KT는 해킹 사태 후속 조치로 실시 중인 전 가입자 대상 유심(USIM) 무상 교체 서비스를 전국 모든 지역으로 확대했다고 3일 밝혔다. 유심 교체는 대리점 방문 또는 택배 수령 방식으로 가능하며, 택배로 고객이 직접 교체하는 경우 신청 다음 날 도착하는 익일 배송을 제공한다. KT망을 이용하는 알뜰폰 고객도 전국에서 유심을 무상으로 교체받을 수 있다. 세부 절차는 각 알뜰폰 사업자 홈페이지 등을 통해 확인하면 된다. KT는 지난달 5일 해킹 피해가 집중된 경기 광명·서울 금천 지역에서 먼저 서비스를 시작했으며, 같은 달 수도권과 강원 지역으로 대상을 넓혔다.

SK텔레콤과 롯데카드, KT에 이어 쿠팡까지 지난 7개월간 해킹 등으로 통신사, 카드사, 온라인 유통 플랫폼 등 곳곳이 뚫렸다. 이 과정에서 새 나간 개인정보가 6300만건을 넘었다. 전 국민 수보다 많은 개인정보가 줄줄 새면서 언제 어디서라도 악용될 수 있는 2차 피해가 우려된다. 몸집 불리기에 급급한 기업의 안보 불감증이 근본 배경이지만 정부와 국회도 뒷짐만 졌던 책임을 피할 수 없다. 정부는 어제 국회에서 열린 쿠팡 개인정보 유출 사고 현안 질의에서 로그 분석 결과 3000만개 이상 계정의 공격 기간이 지난 6월 24일부터 11월 8일까지라고 밝혔다. 5개월 전부터 벌어진 유출을 기업도 정부도 까맣게 모르다가 고객 신고로 알게 됐다니 아무리 생각해도 황당하다. 정부는 스미싱 등 2차 피해 우려가 있어 모니터링을 강화하겠다고 했지만, 뒷북 대응이라는 비판이 나올 수밖에 없다. 이날 질의에서 “전자상거래법상 통신 판매로 재산상 손해가 났을 경우 영업정지를 할 수 있는데, 영업정지 가능 여부를 체크해 봤느냐”는 의원 질문에 정부는 “관계 기관과 협의하겠다”고만 했다. SK텔레콤 사태부터 관련 법·제도적 미비점과 솜방망이 처벌 등이 도마에 올랐으나 여전히 제자리걸음인 것이다. 2300만여명의 개인정보가 털린 SK텔레콤도 1348억원 수준의 과징금 부과에 그쳤다. SK텔레콤 사태 이후 신속한 공지와 조사, 과징금·과태료 강화 등을 담은 개인정보보호법 개정안은 22차례나 발의됐다. 그래 놓고 상임위 심사 단계에서 번번이 중단됐다. 국회와 정부가 말로만 보안 강화를 외치고 실제로는 손을 놓았던 것이다. 이재명 대통령은 어제 “관계 부처는 해외 사례를 참고해 과징금을 강화하고 징벌적 손해배상 제도를 현실화하는 등의 대책에 나서 달라”고 지시했다. 개인정보 유출 사고가 발생하면 기업이 문을 닫는 수준으로 책임을 물어야 한다. 개인정보 탈취 문제가 ‘국가적 재난’이 되고 있다. 보안 법안의 총체적 재점검에 나서야 한다.

2차 피해 막는 사전통지안 등 22건국회 정무위 심사 문턱도 못 넘어강제력 없는 민관조사단도 한계과방위 출석한 쿠팡 대표 “제 책임” 쿠팡 고객 3370만명의 개인정보 유출은 몸집만 키우고 보안은 뒷전인 기업, 법 개정 등 제도 개선에 손을 놓고 있었던 국회와 정부가 만들어 낸 예견된 사태라는 목소리가 커지고 있다. 지난 4월 SK텔레콤(SKT) 유심(USIM·가입자 식별 모듈) 정보 유출 사태 이후 7개월이 넘도록 개인정보보호법 개정안은 단 한 건도 국회 문턱을 넘지 못했다. 소비자 불만이 폭발할 때 일시적으로 법안 발의가 이뤄지고 정작 실질적인 법 개정으로는 이어지지 않은 셈이다. 그 결과 개인정보 유출 이후 기업의 신속한 대응, 강제성 있는 조사, 처벌 강화 등은 여전히 기대하기 어려운 상황이다. 2일 서울신문 취재를 종합하면 SKT 해킹 사태가 발생한 4월부터 이날까지 7개월 동안 발의된 개인정보보호법 개정안은 총 22건이지만 모두 소관 상임위원회인 국회 정무위원회 심사 단계 문턱도 넘지 못했다. 발의된 의안 중 유출된 개인정보가 누구 것인지 특정할 수 없을 때 모든 정보 주체에게 신속하게 법정 통지 사항을 알리는 내용이 8건에 달한다. 하지만 법안 통과가 늦어지면서 이번 쿠팡 사태에서도 뒤늦게 안내를 받는 사례가 속출하고 있다. 곽진 아주대 사이버보안학과 교수는 “소비자가 스미싱 등 2차 범죄에 대응하려면 정보 유출 여부를 사전에 아는 것이 매우 중요하다”고 말했다. 민관합동조사단의 조사도 사실상 강제력이 없다는 지적이 이어졌으나 이 부분 역시 개선되지 않고 있다. 국회입법조사처는 지난 5월 ‘통신사 해킹 사고 사후대응의 문제점과 입법과제’를 통해 “사업자가 자료 제출을 거부해도 제재는 1000만원 이하 과태료 부과에 그친다. 이를 상향하거나 이행강제금을 부과해 조사 강제력을 강화해야 한다”고 지적했다. 개인정보 유출 관련 제도 개선이 이뤄지지 않는 건 ‘보안=비용’으로 보는 인식이 크기 때문이다. 한국인터넷기업협회도 관련 법 개정에 대해 정무위에 “신중한 검토가 필요하다”는 의견을 제출했다. 김명주 서울여대 지능정보보호학부 교수는 “기업 입장에서는 개인정보 보호 관련 규제가 ‘비용’이기 때문에 의견 협의가 이뤄지지 않고 있다”고 말했다. 황석진 동국대 국제정보보호대학원 교수는 “여야는 관련 법안을 민생 법안으로 보고 서둘러 제정해야 한다”고 건의했다. 박대준 쿠팡 대표는 이날 국회 과학기술정보방송통신위원회 긴급 현안질의에서 ‘김범석 쿠팡 의장이 사과할 의향은 없느냐’는 이훈기 더불어민주당 의원의 물음에 “제가 현재 이 사건에 대해 전체 책임을 지고 있다. 한국 법인 대표로서 사태를 해결하겠다”고 답했다. 배경훈 부총리 겸 과학기술정보통신부 장관은 김 의장을 겨냥해 “대다수 국민이 불안해하는 만큼 해당 기업의 최고책임자가 입장을 명확히 밝히는 게 필요할 것 같다”고 말했다. 아울러 금융감독원은 쿠팡의 결제 자회사 쿠팡페이에 대해 일주일간 현장 조사에 착수했다. 한편 민관합동조사단을 꾸리고 쿠팡의 개인정보 유출 사고 조사에 나선 과기정통부는 현안질의에서 “식별된 공격 기간은 지난 6월 24일부터 11월 8일까지”라고 공식 발표했다. 총 138일간이다.

