정보 ‘노출’을 ‘유출’로 수정해 안내문을 다시 통지하라고 이날 요구했다. 개인정보위는 이날 긴급 전체회의를 열고 쿠팡이 이 같은 내용을 포함한 조치를 즉각 실시할 것을 심의·의결했다고 밝혔다. 앞서 쿠팡은 이용자들에게 개인정보 유출 사실을 안내하면서도 안내문에 ‘유출’이 아닌 ‘노출’이라는 표현을 썼다. 또한 안내문에는 이용자의 이름과 주소, 전화번호, 주문 내역이 유출됐다고 밝혔지만 이후 배송 주소록에 입력한 공동현관 비밀번호도 일부 유출된 사실을 뒤늦게 밝혔다. 개인정보위는 “국민 대다수가 이용하는 이커머스 서비스에서 발생한 유출 사고임에도, 정보주체가 취할 수 있는 피해 예방 조치 안내가 충분하지 않았다”라면서 “쿠팡의 자체 대응과 피해 구제 절차도 미흡해 국민 우려가 커졌다”라고 지적했다. 또한 이용자 한 명이 따로 사는 가족이나 선물할 지인들의 주소를 등록해놓은 경우 이들의 정보가 통째로 유출될 수 있다는 점을 고려해 쿠팡 측에 배송지 명단에 포함돼 정보 유출 피해를 본 사람들에게도 유출 사실을 통보하라고 요구했다. 개인정보위는 홈페이지 초기 화면이나 팝업창을 통해 일정 기간 이상 유출 내용을 공지하고, 공동현관 비밀번호 변경이나 쿠팡 계정 비밀번호 변경 등 피해를 예방하기 위한 요령을 적극 안내하라고 주문했다.

쿠팡의 퇴사한 직원이 회원 3370만명의 개인정보를 유출해 정보 보안에 비상이 걸린 가운데, 이번에는 지마켓에서 일부 회원들이 ‘무단 결제’ 피해를 입은 사실이 드러났다. 3일 유통업계에 따르면 지마켓 회원 60여명은 지난달 29일 이 같은 내용의 피해 사실을 금융감독원에 신고했다. 피해자들은 지마켓의 간편결제서비스인 ‘스마일페이’에 등록된 개인정보를 도용당해 기프트 상품권이 무단 결제된 것으로 알려졌다. 피해 금액은 1인당 3만원에서 20만원 수준이다. 지마켓 측은 “해킹이 아닌 명의 도용 사고로 추정된다”라고 설명했다. 외부 공격자가 취득한 이용자들의 계정과 아이디, 비밀번호, 스마일페이 비밀번호 등을 도용해 무단 결제한 것으로 보인다는 설명이다. 지마켓은 지난 1일 금감원에 문의한 뒤 이튿날 정식 신고했다. 이어 전날 홈페이지에 ‘개인정보 보호 강화 대책’을 공지하고 ▲로그인 비밀번호 변경 ▲로그인 2단계 인증 ▲보안 알림 기능 사용 등을 권장했다. 또 기프트 상품권 등 환금성 상품을 구매하는 회원에 대해 본인 인증을 강화했다고 덧붙였다. 금융당국은 지마켓에 대해 긴급 현장점검에 나섰다. 금감원 관계자는 “업체 측은 해킹이 아니라 외부에서 탈취된 계정 정보로 부정 결제가 이뤄졌다고 주장하고 있어 실제 사실관계를 확인하려고 한다”라면서 “피해자 보상이 제대로 진행되는지도 점검할 것”이라고 설명했다.

3370만여명의 개인정보가 유출된 쿠팡의 주요 임원이 정보침해 사건이 발생한 시점 이후 쿠팡 보유 주식 수십억원대를 내다 판 것으로 확인됐다. 2일(현지시간) 미 증권거래위원회(SEC) 공시에 따르면 거랍 아난드 쿠팡 최고재무책임자(CFO)는 지난달 10일 자신이 쿠팡Inc 주식 7만 5350주를 주당 29.0195달러에 매도했다고 신고했다. 매도 가액은 약 218만 6000달러(약 32억원)에 달한다. 프라남 콜라리 전 부사장도 지난달 17일 쿠팡 주식 2만 7388주를 매도했다고 신고했다. 매각 가액은 77만 2000달러(약 11억 3000만원)로 신고했다. 콜라리 전 부사장은 검색 및 추천 부문을 총괄하던 핵심 기술담당 임원이었다. 그는 지난달 14일 사임했다. 아난드 CFO와 콜라리 전 부사장의 쿠팡 주식 매도 시점은 쿠팡이 개인정보 유출 침해사고 발생 사실을 인지했다고 밝힌 시점 이전이다. 회사가 정보침해 사고를 인지했다고 밝힌 시점보다 앞서서 이뤄진 거래이긴 하지만, 민감한 시점에 발생한 전현직 핵심 임원의 주식 처분은 ‘내부자 거래’ 논란을 부를 수 있는 대목이다. 쿠팡은 고객 계정 약 3370만개 정보가 유출됐다고 지난 27일 발표했다. 유출된 정보는 고객의 이름과 이메일, 전화번호, 공동현관 비밀번호 정보가 포함된 주소, 일부 주문정보 등이었다. 쿠팡이 관계당국에 피해 사실을 최초로 신고한 것은 지난달 18일이었다. 당시 쿠팡이 파악한 개인정보 유출 규모는 4500여명이었다. 과학기술정보방송통신위원장 최민희 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 침해사고 신고서에 따르면 쿠팡은 한국시간 지난달 6일 오후 6시 38분 자사 계정 정보에 대한 무단 접근이 발생했다고 보고했다. 그러나 침해 사실을 인지한 시점은 12일이 지난 11월 18일 오후 10시 52분으로 기록됐다.