쿠팡 고객 3370만명의 개인정보 유출은 몸집만 키우고 보안은 뒷전인 기업, 법 개정 등 제도 개선에 손 놓고 있었던 국회와 정부가 만들어낸 예견된 사태라는 목소리가 커지고 있다. 지난 4월 SK텔레콤(SKT) 유심(USIM·가입자 식별 모듈) 정보 유출 사태 이후 7개월이 넘도록 개인정보보호법 개정안은 단 한 건도 국회 문턱을 넘지 못했다. 소비자 불만이 폭발할 때 일시적으로 법안 발의가 이뤄지고, 정작 실질적인 법 개정으로 이어지지 않은 셈이다. 그 결과 개인정보 유출 이후 기업의 신속한 대응, 강제성 있는 조사, 처벌 강화 등은 여전히 기대하기 어려운 상황이다. 2일 서울신문 취재를 종합하면, SKT 해킹 사태가 발생한 4월부터 이날까지 7개월 동안 발의된 개인정보보호법 개정안은 모두 22건이지만, 모두 소관위원회인 정무위원회 심사 단계 문턱도 넘지 못했다. 발의된 의안 중 유출된 개인정보가 누구 것인지 특정할 수 없을 때 모든 정보주체에게 신속하게 법정 통지사항을 알리는 내용이 8건에 달한다. 하지만 법안 통과가 늦어지면서 이번 쿠팡 사태에서도 뒤늦게 안내를 받는 사례가 속출하고 있다. 곽진 아주대 사이버보안학과 교수는 “소비자가 스미싱 등 2차 범죄에 대응하려면 정보유출 여부를 사전에 아는 것이 매우 중요하다”고 말했다. 민관합동조사단의 조사도 사실상 강제력이 없다는 지적이 이어졌으나 이 부분 역시 개선되지 않고 있다. 국회입법조사처는 지난 5월 ‘통신사 해킹 사고 사후대응의 문제점과 입법과제’를 통해 “사업자가 자료 제출을 거부해도 제재는 1000만원 이하 과태료 부과에 그친다. 이를 상향하거나 이행강제금을 부과해 조사 강제력을 강화해야 한다”고 지적했다. 개인정보 유출 관련 제도 개선이 이뤄지지 않는 건 ‘보안=비용’으로 보는 인식이 커서다. 한국인터넷기업협회도 관련 법 개정에 대해 국회 정무위원회에 “신중한 검토가 필요하다”는 의견을 제출했다. 김명주 서울여대 지능정보보호학부 교수는 “기업 입장에서는 개인정보 보호 관련 규제가 ‘비용’이기 때문에 의견 협의가 이뤄지지 않고 있다”고 말했다. 황석진 동국대 국제정보보호대학원 교수는 “여야는 관련 법안을 민생 법안으로 보고 서둘러 제정해야 한다”고 건의했다. 박대준 쿠팡 대표는 이날 국회 과학기술정보방송통신위원회 긴급 현안질의에서 ‘김범석 쿠팡 의장이 사과할 의향은 없느냐’는 이훈기 더불어민주당 의원의 질의에 “제가 현재 이 사건에 대해 전체 책임을 지고 있다. 한국 법인 대표로서 사태를 해결하겠다”고 말했다. 한편 민관합동조사단을 꾸리고 쿠팡의 개인정보 유출 사고 조사에 나선 과학기술정보통신부는 현안질의에서 “식별된 공격 기간은 지난 6월 24일부터 11월 8일까지”라고 공식 발표했다. 총 138일 간이다. 류제명 과기정통부 2차관은 “3000만개 이상 계정의 개인 정보가 유출됐다”며 “KT 무단 소액결제 사고처럼 ‘관리 부실’이 이번 쿠팡 개인정보 유출 사고의 배경”이라고 밝혔다. 아울러 금융감독원은 쿠팡의 결제 자회사 쿠팡페이에 대해 일주일간 현장조사에 착수했다.

12월 1일부터 모집…착수금 1인당 만 원 최근 쿠팡에서 3,370만 건에 달하는 고객 개인정보가 무단 유출된 사실이 드러난 가운데, 법률사무소 화음(대표변호사 정재권)이 쿠팡 개인정보유출 피해자 집단소송 접수를 시작했다고 밝혔다. 법률사무소 화음은 지난 12월 1일부터 쿠팡 개인정보 유출 사태와 관련해 쿠팡 측에 집단소송을 제기하기 위한 참여자를 모집하고 있다. 법률사무소 화음 정재권 변호사는 “이번 개인정보유출 사건은 외부의 해킹이 아닌 ‘내부 직원’에 의한 유출이므로 쿠팡의 책임이 보다 막중하다”라며 “유출된 정보에는 이름, 휴대전화 번호와 이메일 주소가 포함되어 있어 다른 웹사이트에 대입하는 크리덴셜 스터핑 공격 시도의 가능성이 있으며, 2차 추가 피해의 우려가 있다. 배송 지연을 사칭한 스미싱, 가족과 지인의 정보까지 유추되어 활용되는 등 사생활 침해 위험도 매우 높아 보인다”라고 전했다. 이어 “개인정보보호법에 따르면 정보주체는 법 위반 행위로 손해를 입으면 개인정보처리자에게 배상을 청구할 수 있고, 이 경우 사업자가 고의·과실이 없음을 입증하지 못하면 책임을 면할 수 없다. 과거 카드사 정보 유출, 인터파크 해킹 사건 등에서 법원은 기업의 과실이 인정될 경우 피해자 1인당 10~20만 원 내외의 위자료를 인정한 바 있다. 이번 사건은 주소지(거주지) 정보가 포함돼 스토킹, 보이스피싱 등 오프라인 범죄 악용 가능성이 크므로 더 높은 위자료가 인정될 여지가 있다. 집단 소송을 통해 효율적인 권리 구제와 유사 사태 재발 방지가 최선의 선택이 될 수 있다”라고 전했다. 실제로 해당 사건은 온라인에서도 움직임이 확산되고 있다. 개인정보 유출 사실이 공개된 지 이틀 만에 네이버에는 쿠팡 집단소송 관련 카페가 10여 곳 개설됐으며, 현재도 가입자 수가 빠르게 늘고 있다. 이번에 유출된 계정 정보가 3,370만 개에 달하는 만큼 개인정보 유출 관련 국내 단체 소송 가운데 최대 규모가 될 수 있다는 전망이 나온다. 앞서 법률사무소 화음은 SKT 유심정보 유출 피해자 단체소송을 3차까지 진행한 바 있다. 특히 화음 정재권 대표변호사는 과학기술정보통신부 고문변호사로 고도의 경험과 전문성을 바탕으로 소송을 진행해 나간다. 현재 법률사무소 화음에서 진행하는 쿠팡 개인정보유출 집단소송은 착수금 1만 원으로 참여할 수 있으며, 홈페이지 내 신청서 작성 등의 방법으로 신청자를 모집하고 있다. 배상금은 최소 10만 원에서 최대 30만 원 정도로 예상하고 있으며, 진행 과정에서 구체적 사실관계의 확정 및 증거 현출에 따라 청구금액을 확장하는 방식으로 진행할 예정이다. 정 변호사는 “과학기술정보통신부 고문 변호사로서의 경험을 통해 축적된 정보통신 관련 법률 및 정책에 대한 높은 이해도는 이번 소송을 성공적으로 이끄는 데 큰 강점이 될 것”이라며 “더 이상 혼자 고민하지 마시고, 저희와 함께 목소리를 내주시길 바란다”라고 밝혔다. 한편, 법률사무소 화음은 과학기술정보통신부(과기부) 고문 변호사로 위촉된 정재권 대표변호사를 포함해 IT 분야의 전문성을 지닌 변호사들로 구성된 로펌이다.