쿠팡 개인정보 유출 사태 이후 온라인에는 10여개의 ‘집단소송 카페’가 만들어졌다. 규모만 보면 국민 절반이 잠재적 피해자인 만큼 스스로 법적 대응에 나서는 흐름은 자연스럽다. 그런데 이 현상은 자본주의가 부작용을 교정해 온 역사적 메커니즘과 맞닿아 있다. 집단 손해배상 소송(class action)은 수백만 소비자의 권익을 개별 소송으로는 보호할 수 없다는 문제의식에서 시작됐다. 1938년 미국 연방민사소송규칙에서 처음 체계화됐고, 1966년 개정을 통해 현대적 형태로 자리잡았다. 대형 금융사기부터 자동차 결함, 약품 부작용, 개인정보 유출까지. 기업의 온갖 구조적 위험에 맞선 ‘집단적 대응권’이 시민의 무기로 편입된 것이다. 자본주의의 성장을 견인한 역설적 장치이기도 하다. 기업의 탐욕을 억제하는 사회적 브레이크가 시장 신뢰를 지탱하고, 그 신뢰가 다시 경제성장의 기반이 되기 때문이다. 1990년대 미국 담배 소송은 담배 회사를 법정에 세운 중대한 사건이자 소비자 안전기준과 공중보건 체계를 한 단계 끌어올린 계기였다. 코카콜라의 성분 표시 강화, 포드·GM의 리콜 체계 정비, 글로벌 정보기술(IT) 기업들의 개인정보 보호 장치 확립도 대부분 거대한 집단소송 이후에야 가능했다. 강력한 사후 규율이 선제적 안전 투자로 이어지는 구조를 다졌다. 국내 집단소송은 2005년 증권 분야에 한정된 법 제정으로 겨우 첫발을 뗐다. 최근 10년간 금융·제조·플랫폼 분야의 집단소송이 빠르게 늘었다. 그러나 여전히 ‘특정 분야’에 국한돼 있고, 징벌적 손해배상도 미국에 비해 제한적이다. 사고가 터질 때마다 “왜 미리 못 막았느냐”는 질문이 반복되는 이유다. 집단소송은 기업을 처벌하려는 장치가 아니다. 투명성과 책임성을 통해 자본주의의 장기적 생존을 돕는 안전벨트다. 쿠팡 사태가 남긴 경고음을 일시적 분노로 흘려보낼 일이 아니다. 우리도 이 안전벨트를 제대로 갖춰 매야 할 때다.

SK텔레콤과 롯데카드, KT에 이어 쿠팡까지 지난 7개월간 해킹 등으로 통신사, 카드사, 온라인 유통 플랫폼 등 곳곳이 뚫렸다. 이 과정에서 새 나간 개인정보가 6300만건을 넘었다. 전 국민 수보다 많은 개인정보가 줄줄 새면서 언제 어디서라도 악용될 수 있는 2차 피해가 우려된다. 몸집 불리기에 급급한 기업의 안보 불감증이 근본 배경이지만 정부와 국회도 뒷짐만 졌던 책임을 피할 수 없다. 정부는 어제 국회에서 열린 쿠팡 개인정보 유출 사고 현안 질의에서 로그 분석 결과 3000만개 이상 계정의 공격 기간이 지난 6월 24일부터 11월 8일까지라고 밝혔다. 5개월 전부터 벌어진 유출을 기업도 정부도 까맣게 모르다가 고객 신고로 알게 됐다니 아무리 생각해도 황당하다. 정부는 스미싱 등 2차 피해 우려가 있어 모니터링을 강화하겠다고 했지만, 뒷북 대응이라는 비판이 나올 수밖에 없다. 이날 질의에서 “전자상거래법상 통신 판매로 재산상 손해가 났을 경우 영업정지를 할 수 있는데, 영업정지 가능 여부를 체크해 봤느냐”는 의원 질문에 정부는 “관계 기관과 협의하겠다”고만 했다. SK텔레콤 사태부터 관련 법·제도적 미비점과 솜방망이 처벌 등이 도마에 올랐으나 여전히 제자리걸음인 것이다. 2300만여명의 개인정보가 털린 SK텔레콤도 1348억원 수준의 과징금 부과에 그쳤다. SK텔레콤 사태 이후 신속한 공지와 조사, 과징금·과태료 강화 등을 담은 개인정보보호법 개정안은 22차례나 발의됐다. 그래 놓고 상임위 심사 단계에서 번번이 중단됐다. 국회와 정부가 말로만 보안 강화를 외치고 실제로는 손을 놓았던 것이다. 이재명 대통령은 어제 “관계 부처는 해외 사례를 참고해 과징금을 강화하고 징벌적 손해배상 제도를 현실화하는 등의 대책에 나서 달라”고 지시했다. 개인정보 유출 사고가 발생하면 기업이 문을 닫는 수준으로 책임을 물어야 한다. 개인정보 탈취 문제가 ‘국가적 재난’이 되고 있다. 보안 법안의 총체적 재점검에 나서야 한다.