“서버 접근권 말소 안 해 생긴 일”개인정보 문 열어 놓은 꼴… 대통령실 “징벌적 손배 필요” 쿠팡에서 인증 관련 담당자로 일하던 중국인 개발자가 고객 3370만명의 개인정보를 유출한 사태와 관련해 쿠팡 측의 안일한 대응에 대한 비판이 커지고 있다. 정부는 외부 해킹이 아닌 쿠팡 측의 방치에 따라 이번 사건이 벌어졌다고 보고 관련 책임을 엄중히 묻겠다는 입장이다. 원활한 피해자 보상을 위해 징벌적 손해배상제 개선 카드도 꺼내 들었다. 경찰도 범행에 사용된 인터넷주소(IP)를 확보하는 등 수사에 속도를 내고 있다. 1일 정부 고위 관계자는 “쿠팡이 서버 관리를 굉장히 부실하게 한 것이라 책임을 피하기 어려울 것”이라고 말했다. 이 관계자는 “인증 관리 업무를 담당하던 중국인 개발자가 퇴사한 후에도 계속 서버 접근 권한을 말소하지 않아서 생긴 일”이라며 “본질적으로 해킹을 당한 롯데카드와는 아예 다른 사건”이라고 진단했다. 그는 또 “(인증키를) 말소시키지 않으니 시스템은 정상적 접근이라고 본 것”이라며 “혹시 다른 해킹이 있을지 한국인터넷진흥원(KISA)이 들여다보고 있는데 현재까진 나온 게 없다”고 전했다. 그러면서 “피해자 숫자와 범위 등이 더 늘어날 가능성은 충분해 보인다”고도 했다. 국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원실 등에 따르면 고객 정보를 빼돌린 직원은 퇴사 이후인 지난 6월 24일부터 개인정보에 접근한 것으로 추정된다. 이 직원은 개인정보 탈취 과정에서 시스템에 로그인 없이 접근할 수 있는 ‘인증 토큰’을 이용한 것으로 보인다. 이와 관련해 강훈식 대통령실 비서실장은 “징벌적 손해배상 제도가 사실상 작동하지 않고 있는 현실은 대규모 유출 사고를 막는 데 한계가 있다”며 “기업의 책임이 명백한 경우 제도가 실효성 있게 작동할 수 있도록 개선 방안을 검토하라”고 밝혔다. 아울러 강 실장은 과학기술정보통신부 등에 “근본적인 제도 보완, 현장 점검 체계 재정비, 기업 보안 역량 강화 지원책 등을 신속히 보고해 달라”고도 지시했다. 국회는 쿠팡 및 유관 기관 관계자들을 출석시켜 긴급 현안 질의를 진행한다. 2일에는 국회 과학기술정보방송통신위원회에서, 3일에는 정무위원회에서 각각 현안 질의를 한다. 경찰도 관련 수사를 진행 중이다. 서울경찰청 관계자는 이날 “쿠팡 측으로부터 서버 로그 기록을 제출받아서 분석 중”이라며 “정보 유출 등으로 협박하는 내용이 담긴 이메일 계정 2개를 추적하고 있다”고 밝혔다. 경찰은 피의자의 국적과 함께 정보 유출 당사자가 협박성 이메일을 보낸 사람과 동일인인지 등을 파악하고 있다. 경찰 관계자는 “피의자를 특정하기 위한 수사를 진행 중”이라며 “IP 추적을 위한 해외 공조도 벌이고 있다”고 설명했다. 쿠팡은 지난달 18일 개인정보보호위원회 등에 고객 4500여명의 개인정보가 유출됐다며 신고했고, 이후 같은 달 25일 정보통신망 침입 혐의로 고소장을 제출했다. 쿠팡 측은 협박 메일이 발송된 지 이틀이 지나서야 대응에 나섰다. 경찰은 지난달 28일 쿠팡 측 관계자를 불러 조사했다. 쿠팡이 회사 외형을 키우는 데 몰두한 나머지 정보보호에는 무감각했다는 비판이 거세지고 있다. 2023년부터 매년 10조원가량 매출이 뛰며 급성장해 오는 동안 정보보호 투자 비중은 반대로 감소해서다. 2010년 출범한 쿠팡이 로켓배송에 나선 것은 2014년이었다. 2012년 이후 규제에 묶인 대형마트의 빈자리를 채우기 시작하면서 급격히 몸집을 불렸다. 쿠팡은 2023년 매출 31조 8298억원을 기록하며 이마트(연결 기준 매출 29조 4722억원)를 처음 넘어섰다. 지난해 매출 41조 2901억원을 올렸고 올해에는 50조원 달성도 가능하다는 예측이 나왔다. 반면 최근 4년간 쿠팡의 정보기술(IT) 투자 대비 정보보호 투자 비중은 꾸준히 하락했다. KISA 공시에 따르면 쿠팡은 전체 IT 부문에 1조 9171억원을 투자했으며 이 가운데 정보보호 부문에 투입한 금액은 890억원으로 전체의 4.6%에 그쳤다. 전체 정보보호 투자 공시 기업 773곳의 평균(6.28%)보다 낮은 수준이다. 쿠팡의 지난해 매출 대비 정보보호 부문 투자액은 0.2%로 같은 기간 카카오·SK텔레콤(0.7%), 네이버·KT(0.4%)보다 저조했다. 숱한 논란에도 쿠팡의 사업이 순항한 건 정치권 및 정부 출신 인사를 대거 영입해 온 점과 무관하지 않다. 올해 쿠팡 또는 그 계열사로 이직하기 위해 취업 심사를 받은 4급 보좌관은 총 9명이었다. 정부 출신 중 4급 이상 등 취업 심사 대상 퇴직자 9명이 올해 쿠팡이나 그 계열사에 취직했다.