2차 피해 막는 사전통지안 등 22건국회 정무위 심사 문턱도 못 넘어강제력 없는 민관조사단도 한계과방위 출석한 쿠팡 대표 “제 책임” 쿠팡 고객 3370만명의 개인정보 유출은 몸집만 키우고 보안은 뒷전인 기업, 법 개정 등 제도 개선에 손을 놓고 있었던 국회와 정부가 만들어 낸 예견된 사태라는 목소리가 커지고 있다. 지난 4월 SK텔레콤(SKT) 유심(USIM·가입자 식별 모듈) 정보 유출 사태 이후 7개월이 넘도록 개인정보보호법 개정안은 단 한 건도 국회 문턱을 넘지 못했다. 소비자 불만이 폭발할 때 일시적으로 법안 발의가 이뤄지고 정작 실질적인 법 개정으로는 이어지지 않은 셈이다. 그 결과 개인정보 유출 이후 기업의 신속한 대응, 강제성 있는 조사, 처벌 강화 등은 여전히 기대하기 어려운 상황이다. 2일 서울신문 취재를 종합하면 SKT 해킹 사태가 발생한 4월부터 이날까지 7개월 동안 발의된 개인정보보호법 개정안은 총 22건이지만 모두 소관 상임위원회인 국회 정무위원회 심사 단계 문턱도 넘지 못했다. 발의된 의안 중 유출된 개인정보가 누구 것인지 특정할 수 없을 때 모든 정보 주체에게 신속하게 법정 통지 사항을 알리는 내용이 8건에 달한다. 하지만 법안 통과가 늦어지면서 이번 쿠팡 사태에서도 뒤늦게 안내를 받는 사례가 속출하고 있다. 곽진 아주대 사이버보안학과 교수는 “소비자가 스미싱 등 2차 범죄에 대응하려면 정보 유출 여부를 사전에 아는 것이 매우 중요하다”고 말했다. 민관합동조사단의 조사도 사실상 강제력이 없다는 지적이 이어졌으나 이 부분 역시 개선되지 않고 있다. 국회입법조사처는 지난 5월 ‘통신사 해킹 사고 사후대응의 문제점과 입법과제’를 통해 “사업자가 자료 제출을 거부해도 제재는 1000만원 이하 과태료 부과에 그친다. 이를 상향하거나 이행강제금을 부과해 조사 강제력을 강화해야 한다”고 지적했다. 개인정보 유출 관련 제도 개선이 이뤄지지 않는 건 ‘보안=비용’으로 보는 인식이 크기 때문이다. 한국인터넷기업협회도 관련 법 개정에 대해 정무위에 “신중한 검토가 필요하다”는 의견을 제출했다. 김명주 서울여대 지능정보보호학부 교수는 “기업 입장에서는 개인정보 보호 관련 규제가 ‘비용’이기 때문에 의견 협의가 이뤄지지 않고 있다”고 말했다. 황석진 동국대 국제정보보호대학원 교수는 “여야는 관련 법안을 민생 법안으로 보고 서둘러 제정해야 한다”고 건의했다. 박대준 쿠팡 대표는 이날 국회 과학기술정보방송통신위원회 긴급 현안질의에서 ‘김범석 쿠팡 의장이 사과할 의향은 없느냐’는 이훈기 더불어민주당 의원의 물음에 “제가 현재 이 사건에 대해 전체 책임을 지고 있다. 한국 법인 대표로서 사태를 해결하겠다”고 답했다. 배경훈 부총리 겸 과학기술정보통신부 장관은 김 의장을 겨냥해 “대다수 국민이 불안해하는 만큼 해당 기업의 최고책임자가 입장을 명확히 밝히는 게 필요할 것 같다”고 말했다. 아울러 금융감독원은 쿠팡의 결제 자회사 쿠팡페이에 대해 일주일간 현장 조사에 착수했다. 한편 민관합동조사단을 꾸리고 쿠팡의 개인정보 유출 사고 조사에 나선 과기정통부는 현안질의에서 “식별된 공격 기간은 지난 6월 24일부터 11월 8일까지”라고 공식 발표했다. 총 138일간이다.

올해 보안 관련 대형 사고가 잇달아 발생한 가운데 유통·플랫폼 기업들의 정보보호 투자가 미흡하다는 지적이 나온다. 쿠팡의 경우 정보보호에 연간 890억원을 투자했지만 보안 관련 기본 원칙도 지켜지지 않은 것으로 드러나면서 다른 플랫폼 기업들에 대해서도 점검이 필요하다는 목소리가 높다. 2일 한국인터넷진흥원(KISA) 정보보호 공시 현황을 보면 올해 쿠팡의 정보기술(IT) 투자(1조 9171억원) 대비 정보보호 투자(890억원) 비율은 4.6%였다. 이는 관련 공시가 처음 시작된 2022년(7.1%)보다 2.5% 포인트 낮을 것일 뿐 아니라 정보보호 현황을 공시하는 773개 기업의 평균(6.3%)에도 못 미치는 수준이다. 최근에는 대부분의 유통업체가 온라인 플랫폼을 활용해 영업하고 있지만 보안 투자 비중은 평균치를 밑돌았다. 신세계(5.6%), SSG닷컴(4.6%), CJ올리브영(4.3%), 현대백화점(4.1%), GS리테일(4.1%), 롯데쇼핑(4.0%), 이마트(4.0%) 등 유통업체 대부분이 기술 투자 대비 정보보호 투자 비중이 낮았다. 특히 정보보호와 관련한 실제 투자액이나 인력이 쿠팡이 온라인상거래(이커머스) 업계 중 가장 많다는 점을 고려하면 다른 업체들도 안심할 수 없는 상황이다. 쿠팡(890억원, 211.6명) 다음으로 많은 곳이 롯데쇼핑(72억원, 32.4명), 이마트(61억원, 21.8명) 수준으로 현격한 차이가 났다. 최근 커머스 부문을 확대하고 있는 네이버(552억원, 130.8명)와 카카오(313억원, 91.3명) 같은 IT 기업의 경우에도 정보보호 투자액 자체는 적지 않았지만 기술 투자와 비교하면 각각 4.3%, 2.9%에 그쳤다. 전문가들은 예산과 인력의 문제를 넘어 기본적인 보안 원칙과 사고 발생 시 대응 체계를 점검할 때라고 강조했다. 염흥열 순천향대 정보보호학과 교수는 “그동안 쿠팡의 개인정보 보호 수준이 높은 것으로 알려졌지만 정작 내부자의 부정행위나 불법행위를 탐지하는 기본 원칙이나 체계는 매우 허술했다”며 “이상 징후 발생 시 이를 단계별로 탐지해 최종 유출되기 전 막는 대책이 필요하다”고 말했다.