中업체, 고객 타기팅 정교화 우려SKT 사태보다 심각한 피해 예상배송지는 계정보다 더 많이 유출주소 이용 실제 범죄도 대응해야 쿠팡에서 국내 인구 4분의3에 이르는 약 3370만개의 고객 계정 정보가 유출되는 사고가 발생한 가운데 앞선 SK텔레콤 유심(USIM·가입자 식별 모듈) 정보 노출과 KT의 무단 소액결제 및 해킹 사태 때보다 피해가 훨씬 심각할 수 있다는 우려가 나왔다. 염흥열 순천향대 정보보호학과 명예교수는 30일 서울신문과의 통화에서 “통신 3사는 시장을 나눠 갖기에 한 기업에서 고객 정보 유출 사고가 발생해도 전체 국민이 피해를 보는 건 아니지만 쿠팡은 국민 대다수가 이용하고 있는 만큼 정보 유출 사고로서는 역대급일 것”이라고 설명했다. 염 교수는 특히 2차, 3차 피해 가능성이 통신사의 개인정보 유출 사고보다 심각하다고 설명했다. SK텔레콤의 해킹 사건은 탈취된 유심 정보가 복제폰을 만드는 데 악용될 수 있어 유심을 교체하는 조치가 필요했다면, 쿠팡에서 유출된 정보의 경우 온라인 범죄는 물론 실제 범죄에 쓰일 가능성에도 대비해야 한다는 것이다. 염 교수는 “전화번호와 주소가 같은 데이터베이스 안에 매핑돼 있어 전화번호만 알면 주소를 알 수 있다. 주소에 접근해 물리적 범행을 할 가능성도 존재하기에 추가 범행을 막을 조치가 필요하다”고 말했다. 김명주 서울여대 지능정보보호학부 교수는 “국내 소비자가 알리바바나 테무 등 중국 이커머스를 사용하지 않고 쿠팡을 택한 가장 큰 이유는 중국에 개인정보가 유출되는 걸 우려하기 때문인데, 이번 사태로 어떤 제품을 샀는지 기질·성향을 나타내는 개인 식별 정보가 넘어가게 될 경우 중국 이커머스가 고객 타기팅을 더 정교화하는 데 쓰일 수 있다”고 지적했다. 이 경우 쿠팡뿐 아니라 국내 이커머스 산업 전체가 타격을 받을 수도 있다. 김 교수는 “다크웹을 이용해 다른 사이트에서 유출된 정보와 결합하면 새로운 범죄 가능성이 커진다”며 “이 경우 2차 피해가 즉각 일어나지 않고 소비자 경계가 느슨해진 뒤에 발생하기 때문에 쿠팡 때문인지 알 수 없게 되는 등 원인과 규모를 특정하기도 어려워 소비자 피해는 더 커질 수 있다”고 경고했다. 특히 배송지 정보는 유출된 고객 계정 수인 3370만개보다 더 많이 유출됐을 가능성도 제기된다. 쿠팡에서는 주문을 하고 본인이 수령하는 경우뿐 아니라 지인·가족에게 보내기 위해 1인당 2~3개 이상의 배송지 정보를 입력했을 가능성이 높기 때문이다. 정보가 유출되고도 통지를 받지 못한 사람이 상당할 것이라는 전망도 나온다.

쿠팡에서 국내 인구 4분의 3에 이르는 약 3370만개의 고객 계정 정보가 유출되는 사고가 발생하자, 앞선 SK텔레콤 유심(USIM·가입자 식별 모듈) 정보 노출과 KT의 무단 소액결제 및 해킹 사태 때보다 피해가 훨씬 심각할 수 있다는 우려가 나왔다. 염흥열 순천향대 정보보호학과 교수는 30일 서울신문과의 통화에서 “통신 3사는 시장을 나눠갖기에 한 기업에서 고객 정보 유출 사고가 발생해도 전체 국민이 피해를 보는 건 아니지만 쿠팡은 국민 대다수가 이용하고 있어서 정보 유출 사고로서는 역대급일 것”이라고 설명했다. 염 교수는 특히 2차, 3차 피해 가능성이 통신사의 개인정보 유출 사고보다 심각하다고 설명했다. SK텔레콤의 해킹 사건은 탈취된 유심 정보로 복제폰을 만드는데 악용될 가능성이 있어 유심을 교체하는 조치가 필요했다면, 쿠팡에서 유출된 정보의 경우 온라인 범죄는 물론 실제 범죄에도 대비해야 한다는 것이다. 염 교수는 “전화번호와 주소가 같은 데이터베이스 안에 매핑돼있어 전화번호만 알면 주소를 알 수 있다. 주소에 접근해 물리적 범행을 할 가능성도 존재하기에 추가 범행을 막을 조치가 필요하다”고 했다. 김명주 서울여대 지능정보보호학부 교수는 “국내 소비자가 알리바바나 테무 등 중국 이커머스를 사용하지 않고 쿠팡을 택한 가장 큰 이유가 중국에 개인정보가 넘어갈까봐였는데, 이번 사태로 개인이 식별되는 정보가 넘어가게 될 경우 중국 이커머스가 고객 타겟팅을 더 정교화하는데 쓰일 수 있다”고 말했다. 김 교수는 “다크웹을 이용해 다른 사이트에서 유출된 정보와 결합하면 새로운 범죄 가능성이 커진다”면서 “3차 피해는 쿠팡 때문인지 특정할 수도 없고 피해 규모를 규명하기도 어려워 소비자 피해가 더 커질 수 있다”고 경고했다. 특히 배송지 정보는 유출된 고객 계정 수인 3370만개보다 더 많이 유출됐을 가능성도 제기된다. 쿠팡에서는 주문을 하고 본인이 수령하는 경우뿐 아니라 지인·가족에게 보내기 위해 1인당 2~3개의 배송지 정보를 입력했을 가능성이 높기 때문이다. 이 경우 정보가 유출되고도 통지를 받지 못한 사람이 상당할 것이란 전망도 나온다. 전문가들은 피해를 본 소비자라면 보이스피싱, 스미싱 등에 유의할 것을 당부했다. 한국인터넷진흥원(KISA)은 출처가 불분명한 사이트 주소(링크)가 포함된 문자 메시지를 받은 경우 클릭하지 말고 바로 삭제하라고 권고한다. 의심되는 사이트 주소는 정상 사이트와 일치하는지 확인하는 편이 좋다. 카카오톡 채널 ‘보호나라’를 활용해 스미싱·피싱 사이트 여부를 확인하고 신고할 수 있다. 번호 도용 가능성이 의심된다면 이동통신사에서 제공하는 ‘번호도용문자 차단서비스’를 신청할 수 있다. 개인정보보호위원회가 운영하는 ‘개인정보포털’은 개인정보의 다크웹 유출 여부, 분쟁 조정 등의 서비스를 제공한다.

3370만개에 달하는 쿠팡 고객 계정의 개인정보 유출은 외부 해킹이 아닌 내부자 소행으로 보이는 정황이 있는 것으로 전해졌다. 30일 연합뉴스 등에 따르면 서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아 개인정보 유출 사태에 대한 수사에 착수했다. 쿠팡의 고소장에 피고소인이 특정되지 않고 ‘성명불상자’로 기재됐지만, 내부에서 고객 정보를 비인가 조회한 주체가 쿠팡에 근무했던 중국 국적자로 추정된다고 연합뉴스는 보도했다. 이 직원이 외국 국적자인 데다 이미 쿠팡을 퇴사해 한국을 떠난 것으로 전해지면서 수사가 쉽지 않은 것 아니냐는 우려도 나온다. 쿠팡은 앞서 이번 정보 유출 사고가 해킹 등 외부 요인에 따른 것이 아님을 시사한 바 있다. 쿠팡은 정보 유출 피해 고객 계정이 4500여개라고 발표했던 지난 20일 당시 입장문에서 “고객 개인정보가 비인가 조회된 것으로 확인됐다. 쿠팡 시스템과 내부 네트워크망의 외부 침입 흔적은 없는 것으로 확인했다”고 밝혔다. 쿠팡은 현재까지 고객 계정 약 3370만개가 유출된 것을 확인했다. 이는 국내 성인 4명 중 3명의 정보에 해당하며 사실상 쿠팡 전체 계정에 맞먹을 것으로 추정되는 규모다. 유출 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보 등이다. 또 쿠팡은 정보 침탈 시도가 이미 5개월 전인 지난 6월 24일 시작된 것으로 보고 있다. SK텔레콤과 KT 등 최근 발생한 대규모 정보 유출 사건은 주로 외부 해킹에 의한 것이었으나, 이번 사태는 내부 직원의 소행으로 추정되면서 쿠팡의 내부 관리 허점이 드러났다는 지적이 나온다. 쿠팡의 이번 고객 정보 유출 규모는 지난 2011년 약 3500만명이 정보 유출 사태를 겪은 싸이월드·네이트 사례와 맞먹는다. 당시 이 사고는 해킹으로 인한 것이었다. 개인정보 보호 위반으로 개인정보보호위원회로부터 역대 최대 과징금(1348억원) 처분을 받은 SK텔레콤의 개인정보 유출 역시 해킹 사고였다. 한편 경찰 수사와 별개로 정부는 민간과 합동조사단을 꾸려 사고 원인 분석에 나선 상황이다. 과학기술정보통신부는 쿠팡 침해사고 및 개인정보 대규모 유출 사고와 관련해 민관합동조사단을 꾸려 사고 원인 분석 및 재발 방지 대책을 마련할 계획이다.