3370만명 규모의 역대 최대 개인정보 유출이 발생한 쿠팡과 관련해 허술한 보안 관리 체계는 물론 본사를 미국에 두고 한국에서 사업하는 기형적인 지배구조에 대한 비판이 커지고 있다. 막대한 수익은 한국에서 얻고, 정작 책임질 일에는 미국 기업처럼 행세한다는 것이다. 쿠팡은 모기업인 ‘쿠팡Inc’가 미국 뉴욕증시에 상장한 미국 기업이지만 90% 이상의 매출이 한국에서 나온다. 자회사는 한국에서 사업하는 쿠팡과 쿠팡페이, 쿠팡풀필먼트서비스, 쿠팡로지스틱스서비스 등이다. 美에 본사 있는 기형적 지배구조‘유출’ 아닌 ‘무단 접근’ 표현 논란사과문 이틀 만에 홈피서 사라져美 SEC에 보안사고 공시도 안 해대외 메시지도 미국 본사의 승인 없이는 나오지 않는 구조다. 개인정보 유출 사고 이후 쿠팡의 사과문에 ‘개인정보 유출’이 아니라 “고객 계정에 ‘무단 접근’이 이뤄졌다”는 등 국내 소비자 정서와 맞지 않는 표현이 담긴 이유로 지목된다. 2일 국회 과학기술정보방송통신위원회가 연 쿠팡 개인정보 유출 사고 관련 긴급 현안 질의에서 이훈기 더불어민주당 의원이 ‘왜 (소비자 안내문에) 유출이 아니라 노출이라는 표현을 썼느냐’고 묻자 박대준 쿠팡 대표는 “생각이 부족했던 것 같다. 유출이 맞다”고 인정했다. 심지어 쿠팡은 이날 쿠팡 홈페이지와 애플리케이션 첫 화면에 띄웠던 사과문을 이틀 만에 내려 빈축을 샀다. 최악의 개인정보 유출 사고에도 두문불출하고 있는 창업자 김범석 쿠팡Inc 의장에 대한 비판도 거세지고 있다. 김 의장은 사고 이후 어떤 메시지도 내놓지 않았다. 이날 국회 현안 질의에도 김 의장이 아닌 박 대표가 출석했다. 위원들은 김 의장이 직접 사과할 의향은 없는지 물었으나 박 대표는 “한국 법인에서 벌어진 일이고, 제 책임 하에 벌어져 제가 사과 말씀을 드린다”고만 답했다. 미국 국적인 김 의장은 현재 한국에 없는 것으로 알려졌다. 美국적의 창업자 김범석 의장2021년부터 한국법인 관여 안 해올 상반기 의결권 행사 비중 74%미국인 이유로 각종 책임 벗어나김 의장은 2021년 쿠팡 한국법인 이사회 의장과 등기이사직에서 물러나며 한국 사업에 직접적으로 관여하지 않고 있다. 김 의장은 쿠팡Inc 지분 8.8%를 보유 중이나 이는 주당 29배의 차등의결권을 지닌 클래스B 주식이어서 행사 가능 의결권은 올해 상반기 기준으로 74.3%나 된다. 김 의장은 매 분기 실적 발표 때도 콘퍼런스 콜에 직접 나서 성과와 투자 계획을 설명한다. 김 의장은 매년 국정감사 때마다 단골로 출석 요구가 빗발치지만 한 번도 나오지 않았다. 지난 1월 국회 환경노동위원회 청문회에도 도널드 트럼프 미국 대통령 취임식 참석을 이유로 불출석했다. 미국 국적을 이유로 공정거래위원회의 공시대상기업집단 동일인(총수) 지정도 피했다. 이후 외국 국적자도 동일인으로 지정할 수 있게 됐지만 김 의장은 국내 법인 지분이 없고 친족이 경영에 참여하지 않는다는 이유로 동일인 지정 예외로 취급됐고, 그 결과 사익 편취 금지와 친인척 자료 제출 등 각종 의무에서 벗어났다. 김 의장은 지난해 세금 등을 낸다며 보유 중이던 클래스B 보통주를 클래스A 보통주 1500만주로 전환해 처분하면서 4846억원을 현금화했다. 보유 주식 200만주(약 672억원)는 미국 내 자선기금에 기부했다. 돈은 한국에서 벌고 기부는 미국에 했다는 비판도 쏟아졌다. 金의장 최악 사고에도 두문불출작년 주식 처분 4900억원 현금화美 자선기금에 지분 200만주 기부주가 전 거래일 대비 5.36% 급락쿠팡은 2012년 유통산업발전법이 대형마트의 새벽배송 사업에 제동을 건 틈을 타 물류 인프라에 수조원을 쏟아부으며 국내 유통업계 1위 기업으로 성장했다. ‘유통 공룡’임에도 허술한 개인정보 관리 실태뿐 아니라 물류센터 노동자와 택배기사의 연이은 사망 사고, 검색 순위 조작으로 인한 과징금 처분 등으로 이미 수많은 구설에 올랐다. 한국이 아닌 미국 뉴욕거래소에 상장한 쿠팡Inc의 주가는 개인정보 유출 사실이 공개된 후 첫 거래일이던 지난 1일(현지시간)에 전 거래일 대비 5.36% 급락한 26.65달러에 장을 마쳤다. 지난달 5일 이후 한 달 만에 가장 큰 낙폭이다. 월가가 쿠팡의 허술한 위기 관리 체계와 이로 인한 제재 영향을 부정적으로 해석한 셈이다. 미국 증권거래위원회(SEC)에는 중대한 사이버 보안 사고가 발생한 경우 4영업일 이내에 공시해야 한다는 규정이 있지만, 쿠팡은 아직 이번 사고를 공시하지 않아 향후 제재 가능성도 있다. JP모건은 이날 “쿠팡이 자체 보상 프로그램을 마련해야 하고, 한국 정부의 과징금 부과 가능성이 있어 단기 투자 심리에 부담이 될 수 있다”면서도 “사실상 경쟁자가 없는 쿠팡의 시장 지위와 한국 소비자들의 데이터 유출 이슈에 대한 민감도를 고려하면 소비자 이탈 폭은 크지 않을 것”이라고 전했다.

쿠팡 사태로 기업들의 허술한 보안 관리가 도마 위에 오른 가운데 정부가 주요 기업을 대상으로 개인정보 보호 실태를 정기 조사하는 방안을 추진 중인 것으로 2일 확인됐다. 매출액의 3%까지로 돼 있는 과징금 상향도 검토 중이다. 정부 관계자는 이날 “쿠팡 사태와 관련해 개인정보보호위원회(개보위)에서 대책을 담은 입법을 준비 중”이라며 “기업에 대해 정기 보안 조사를 할 수 있게 하고, 미국처럼 과징금 규모도 훨씬 높게 키우는 방향”이라고 밝혔다. 현행 개인정보보호법 제63조는 개보위가 기업의 실태를 점검한 뒤 위반 사항이 적발되면 과징금을 부과할 수 있도록 규정하고 있다. 하지만 그동안은 주로 사고 발생 후에야 조사가 이뤄져 한계가 있었다. 이에 앞으로는 특정 규모 이상 기업의 경우 발생한 문제가 없더라도 국세청의 정기 세무조사처럼 주기적으로 보안 조사를 실시해 사전에 사고를 예방하겠다는 것이다. 정기 조사 대상은 기업 매출액이나 자산 규모가 아니라 관리하는 ‘개인정보 데이터 규모’에 따라 결정될 것으로 전망된다. 다른 정부 관계자는 “가입자 수나 월평균 이용자 수(MAU) 등이 기준”이라고 설명했다. 제재 수위도 대폭 강화할 방침이다. 현재 매출액의 3% 또는 매출액 산정이 곤란한 경우 20억원으로 정해 둔 한도를 높이는 방향이 될 것으로 보인다. 정부는 일각에서 제기되는 미국 법인인 쿠팡 본사에 대한 조사 실효성 논란과 관련해선 “문제없다”는 입장을 재확인했다. 개보위 관계자는 “구글과 메타에 대해서도 이미 과징금 처분을 내린 바 있다”며 “국내 이용자를 대상으로 영업한다면 미국 법인이라도 우리 법의 적용을 받는다”고 강조했다.

온라인 전자상거래 업체 G마켓에서 고객 60여명의 계정이 도용돼 무단 결제가 이뤄지는 사고가 일어나 금융감독원에 신고한 것으로 확인됐다. 2일 유통업계에 따르면 지난달 29일 “내가 구매한 적 없는 모바일 상품권이 결제됐다”며 G마켓에 결제 취소를 요청하는 문의가 접수됐다. 외부 공격자가 무단으로 계정에 등록된 간편 결제서비스인 ‘스마일페이’를 통해 기프트 상품권(금액 상품권)이 결제된 것으로 추정된다. 1인당 피해 금액은 3만원에서 20만원 수준이다. G마켓은 “내부 점검 결과 시스템 해킹 흔적은 없었다”며 “외부에서 탈취한 정보를 갖고 로그인을 해 결제를 한 것으로 파악했다”고 밝혔다. 피해 금액이 인당 100만원 이하라 법적으로 신고 대상은 아니다. 다만 최근 쿠팡의 대규모 개인정보 유출 사고가 일어난 점을 고려해 소비자 경각심이 높아진 만큼 2일 정식으로 금융 당국에 신고했다고 밝혔다. G마켓은 이날 홈페이지 공지사항에 ‘개인정보 보호 강화 대책’이란 공지를 올리고 로그인 비밀번호 변경, 로그인 2단계 인증, 보안 알림 기능 사용 권장 등을 안내했다. 기프트 상품권 등 환금성 상품 구매 시에 회원 본인 확인을 강화한다는 방침이다.

쿠팡 고객 3370만 명의 개인정보가 유출되면서 파장이 일고 있는 가운데, 주문한 적 없는 택배가 중국에서 배송됐다는 사례가 심심치 않게 나오고 있다. 최근 엑스(X)에는 “여자 혼자 사는 집인데 시킨 적 없는 택배가 중국에서 온다. 택배에는 내 이름과 전화번호, 주소가 기입돼 있었다”, “택배를 발송한 사람의 번호가 중국 번호라 보낸 사람한테 연락을 할 수도 없다” 등의 글이 올라왔다. 해당 글 작성자는 자신의 사례를 공개하며 개인통관고유부호를 재발급 받으라고 권했다. 개인통관고유부호는 해외직구 시 세관 통관 절차에서 개인을 식별하기 위해 사용되는 번호다. 해당 게시물은 쿠팡 개인 정보 유출 사태와 맞물리면서 큰 주목을 받았다. 쿠팡에서 해외 직구 서비스를 이용할 때 반드시 개인통관고유번호를 입력해야 하는데, 개인 정보가 유출되면서 개인통관고유번호도 함께 유출됐을 가능성이 제기됐기 때문이다. 쿠팡 정보 유출 사고의 2차 피해를 우려한 일부 시민들이 개인통관고유부호를 바꾸려 관세청 전자통관시스템(유니패스)으로 몰려들면서 홈페이지가 일시 먹통이 되기도 했다. 2일 오후 3시 기준 관세청 유니패스 홈페이지는 접속 지연 상태가 지속됐다. 이는 전날 오전 9시 15분부터 시작된 접속 지연 사태가 이어진 것이다. 국회 과학기술정보방송통신위원회의 쿠팡 현안 질의가 진행되던 정오 경에는 트래픽이 더욱 폭주해 홈페이지가 일시 먹통이 됐다. 관세청은 홈페이지 공지를 통해 “현재 유니패스 이용량 증가 및 서버 처리 지연으로 인해 일부 서비스 이용이 원활하지 않을 수 있다”면서 “서비스는 안정화 작업 진행 중”이라고 안내했다. 2일 오후 5시 30분 기준, 유니패스 홈페이지는 아예 열리지 않거나 페이지가 열릴 때마다 상당한 로딩이 걸리는 상태다. 쿠팡 사태의 2차 피해를 우려하는 사람들 사이에서는 개인통관고유번호와 이미 유출된 개인 정보로 인해 스미싱 등에 노출되고 최악의 경우 밀수품 수입에 개인 명의가 도용될 수 있다는 우려까지 퍼지는 상황이다. 전문가들은 2차 피해를 막기 위해 쿠팡에서 결제 정보를 삭제하고 로그인 비밀번호를 바꾸는 등 조치를 해야 한다고 조언한다. 쿠팡은 이중 카드 결제 번호나 개인통관고유번호 등은 유출되지 않았다고 밝혔지만 아직 조사가 진행 중인 만큼 쿠팡 측 주장을 모두 신뢰하기는 어려운 상황이다. 비번 변경 공지 권유에 쿠팡이 내놓은 답변개인정보 도용과 보이스피싱, 스미싱 등을 통한 2차 피해가 우려되는 상황에서 쿠팡은 여전히 사태를 축소하는 데 급급한 모양새다. 2일 국회 과학기술정보방송통신위원회의 쿠팡 현안 질의에 참석한 김승주 고려대 정보보호대학원 교수는 “피해가 확산될 수 있어 쿠팡에 결제용 카드를 등록했다면 삭제해야 하고, 해당 (신용·체크) 카드의 비밀번호를 바꿀 수 있다면 바꾸는 것이 좋다”면서 “쿠팡 로그인 비밀번호도 바꾸면 좋다”고 말했다. 이후 과방위원장인 최민희 더불어민주당 의원이 쿠팡 측에 김 교수가 당부한 조치 3가지를 공지하라고 권고하자, 박대준 쿠팡 대표는 “(김 교수가 말한) 정보가 노출됐다고 확인된 바는 아직 없고, 너무 과잉해서 안내할 경우 불안감을 조성하게 된다”며 사실상 거절했다. 한편 관세청은 2026년부터 개인통관고유부호를 1년에 한 번씩 갱신하도록 하고, 도용이 의심될 경우 관세청이 직권으로 사용을 정지할 수 있도록 정했다.