국내 전자상거래(이커머스) 시장 1위 업체인 쿠팡의 대규모 개인정보 유출이 반년 전부터 발생했을 가능성이 제기되면서 소비자들 사이에서 불안과 우려가 커지고 있다. 정부는 민간과 합동조사단을 꾸려 사고 원인 분석에 나섰고, 경찰은 수사에 착수했다. 30일 유통업계에 따르면 쿠팡은 전날 오후 “고객 계정 약 3370만개가 무단으로 노출된 것으로 확인됐다”고 공지했다. 쿠팡은 노출된 고객 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 ‘제한’됐고, 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 이어 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 덧붙였다. 고객의 민감한 개인정보 탈취 시도가 이미 5개월 전에 시작됐다는 것이다. 쿠팡은 이번 유출 사고를 지난 18일에서야 인지하고 지난 20일과 전날 각각 관련 내용을 개인정보보호위원회에 신고했다. 개인정보보호위는 현재 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인 정보 유출 사태에 대한 수사에 착수했다. 전자상거래를 이용하는 국민이라면 대부분 쓰고 있다고 볼 수 있는 쿠팡에서 대규모 고객 정보 유출 사고가 발생하면서 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 전날 관련 기사에는 “개인정보 털렸는데 그냥 미안하다고 문자 하나만 띡 보내면 다냐”, “요즘 광고 전화 너무 많이 오더니”, “전 국민 털렸네” 등 정보 유출에 대한 불안과 분노 섞인 댓글이 달렸다. 또 고객의 이름과 이메일, 전화번호, 주소만으로도 분히 사기 등의 범죄에 악용될 수 있다는 지적도 나온다. 특히 주소가 유출되면서 문 앞 배송을 원활히 하기 위해 기재한 공동 현관 비밀번호까지 다 노출된 것 아니냐는 불안까지 제기되고 있다. 쿠팡이 피해 규모를 9일 만에 약 7500배로 조정한 것을 두고도 향후 조사 결과에 따라 피해 규모가 더 커질지도 모른다는 추측도 나온다. 또 지난 6월부터 정보 탈취 시도가 있었던 것으로 확인된 만큼 정보 유출이 수개월에 걸쳐 이뤄졌을 가능성도 제기된다. 쿠팡은 지난 20일 정보 유출 피해 고객 계정이 4500여개라고 발표했으나 29일에는 3370만개라고 다시 공지했다. 쿠팡이 지난 3분기 실적 발표 당시 언급한 프로덕트 커머스 부분 활성고객(구매 이력이 있는 고객)이 2470만명인데 이보다 훨씬 많은 수준이다. 사실상 전체 고객의 정보가 유출된 것으로 보인다. 또 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만명)를 뛰어넘는 규모다. 다른 기업들의 보안 관련 사고에서도 당국의 조사가 진행되면서 피해 규모는 더 커졌다. 앞서 사이버 침해 사고가 발생한 롯데카드의 경우 지난 9월 4일 사과문에서는 “현재까지 조사한 결과에 따르면 고객 정보 유출 사실은 확인되지 않았다”고 공지했으나, 그로부터 2주 뒤에는 카드번호뿐 아니라 CVC번호 등 민감 정보까지 유출됐다고 밝혔다. KT의 경우 해킹 사고 처리 과정에서 서버를 폐기해 증거를 은닉했다는 의혹이 제기돼 경찰이 이달 강제수사에 착수했다.

“이번 통신사 해킹은 단순 범죄가 아니라 국가 핵심 인프라로 접근할 수 있는 관문이 뚫렸다는 국가적 사이버 공격의 시작입니다.” 국정원 출신 채성준 서경대 군사학과 교수는 서울신문 유튜브 채널 ‘시냅스-당신을 깨우는 지식’에 출연해 최근 벌어진 통신사 대규모 해킹과 관련, 현 체계의 통합 사이버 보안 부재를 지적했다. 그는 “미국 사이버안보인프라국(CISA)처럼 국가 차원의 사이버 안보 컨트롤타워가 필요하며, 이를 뒷받침할 사이버안보법 제정과 시행령 마련도 시급하다”고 강조했다. 올해 SK텔레콤과 KT에서 대규모 해킹 사태가 잇따라 발생한 데 이어 LG유플러스에서도 내부망 침투 정황이 확인되면서 “더 이상 개별 사고로 볼 수 없다”는 지적이 나오고 있다. 반복되는 사이버 해킹 사고를 막기 위해 채 교수와 함께 대안을 짚어봤다. 1. 통신사 해킹은 ‘국가적 사이버 공격’의 초입 채 교수는 “3대 통신사가 모두 공격받았다는 건 국가 주요 인프라에 대한 광범위한 침입이 이미 진행됐다는 의미”라고 분석했다. 그는 “전문가들은 일련의 사건을 국가 사이버 공격의 초기 단계로 판단한다”며 “(LG유플러스의 경우) 해커들이 외주 보안업체 계정의 취약점을 이용해 내부망에 침투했고, 결국 통신망을 관문 삼아 금융·공공·국가기관 등 핵심 인프라 전체로 확장될 수 있는 구조적 위험이 온 것”이라고 지적했다. 채 교수는 “한국이 IT 강국임에도 ‘해킹 맛집’이라는 오명을 듣지 않으려면, 국가 차원의 대응뿐 아니라 개인 보안 인식도 함께 강화돼야 한다”고 말했다. 2. 돈만 ‘탈탈’ 털리는 게 아니다… VIP 동향·약점까지 노출 채 교수는 “통신사 해킹은 자금이 인출되는 수준을 넘어 유력 인사들의 동향과 약점까지 노출될 수 있다는 점이 가장 큰 문제”라고 말했다. 그는 “통화 패턴만 분석해도 정치인·기업인·언론인 등 VIP 네트워크가 그대로 드러난다”며 “통신사 보유 데이터가 국가 전체의 움직임을 읽을 수 있는 핵심 데이터 허브”라고 지적했다. 이어 “개인의 약점을 활용한 협박에 악용될 위험도 있다”며 “이번 사태는 단순한 개인정보 유출을 넘어 국가 사회 시스템 전반에 파급력을 미칠 수 있는 문제”라고 강조했다. 3. 정보 유출은 맞춤형 범죄 설계의 ‘원료’가 된다 채 교수는 “유출된 정보는 다크웹에서 대량 거래되며, 이후 절차는 이미 정형화된 ‘범죄 공정’처럼 운영된다”고 주장했다. 그는 “메시지와 전략을 개인화할수록 성공 확률이 높아지기 때문에, 범죄 조직 내에서 고액 대출자·최근카드 발급자 등 그룹별로 타겟 맞춤형 피싱 멘트를 제작한다”며 “주로 피해자에게 계좌나 송금을 유도하는 방식으로 ‘머니뮬(money mules)’이라 불리는 대리 구매자들을 통해 추적이 불가능하게 만드는 것”이라고 분석했다. 4. 진짜 문제는 ‘관리·대응 체계’의 부실 채 교수는 한국이 국제 해킹 조직의 주요 표적이 된 근본적 이유로 ‘통합 보안 대응 체계’의 구조적 부실을 지적했다. 그는 “현재 사이버보안 체계가 ▲민간(과학기술정보통신부)▲공공(국정원)▲군(국방부)으로 분산돼 있어 국가 차원의 위협을 실시간으로 통합 대응하기 어렵다”고 분석했다. 이어 “미국 사이버안보인프라국(CISA)처럼 위협 정보를 한곳에서 수집·공유·조율할 수 있는 국가 단위 컨트롤타워가 필요하며, 이를 위해 사이버안보법 제정과 시행령 마련이 반드시 뒤따라야 한다”고 강조했다. 이어 채 교수는 “국가기관이나 통신사가 OTP 번호를 요구하는 일은 절대 없다. 이런 요구는 모두 범죄로 봐야 한다”며 “개인의 작은 정보 유출이 기업과 공공기관을 거쳐 결국 국가 안보 위협으로까지 확대될 수 있다는 점을 반드시 기억해야 한다”고 덧붙였다. [시냅스]서울신문 영상미디어센터가 선보이는 지식 교양 채널입니다. 뇌의 신경세포를 잇는 시냅스처럼, 세상 곳곳의 흩어진 정보와 이야기를 연결하고자 합니다. 지식은 연결될 때 힘이 됩니다. 지금, 당신의 시냅스를 깨워드립니다.