3370만명 규모의 역대 최대 개인정보 유출이 발생한 쿠팡과 관련해 허술한 보안 관리 체계는 물론 본사를 미국에 두고 한국에서 사업하는 기형적인 지배구조에 대한 비판이 커지고 있다. 막대한 수익은 한국에서 얻고, 정작 책임질 일에는 미국 기업처럼 행세한다는 것이다. 쿠팡은 모기업인 ‘쿠팡Inc’가 미국 뉴욕증시에 상장한 미국 기업이지만 90% 이상의 매출이 한국에서 나온다. 자회사는 한국에서 사업하는 쿠팡과 쿠팡페이, 쿠팡풀필먼트서비스, 쿠팡로지스틱스서비스 등이다. 대외 메시지도 미국 본사의 승인 없이는 나오지 않는 구조다. 개인정보 유출 사고 이후 쿠팡의 사과문에 ‘개인정보 유출’이 아니라 “고객 계정에 ‘무단 접근’이 이뤄졌다”는 등 국내 소비자 정서와 맞지 않는 표현이 담긴 이유로 지목된다. 2일 국회 과학기술정보방송통신위원회가 연 쿠팡 개인정보 유출 사고 관련 긴급 현안 질의에서 이훈기 더불어민주당 의원이 ‘왜 (소비자 안내문에) 유출이 아니라 노출이라는 표현을 썼느냐’고 묻자 박대준 쿠팡 대표는 “생각이 부족했던 것 같다. 유출이 맞다”고 인정했다. 심지어 쿠팡은 이날 쿠팡 홈페이지와 애플리케이션 첫 화면에 띄웠던 사과문을 이틀 만에 내려 빈축을 샀다. 최악의 개인정보 유출 사고에도 두문불출하고 있는 창업자 김범석 쿠팡Inc 의장에 대한 비판도 거세지고 있다. 김 의장은 사고 이후 어떤 메시지도 내놓지 않았다. 이날 국회 현안 질의에도 김 의장이 아닌 박 대표가 출석했다. 위원들은 김 의장이 직접 사과할 의향은 없는지 물었으나 박 대표는 “한국 법인에서 벌어진 일이고, 제 책임 하에 벌어져 제가 사과 말씀을 드린다”고만 답했다. 미국 국적인 김 의장은 현재 한국에 없는 것으로 알려졌다. 김 의장은 2021년 쿠팡 한국법인 이사회 의장과 등기이사직에서 물러나며 한국 사업에 직접적으로 관여하지 않고 있다. 김 의장은 쿠팡Inc 지분 8.8%를 보유 중이나 이는 주당 29배의 차등의결권을 지닌 클래스B 주식이어서 행사 가능 의결권은 올해 상반기 기준으로 74.3%나 된다. 김 의장은 매 분기 실적 발표 때도 콘퍼런스 콜에 직접 나서 성과와 투자 계획을 설명한다. 김 의장은 매년 국정감사 때마다 단골로 출석 요구가 빗발치지만 한 번도 나오지 않았다. 지난 1월 국회 환경노동위원회 청문회에도 도널드 트럼프 미국 대통령 취임식 참석을 이유로 불출석했다. 미국 국적을 이유로 공정거래위원회의 공시대상기업집단 동일인(총수) 지정도 피했다. 이후 외국 국적자도 동일인으로 지정할 수 있게 됐지만 김 의장은 국내 법인 지분이 없고 친족이 경영에 참여하지 않는다는 이유로 동일인 지정 예외로 취급됐고, 그 결과 사익 편취 금지와 친인척 자료 제출 등 각종 의무에서 벗어났다. 김 의장은 지난해 세금 등을 낸다며 보유 중이던 클래스B 보통주를 클래스A 보통주 1500만주로 전환해 처분하면서 4846억원을 현금화했다. 보유 주식 200만주(약 672억원)는 미국 내 자선기금에 기부했다. 돈은 한국에서 벌고 기부는 미국에 했다는 비판도 쏟아졌다. 쿠팡은 2012년 유통산업발전법이 대형마트의 새벽배송 사업에 제동을 건 틈을 타 물류 인프라에 수조원을 쏟아부으며 국내 유통업계 1위 기업으로 성장했다. ‘유통 공룡’임에도 허술한 개인정보 관리 실태뿐 아니라 물류센터 노동자와 택배기사의 연이은 사망 사고, 검색 순위 조작으로 인한 과징금 처분 등으로 이미 수많은 구설에 올랐다. 한국이 아닌 미국 뉴욕거래소에 상장한 쿠팡Inc의 주가는 개인정보 유출 사실이 공개된 후 첫 거래일이던 지난 1일(현지시간)에 전 거래일 대비 5.36% 급락한 26.65달러에 장을 마쳤다. 지난달 5일 이후 한 달 만에 가장 큰 낙폭이다. 월가가 쿠팡의 허술한 위기 관리 체계와 이로 인한 제재 영향을 부정적으로 해석한 셈이다. 미국 증권거래위원회(SEC)에는 중대한 사이버 보안 사고가 발생한 경우 4영업일 이내에 공시해야 한다는 규정이 있지만, 쿠팡은 아직 이번 사고를 공시하지 않아 향후 제재 가능성도 있다. JP모건은 이날 “쿠팡이 자체 보상 프로그램을 마련해야 하고, 한국 정부의 과징금 부과 가능성이 있어 단기 투자 심리에 부담이 될 수 있다”면서도 “사실상 경쟁자가 없는 쿠팡의 시장 지위와 한국 소비자들의 데이터 유출 이슈에 대한 민감도를 고려하면 소비자 이탈 폭은 크지 않을 것”이라고 전했다.