SK텔레콤이 유심 해킹 사태로 개인정보 유출 피해를 본 고객들에게 1인당 30만원을 배상하도록 한 개인정보보호위원회 분쟁조정위원회의 조정안을 수용하지 않겠다고 20일 밝혔다. SK텔레콤 관계자는 “조정위의 결정을 존중하지만, 사고 후 회사가 취한 선제적 보상과 재발 방지 조치가 조정안에 충분히 반영되지 않아 수용하지 않기로 했다”면서 “다만 고객 신뢰 회복과 추가 피해 예방을 위한 조치는 계속 이어갈 것”이라고 전했다. 앞서 분쟁조정위는 지난 4일 SK텔레콤에 피해 고객 3998명에 대해 1인당 30만원 지급을 권고하는 조정안을 내놓았다.

정부 “3998명에 30만원씩 지급”수용 시 2300만명 확대 가능성업계 “자진신고 기피 등 부작용AI 기반 보안 강화가 핵심 대책” 개인정보보호위원회 산하 분쟁조정위원회가 SK텔레콤의 개인정보 유출 사건과 관련해 내린 배상 조정안의 수락 시한이 다가오면서 통신업계의 관심이 집중되고 있다. 현재 조정안이 수용되면 전체 고객(약 2300만명)에게 확대 적용될 가능성이 있어 SK텔레콤이 조정안을 거부할 소지가 높게 점쳐진다. 18일 통신업계에 따르면 개인정보분조위는 지난 4일 SK텔레콤 해킹 사태 피해 고객 3998명을 대상으로 1인당 30만원의 배상금을 지급하라는 조정 결정을 의결했다. SK텔레콤은 이튿날 조정안을 송달받았으며, 15일의 검토 기간이 끝나는 21일 자정까지 수락 여부를 통보해야 한다. 기한 내 입장을 밝히지 않으면 조정은 불성립으로 처리된다. 앞서 SK텔레콤은 조정안에 대해 “자발적인 보상 노력이 반영되지 않아 아쉽다”고 입장을 낸 만큼 이를 받아들이지 않을 거라는 전망이 대체적이다. 실제 SK텔레콤은 사고 발생 직후 1200만명 대상 무료 유심 교체, 7000억원 규모의 보안 혁신 투자 등을 시행했다. 그 영향은 실적에도 반영돼 올해 3분기 연결 기준 영업이익은 484억원으로 전년 대비 90.9% 급감했다. 지난 8월 개인정보위가 의결한 1348억원의 과징금 또한 회계상 비용으로 반영되면서 재무적 부담이 더욱 커진 상황이다. 이러한 조치에도 최대 7조원 규모로 확대될 수 있는 조정안이 나오면서 업계 전반에서는 이른바 ‘역인센티브’ 우려가 커지고 있다. 역인센티브란 제도가 의도한 취지와 달리, 기업이 오히려 사고 사실을 숨기거나 자진 신고를 꺼리게 만드는 부작용을 말한다. 배상 규모가 지나치게 클 경우 결국 소비자 요금 인상이나 보안 투자 축소로 이어질 수 있다는 지적도 나온다. 전문가들은 고액 배상이나 과징금만으로는 해킹 사태를 근본적으로 막기 어렵다는 점을 강조한다. 김태오 창원대 법학과 교수는 “어떤 정보가 유출됐는지에 따라 배상 규모가 달라지는 것이 타당한데, 1인당 30만원은 사실상 최고 수준”이라며 “기업 입장에서는 법정에서 다퉈볼 여지를 남긴 조정안”이라고 말했다. 결국 근본적인 소비자 보호는 신뢰 회복과 재발 방지에 있으며, 통신사와 IT 기업이 추진하는 ‘제로 트러스트’(Zero Trust) 등 AI 기반의 보안 모델 도입이 핵심 대책이라는 평가가 나온다. 제로 트러스트는 내부 시스템 접근자와 기기까지 잠재적 위협으로 간주해 접근을 엄격히 통제하는 보안 모델로, 업계에선 차세대 보안 체계로 주목받고 있다.

‘유심 해킹 사태’ 여파로 공석이 되는 KT의 차기 최고경영자(CEO) 자리에 업계 이목이 쏠리고 있다. KT 이사후보추천위원회는 16일 오후 6시 새 대표이사 공개 모집 기간을 종료하고 사내외 후보군 구성에 착수했다. 사외이사 8명으로 구성된 추천위는 ▲외부 전문기관 추천 ▲공개 모집 ▲주주 추천 ▲관련 규정에 따른 사내 후보 등으로 대표이사 후보군을 구성하기로 했다. 김영섭 KT 대표가 선임된 2023년 공모 때와 달리, 올해는 공고에 ‘투명한 심사를 위해 응모자 명단은 외부에 공개될 수 있다’고 명시하면서 추후 후보군이 대외적으로 공개될 가능성도 점쳐진다. 애초 출사표를 던질 것으로 예상됐던 구현모 전 KT 대표가 이번 CEO 모집에 참여하지 않겠다고 밝히면서 KT 사내 인사는 물론 다양한 정보통신기술(ICT) 전문가들이 세평에 오르내리고 있다. 구 전 대표는 지난 14일 입장문을 통해 “KT의 역사도, 문화도, 기간통신사업자의 역할과 책임도 모르는 분들은 (CEO 선출에) 참여를 자제해 달라”고 밝혔다. 사내 인사가 힘을 받는 가운데 유력 후보로는 구 전 대표가 연임에서 낙마했을 당시 뒤이어 도전했던 윤경림 전 KT 트랜스포메이션부문장이 거론된다. 윤 전 부문장은 김 대표 취임 전 KT CEO 최종 후보로 선정됐다가 20여 일 만에 사퇴한 바 있다. 김 대표와 함께 심층 면접 대상자로 최종 후보 3인까지 올랐던 ‘30년 KT통’ 박윤영 전 KT 기업부문장도 세평에 올랐다. 이현석 KT 커스터머부문장과 KT의 IT기획실장 출신인 김태호 전 서울교통공사 사장도 거론된다. 추천위는 후보군을 압축한 뒤 서류 및 면접 평가를 거쳐 최종 후보를 연내 선정할 계획이다.