쿠팡 고객 3370만명의 개인정보 유출은 몸집만 키우고 보안은 뒷전인 기업, 법 개정 등 제도 개선에 손 놓고 있었던 국회와 정부가 만들어낸 예견된 사태라는 목소리가 커지고 있다. 지난 4월 SK텔레콤(SKT) 유심(USIM·가입자 식별 모듈) 정보 유출 사태 이후 7개월이 넘도록 개인정보보호법 개정안은 단 한 건도 국회 문턱을 넘지 못했다. 소비자 불만이 폭발할 때 일시적으로 법안 발의가 이뤄지고, 정작 실질적인 법 개정으로 이어지지 않은 셈이다. 그 결과 개인정보 유출 이후 기업의 신속한 대응, 강제성 있는 조사, 처벌 강화 등은 여전히 기대하기 어려운 상황이다. 2일 서울신문 취재를 종합하면, SKT 해킹 사태가 발생한 4월부터 이날까지 7개월 동안 발의된 개인정보보호법 개정안은 모두 22건이지만, 모두 소관위원회인 정무위원회 심사 단계 문턱도 넘지 못했다. 발의된 의안 중 유출된 개인정보가 누구 것인지 특정할 수 없을 때 모든 정보주체에게 신속하게 법정 통지사항을 알리는 내용이 8건에 달한다. 하지만 법안 통과가 늦어지면서 이번 쿠팡 사태에서도 뒤늦게 안내를 받는 사례가 속출하고 있다. 곽진 아주대 사이버보안학과 교수는 “소비자가 스미싱 등 2차 범죄에 대응하려면 정보유출 여부를 사전에 아는 것이 매우 중요하다”고 말했다. 민관합동조사단의 조사도 사실상 강제력이 없다는 지적이 이어졌으나 이 부분 역시 개선되지 않고 있다. 국회입법조사처는 지난 5월 ‘통신사 해킹 사고 사후대응의 문제점과 입법과제’를 통해 “사업자가 자료 제출을 거부해도 제재는 1000만원 이하 과태료 부과에 그친다. 이를 상향하거나 이행강제금을 부과해 조사 강제력을 강화해야 한다”고 지적했다. 개인정보 유출 관련 제도 개선이 이뤄지지 않는 건 ‘보안=비용’으로 보는 인식이 커서다. 한국인터넷기업협회도 관련 법 개정에 대해 국회 정무위원회에 “신중한 검토가 필요하다”는 의견을 제출했다. 김명주 서울여대 지능정보보호학부 교수는 “기업 입장에서는 개인정보 보호 관련 규제가 ‘비용’이기 때문에 의견 협의가 이뤄지지 않고 있다”고 말했다. 황석진 동국대 국제정보보호대학원 교수는 “여야는 관련 법안을 민생 법안으로 보고 서둘러 제정해야 한다”고 건의했다. 박대준 쿠팡 대표는 이날 국회 과학기술정보방송통신위원회 긴급 현안질의에서 ‘김범석 쿠팡 의장이 사과할 의향은 없느냐’는 이훈기 더불어민주당 의원의 질의에 “제가 현재 이 사건에 대해 전체 책임을 지고 있다. 한국 법인 대표로서 사태를 해결하겠다”고 말했다. 한편 민관합동조사단을 꾸리고 쿠팡의 개인정보 유출 사고 조사에 나선 과학기술정보통신부는 현안질의에서 “식별된 공격 기간은 지난 6월 24일부터 11월 8일까지”라고 공식 발표했다. 총 138일 간이다. 류제명 과기정통부 2차관은 “3000만개 이상 계정의 개인 정보가 유출됐다”며 “KT 무단 소액결제 사고처럼 ‘관리 부실’이 이번 쿠팡 개인정보 유출 사고의 배경”이라고 밝혔다. 아울러 금융감독원은 쿠팡의 결제 자회사 쿠팡페이에 대해 일주일간 현장조사에 착수했다.

쿠팡의 퇴사한 중국인 직원이 회원 3370만명의 개인정보를 유출한 사고와 관련, 박대준 쿠팡 대표가 유출된 정보 중에 휴면 상태이거나 탈퇴한 회원의 정보도 포함됐을 수 있다고 2일 밝혔다. 박 대표는 이날 국회 과학기술정보방송통신위원회의 현안질의에서 휴면 및 탈퇴 회원의 정보가 유출됐을 가능성을 묻는 질문에 “일부 포함됐을 것이라고 생각한다”면서 이같이 말했다. 박 대표는 휴면 및 탈퇴 여부와 관련 없이 피해를 본 모든 회원들에게 개인정보 유출 사실을 안내했다고 설명했다. 다만 정보가 유출된 휴면 또는 탈퇴 회원이 몇 명인지를 묻는 질문에는 “정확히 세는 건 어렵다”고 답했다. 쿠팡에 따르면 이번 사고로 유출된 개인정보는 이용자들의 이름과 전화번호, 주소록에 입력한 배송지 주소, 주문 정보다. 비밀번호와 결제 카드 등 결제에 필요한 정보는 유출되지 않았다고 쿠팡은 설명했지만, 박 대표는 이용자들이 배송 주소록에 입력하는 공동현관 비밀번호도 일부 유출됐을 가능성이 있다고 시인했다. 이번 사태의 피해 규모는 지난해 SK텔레콤에서 발생한 해킹 사태(2300만명 피해)를 뛰어넘는다. SK텔레콤은 당시로는 역대 최대 규모인 1347억 9000만원의 과징금을 부과받았는데, 정치권에서는 쿠팡에 대해 1조원대의 과징금을 부과해야 한다는 주장이 나오고 있다. 황정아 더불어민주당 의원은 “(개인정보보호법에 따르면) 매출액의 3%, 1조 3000억원의 과징금을 물 수 있다고 한다”며 “개인정보보호위원회에서 과징금을 부과하면 소송전 없이 수용할 생각인가?”라고 물었다. 이에 박 대표는 “책임을 회피하고 싶은 생각이 없다”며 “책임이 있는 부분이 있다면 당연히 책임져야 된다고 생각한다”고 답했다.