임원 승진 11명… 퇴직자 확 늘어통신, 해킹 넘어 신뢰 회복 최우선AI, 수시 재편… 급변 환경에 대응통합보안센터 조직·인력 늘리고커뮤니케이션센터도 새로 개설 SK텔레콤이 지난 4월에 발생한 초대형 해킹 사태로 흔들린 신뢰를 되찾고 인공지능(AI) 중심 기업으로 체질을 바꾸기 위해, 임원 수를 대폭 줄이고 통신·AI 양대 사내회사(CIC) 체제를 중심으로 조직 구조를 재편했다. SK텔레콤은 13일 통신(MNO)과 AI를 양대 축으로 하는 조직 개편과 임원 인사를 발표했다. 이번 개편으로 임원 수는 전년 대비 30% 가까이 줄었다. 신규 임원으로 승진한 이들은 김석원 MNO CIC 프로덕트 브랜드본부 브랜드 담당 등 11명이다. 지난해 신규 승진자가 3명에 불과했던 것과 비교하면 확대됐지만, 퇴직 임원 수가 늘면서 전체 규모는 많이 축소됐다. 회사 측은 “임원의 실질적 책임과 역할 강화를 위한 조치”라며 “조직 유연성을 높이고 신속한 의사결정이 가능하도록 설계했다”고 설명했다. 통신 사내회사(MNO CIC)는 고객 신뢰 회복을 최우선 과제로 삼는다. 해킹으로 흔들린 브랜드 신뢰를 되찾기 위해 마케팅과 영업 체계를 재편하고, 기업용(B2B) 사업의 기술 지원 기능을 강화한다. 네트워크 조직은 AI·디지털 전환(AT·DT) 역량을 높여 본원적 경쟁력을 강화한다. AI 사내회사(AI CIC)는 정석근·유경상 공동 CIC장 체제 아래 핵심 기술과 사업 역량을 결집한다. 주요 사업 영역은 AI 서비스 ‘에이닷’ 중심의 B2C 사업, AI 클라우드·피지컬 AI 등 B2B 솔루션, 메시징·결제 등 디지털 플랫폼 사업, AI 데이터센터(AI DC) 등이다. AI CIC 조직내 팀은 프로젝트 중심으로 수시 재편이 가능해, 급변하는 시장 환경에 민첩하게 대응할 수 있다. 정재헌 SK텔레콤 사장은 “각 사업 특성에 맞춰 최적화된 업무와 의사결정 구조를 만들기 위한 선택”이라면서 “통신 신뢰 회복과 AI 실질적 성과 창출이라는 두 축을 동시에 달성하겠다”고 했다. 이번 조직 개편은 지난 4월 발생한 해킹 사태의 후속 조치와 맞물려 있다. 당시 SK텔레콤 가입자 2324만 4000명의 휴대전화 번호, 가입자식별번호(IMSI), 유심 인증키 등 25종 개인정보가 유출됐다. SK텔레콤은 접속을 포착했지만 즉각 점검을 하지 않아 관리 부실 논란이 일었다. 개인정보보호위원회는 SK텔레콤에 역대 최대 과징금 1348억원을 부과했다. SK텔레콤은 이번 조직 개편과 함께 통합보안센터 조직과 인력을 확충하고, 대외협력·홍보 기능을 통합한 커뮤니케이션센터(Comm센터)도 신설했다. 기술적 보안뿐 아니라 조직 신뢰와 리스크 관리 체계 전반을 강화하는 것이 목표다.

KT가 차기 대표이사(CEO) 선임 절차에 들어간 가운데 KT 노동조합이 “낙하산 인사는 용납할 수 없다”며 CEO 선임 절차에 노조 참여를 선언했다. KT 노조는 12일 성명서를 내고 “차기 CEO는 외풍으로부터 자유롭고 통신의 전문성과 경영 능력을 겸비해야 하며, 구성원의 지지를 받는 인물이 선임돼야 한다”며 이렇게 주장했다. 노조는 정권 교체기마다 반복된 외풍 문제를 언급하며 “CEO 선임 절차는 누가 봐도 투명해야 하며 낙하산 인사는 결단코 용납할 수 없다”면서 “이사회후보추천위원회는 정치권과 외부 세력의 입김에서 완전히 벗어나야 한다”고 강조했다. 김영섭 KT 대표이사는 지난 4일 KT 이사회에서 연임 포기 의사를 밝혔고, 이사회는 곧바로 차기 대표이사 선임 절차를 개시했다. 김 대표는 최근 발생한 KT 서버 침해와 무단 소액결제 사고로 인해 최고경영자로서 책임을 질 수밖에 없는 상황이었지만, 결과적으로 정권이 바뀔 때 수장이 교체되면서 2002년 민영화 이후 KT의 CEO 수난사가 되풀이되고 있다는 비판이 제기됐다. 민영화 이후 연임에 성공해 임기를 채운 CEO는 황창규 전 회장이 유일하다. KT 노조는 또 “최근의 네트워크 보안 해킹 사태 등 일련의 문제는 KT의 근간인 통신 본연의 기술력과 내부통제 시스템이 등한시된 결과”라며 통신 전문가가 수장을 맡아야 한다고 주장했다. 아울러 차기 CEO는 고객과 업계 이해관계자에 대한 이해도가 높고, 경영의 연속성과 구성원의 화합을 중시하는 리더십을 갖춰야 한다고 제시했다. 이와 함께 KT 노조는 CEO 선임 절차에 참여할 것을 공식 선언했다. KT 노조는 “CEO 선임에 있어 정치와 단절하는 민주적 선례를 정착하고 KT를 정치권의 제물이 아닌 KT에게 돌려주기를 강력히 희망한다”고 밝혔다. 그러면서 “이러한 원칙이 훼손되고 과거의 낙하산 인사나 불투명한 결정이 재현되면 전 조합원의 뜻을 모아 강력히 대응할 것”이라고 말했다.

차기 대표 선임 돌입한 KT 이사회민영화 이후 반복되는 CEO 수난사“통신 전문·구성원 화합 리더 돼야” KT가 차기 대표이사(CEO) 선임 절차에 들어간 가운데 KT 노동조합이 “낙하산 인사는 용납할 수 없다”며 CEO 선임 절차에 노조 참여를 선언했다. KT 노조는 12일 성명서를 내고 “차기 CEO는 외풍으로부터 자유롭고 통신의 전문성과 경영 능력을 겸비해야 하며, 구성원의 지지를 받는 인물이 선임돼야 한다”며 이렇게 주장했다. 노조는 정권 교체기마다 반복된 외풍 문제를 언급하며 “CEO 선임 절차는 누가 봐도 투명해야 하며 낙하산 인사는 결단코 용납할 수 없다”면서 “이사회후보추천위원회는 정치권과 외부 세력의 입김에서 완전히 벗어나야 한다”고 강조했다. 김영섭 KT 대표이사는 지난 4일 KT 이사회에서 연임 포기 의사를 밝혔고, 이사회는 곧바로 차기 대표이사 선임 절차를 개시했다. 김 대표는 최근 발생한 KT 서버 침해와 무단 소액결제 사고로 인해 최고경영자로서 책임을 질 수밖에 없는 상황이었지만, 결과적으로 정권이 바뀔 때 수장이 교체되면서 2002년 민영화 이후 KT의 CEO 수난사가 되풀이되고 있다는 비판이 제기됐다. 민영화 이후 연임에 성공해 임기를 채운 CEO는 황창규 전 회장이 유일하다. KT 노조는 또 “최근의 네트워크 보안 해킹 사태 등 일련의 문제는 KT의 근간인 통신 본연의 기술력과 내부통제 시스템이 등한시된 결과”라며 통신 전문가가 수장을 맡아야 한다고 주장했다. 아울러 차기 CEO는 고객과 업계 이해관계자에 대한 이해도가 높고, 경영의 연속성과 구성원의 화합을 중시하는 리더십을 갖춰야 한다고 제시했다. 이와 함께 KT 노조는 CEO 선임 절차에 참여할 것을 공식 선언했다. KT 노조는 “CEO 선임에 있어 정치와 단절하는 민주적 선례를 정착하고 KT를 정치권의 제물이 아닌 KT에게 돌려주기를 강력히 희망한다”고 밝혔다. 그러면서 “이러한 원칙이 훼손되고 과거의 낙하산 인사나 불투명한 결정이 재현되면 전 조합원의 뜻을 모아 강력히 대응할 것”이라고 말했다.

KT 3분기 실적발표 KT가 3분기 견조한 실적을 내며 시장 기대치를 웃돌았다. 다만 최근 불거진 해킹 사태 관련 비용은 4분기 실적이 반영될 예정이다. 7일 KT는 올해 3분기 연결 기준 영업이익이 5382억원으로 전년 동기 대비 16% 증가했다고 밝혔다. 매출은 7조 1267억원으로 7.1% 늘었고, 당기순이익은 4453억원으로 16.2% 증가했다. 이번 실적 개선은 클라우드·데이터센터(DC)·부동산 등 주요 그룹사 중심의 성장과 강북본부 부지 개발에 따른 일회성 분양이익이 반영된 영향이다. 무선 서비스 매출은 4.7% 증가했고, 5G 가입자는 전체의 80.7%를 차지했다. 다만 이번 실적에는 해킹 사태의 직접적인 영향이 포함되지 않았다. KT는 4분기부터 고객 유심(USIM) 무상 교체 비용과 정부 과징금 등이 반영될 것으로 보고 있다. 최근 KT는 전 고객을 대상으로 유심 교체를 진행 중이며, 정부 조사에 성실히 협조하겠다고 밝혔다. 과학기술정보통신부와 민관 합동 조사단은 지난 6일 중간 조사 결과를 통해 KT가 지난해 ‘BPF도어(BPFDoor)’라는 악성코드에 서버 43대가 감염된 사실을 자체 파악하고도 신고하지 않았다고 발표했다. 조사 결과 펨토셀(초소형 기지국) 관리 부실로 불법 펨토셀을 통한 결제 인증정보 탈취가 가능했던 것으로 드러났다. 조사단은 “KT의 은폐 정황을 엄중히 보고 있다”며 추가 조사를 예고했다. KT는 해킹 사태 재발 방지를 위해 네트워크 관리 체계를 전면 개편하고 있다. 초소형 기지국 신규 개통을 제한하고 불법 기기 접속을 차단하기 위한 실시간 모니터링 시스템을 도입했다. 결제 유형별 이상 거래를 탐지하는 시스템(FDS)도 강화해 피해 확산을 막고 있다. 한편 KT는 3분기부터 AI 사업에도 속도를 내고 있다. 7월에는 독자 모델 ‘믿:음 K 2.0’을 공개했고, 9월에는 마이크로소프트와 협력한 ‘SOTA K’와 메타 오픈소스를 활용한 ‘Llama K’를 연이어 선보였다. 또 AI·클라우드 기반의 산업별 맞춤형 솔루션을 제공하기 위해 ‘KT 이노베이션 허브’를 개소했다. 김영섭 대표의 사퇴 이후 CEO 교체 절차도 진행 중이다. KT 이사후보추천위원회는 대표이사 후보군 구성을 시작으로 연내 최종 후보 1인을 확정할 계획이다. 장민 KT CFO(전무)는 “고객 신뢰 회복을 최우선 과제로 삼고 정보보호 체계 강화에 총력을 다하겠다”며 “통신 본업과 AX(인공지능 전환) 사업의 성장으로 기업가치 제고에 나서겠다”고 밝혔다.

KT가 ‘BPF도어’(BPFDoor)라는 악성코드에 서버가 감염된 사실을 지난해 3월부터 파악하고도 당국에 신고하지 않은 채 1년 6개월가량 은폐한 것으로 드러났다. BPF도어는 올해 초 SK텔레콤 해킹 사태 때도 피해를 준 은닉성이 강한 악성코드다. KT 해킹 사고를 조사 중인 민관 합동 조사단은 6일 중간 조사결과 브리핑에서 “서버 포렌식 분석 결과 KT는 지난해 3~7월 BPF도어, 웹셸 등 악성코드에 감염된 서버 43대를 발견하고도 당국에 신고하지 않은 사실을 확인했다”고 밝혔다. 앞서 KT는 지난 9월 18일 한국인터넷진흥원(KISA)에 해킹 사실을 신고했다. 과학기술정보통신부는 해킹 은폐 사실이 고객 위약금 면제 사유에 해당하는지를 검토해 발표하기로 했다. 다만 SKT처럼 가입자 정보가 저장된 HSS 서버의 피해 여부와 개인정보 유출 규모는 아직 파악되지 않았다. 최우혁 조사단장은 “휴대전화 불법 복제에 필요한 유심키 유출은 확인되지 않았다”고 밝혔다. KT는 “조사 결과를 엄중하게 받아들인다”면서 “서버 침해 사실을 신고하지 않았던 것과 지연 신고한 데 대해 송구하다”고 밝혔다.

KT가 ‘BPF도어’(BPFDoor)라는 악성코드에 서버가 감염된 사실을 지난해 3월부터 파악하고도 당국에 신고하지 않은 채 1년 6개월가량 은폐한 것으로 드러났다. BPF도어는 올해 초 SK텔레콤 해킹 사태 때도 피해를 준 은닉성이 강한 악성코드다. KT 해킹 사고를 조사 중인 민관 합동 조사단은 6일 중간 조사결과 브리핑에서 “서버 포렌식 분석 결과 KT는 지난해 3~7월 BPF도어, 웹셸 등 악성코드에 감염된 서버 43대를 발견하고도 당국에 신고하지 않은 사실을 확인했다”고 밝혔다. 앞서 KT는 지난 9월 18일 한국인터넷진흥원(KISA)에 해킹 사실을 신고했다. 과학기술정보통신부는 해킹 은폐 사실이 고객 위약금 면제 사유에 해당하는지를 검토해 발표하기로 했다. 다만 SKT처럼 가입자 정보가 저장된 HSS 서버의 피해 여부와 개인정보 유출 규모는 아직 파악되지 않았다. 최우혁 조사단장은 “휴대전화 불법 복제에 필요한 유심키 유출은 확인되지 않았다”고 밝혔다. 과기정통부는 KT 유심 교체 과정에서 수급 대란이 일어나 가입자에게 피해가 발생하면 SKT처럼 영업 중단 조치를 내릴 방침이다. KT는 “조사 결과를 엄중하게 받아들인다”면서 “서버 침해 사실을 신고하지 않았던 것과 지연 신고한 데 대해 송구하다”고 밝혔다.