12월 1일부터 모집…착수금 1인당 만 원 최근 쿠팡에서 3,370만 건에 달하는 고객 개인정보가 무단 유출된 사실이 드러난 가운데, 법률사무소 화음(대표변호사 정재권)이 쿠팡 개인정보유출 피해자 집단소송 접수를 시작했다고 밝혔다. 법률사무소 화음은 지난 12월 1일부터 쿠팡 개인정보 유출 사태와 관련해 쿠팡 측에 집단소송을 제기하기 위한 참여자를 모집하고 있다. 법률사무소 화음 정재권 변호사는 “이번 개인정보유출 사건은 외부의 해킹이 아닌 ‘내부 직원’에 의한 유출이므로 쿠팡의 책임이 보다 막중하다”라며 “유출된 정보에는 이름, 휴대전화 번호와 이메일 주소가 포함되어 있어 다른 웹사이트에 대입하는 크리덴셜 스터핑 공격 시도의 가능성이 있으며, 2차 추가 피해의 우려가 있다. 배송 지연을 사칭한 스미싱, 가족과 지인의 정보까지 유추되어 활용되는 등 사생활 침해 위험도 매우 높아 보인다”라고 전했다. 이어 “개인정보보호법에 따르면 정보주체는 법 위반 행위로 손해를 입으면 개인정보처리자에게 배상을 청구할 수 있고, 이 경우 사업자가 고의·과실이 없음을 입증하지 못하면 책임을 면할 수 없다. 과거 카드사 정보 유출, 인터파크 해킹 사건 등에서 법원은 기업의 과실이 인정될 경우 피해자 1인당 10~20만 원 내외의 위자료를 인정한 바 있다. 이번 사건은 주소지(거주지) 정보가 포함돼 스토킹, 보이스피싱 등 오프라인 범죄 악용 가능성이 크므로 더 높은 위자료가 인정될 여지가 있다. 집단 소송을 통해 효율적인 권리 구제와 유사 사태 재발 방지가 최선의 선택이 될 수 있다”라고 전했다. 실제로 해당 사건은 온라인에서도 움직임이 확산되고 있다. 개인정보 유출 사실이 공개된 지 이틀 만에 네이버에는 쿠팡 집단소송 관련 카페가 10여 곳 개설됐으며, 현재도 가입자 수가 빠르게 늘고 있다. 이번에 유출된 계정 정보가 3,370만 개에 달하는 만큼 개인정보 유출 관련 국내 단체 소송 가운데 최대 규모가 될 수 있다는 전망이 나온다. 앞서 법률사무소 화음은 SKT 유심정보 유출 피해자 단체소송을 3차까지 진행한 바 있다. 특히 화음 정재권 대표변호사는 과학기술정보통신부 고문변호사로 고도의 경험과 전문성을 바탕으로 소송을 진행해 나간다. 현재 법률사무소 화음에서 진행하는 쿠팡 개인정보유출 집단소송은 착수금 1만 원으로 참여할 수 있으며, 홈페이지 내 신청서 작성 등의 방법으로 신청자를 모집하고 있다. 배상금은 최소 10만 원에서 최대 30만 원 정도로 예상하고 있으며, 진행 과정에서 구체적 사실관계의 확정 및 증거 현출에 따라 청구금액을 확장하는 방식으로 진행할 예정이다. 정 변호사는 “과학기술정보통신부 고문 변호사로서의 경험을 통해 축적된 정보통신 관련 법률 및 정책에 대한 높은 이해도는 이번 소송을 성공적으로 이끄는 데 큰 강점이 될 것”이라며 “더 이상 혼자 고민하지 마시고, 저희와 함께 목소리를 내주시길 바란다”라고 밝혔다. 한편, 법률사무소 화음은 과학기술정보통신부(과기부) 고문 변호사로 위촉된 정재권 대표변호사를 포함해 IT 분야의 전문성을 지닌 변호사들로 구성된 로펌이다.

쿠팡의 퇴사한 직원이 이용자 3370만명의 개인정보를 유출한 사태와 관련, 유출된 개인정보에 이용자들의 공동현관 비밀번호도 일부 포함된 것으로 확인됐다. 2일 국회 과학기술정보방송통신위원회의 쿠팡 개인정보 유출사고 관련 긴급 현안질의에서 박대준 쿠팡 대표는 “공동현관 비밀번호도 유출됐느냐”는 질의에 “일부 포함된 것으로 알고 있다”고 답했다. 노종면 더불어민주당 의원이 “그런데 왜 통지문(안내 문자)에 그 내용이 없느냐”고 물었고, 박 대표는 “(개별 이용자들의 정보에) 모두 항상 들어있는 것은 아니다”라고 답했다. 이에 노 의원은 “공동현관 비밀번호가 (유출 범위에) 포함된 경우 그 내용이 안내 문자에 들어가야 이용자들이 대응을 할 수 있지 않느냐”고 따졌고, 박 대표는 “세심하게 신경쓰겠다”라며 고개를 숙였다. 앞서 쿠팡은 지난달 30일부터 개인정보 유출 피해를 본 이용자들에게 안내 문자를 보내 “노출된 정보는 고객님 이름, 이메일 주소, 배송지 주소록, 주문정보 일부”라고 설명했다. 그러나 아파트 등 공동주택에 거주하는 이용자들은 공동현관 비밀번호를 주소록에 입력해놓고 있어 ‘현관 앞’에 도달하는 정보까지 유출됐을 가능성이 제기돼왔다. 공동현관 비밀번호와 세대 현관 비밀번호를 동일하게 설정하는 경우도 적지 않아 이용자들은 불안에 떨고 있다. 박 대표는 개인정보 유출 용의자로 지목된 전직 중국 직원과 관련해 “인증 시스템을 개발하는 개발자였다”라고 밝혔다. 박 대표는 “여러 인원으로 구성된 개발팀이 여러 역할을 갖고 팀을 구성한다”면서 피의자의 규모에 대해 “단수나 복수라 단정할 수 없다”고 덧붙였다. 또 피의자는 훔친 서명키를 이용해 인증 토큰을 생성해 개인정보를 빼낸 것으로 드러났다. 브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 “피의자는 훔친 서명키를 사용해 실제로 키에 서명을 해 다른 사용자인 것처럼 가장했다”라고 설명했다.