쿠팡 3370만명이 털렸다
쿠팡 이용객 약 3370만개 고객 계정의 개인정보가 외부에 무단으로 노출돼 파장이 일고 있다.
총 272 건
도널드 트럼프 미국 대통령이 2기 집권 이후 미국 뉴욕증시에 상장된 쿠팡 주식을 여러 차례 사고팔고, 여전히 보유 중인 것으로 확인됐다. 트럼프 대통령은 재임 중 주식거래는 운용사를 통해 이뤄진다며 투자 계좌 운용에 직접 관여하지 않는다고 주장한다. 하지만 미국 대통령이 한·미 통상 및 외교 현안에 관련된 기업의 주식을 매매한 것만으로 이해충돌 논란소지가 있다는 관측이다. 미 정부윤리청(OGE)이 지난 1일 공개한 트럼프 대통령의 재산공개 자료 중 주식거래 내역을 분석한 결과 트럼프 대통령은 2기 행정부 출범 이후인 지난해 10월부터 올해 5월까지 두 개의 투자 계좌를 통해 쿠팡 보통주를 총 18차례 매매했다. 구체적으로 총 9건의 매수와 9건의 매도가 이뤄졌다. 지난해에는 6건의 매수와 4건의 매도, 올해에는 3건의 매수와 5건의 매도가 기록됐다. ━최대 28만달러 매수, 15만달러 처분해 13만달러 보유 추정━OGE 재산신고서는 정확한 거래 금액 대신 일정 구간으로만 표시한다. 이를 기준으로 최대 금액을 적용하면 트럼프 대통령은 지난해 10월부터 쿠팡 주식 보유량을 최대 28만달러(약 4억원)까지 늘렸다가 지난 5월 최대 15만달러(2억3000만원)를 처분했다.
개인정보보호위원회가 대규모 개인정보 유출과 이용자 온라인 활동기록 무단 수집 등이 확인된 쿠팡에 과징금 6246억8100만원을 부과했다. 계열사 쿠팡풀필먼트서비스(CFS) 과징금까지 합하면 6249억2900만원이다. 개인정보위는 지난 10일 전체회의를 열고 쿠팡에 과징금 6246억8100만원과 과태료 1680만원을 부과하기로 의결했다고 11일 밝혔다. 시정명령과 처분 결과 공표, 개선권고, 고발 조치도 결정했다. CFS에는 과징금 2억4800만원을 부과했다. 쿠팡 과징금 중 개인정보 유출에 따른 몫은 4235억7500만원이다. 조사 결과 쿠팡 회원 3322만2472명과 회원이 아닌 정보주체 최소 433만8368명의 개인정보가 유출됐다. 이름과 이메일, 전화번호, 주소를 비롯해 공동현관 비밀번호와 주문정보 등이 포함됐다. 개인정보위는 이번 사고를 고도의 해킹이 아닌 쿠팡의 기본적인 안전관리 체계 미비와 관리 소홀에 따른 유출로 판단했다. 전직 직원이 2024년 말 퇴사했는데도 해당 직원이 접근할 수 있었던 인증 서명키를 즉시 갱신하거나 폐기하지 않았고, 업무상 필요하지 않은 직원도 서명키를 평문으로 열람할 수 있도록 운영했다는 것이다.
지난해 대규모 정보유출 사고가 발생한 국내 1위 이커머스(전자상거래) 쿠팡이 6000억원이 훌쩍 넘는 역대급 '과징금 폭탄'을 맞았다. 정보유출을 문제 삼아 국가 기관이 개별 기업에 부과한 과징금 중 역대 최대 규모로 글로벌 사례로 비교 범위를 넓혀도 가장 큰 금액으로 파악된다. 이재명 대통령이 주문한 '징벌적 과징금'이 현실화했다는 의견도 나온다. 사건 초기 정부와 대립각을 세운 '괘씸죄'가 적용된 것 아니냐는 목소리가 나올 만큼 고강도 제재 사례가 될 전망이다. 11일 관련 업계에 따르면 개인정보보호위원회가 이날 쿠팡에 부과한 6246억원의 과징금 규모는 세계 최대 수준이다. 직전 최대 규모 과징금은 2021년 아일랜드 데이터보호위원회가 5억3300만명 고객정보가 유출된 메타에게 부과한 2억6500만유로(약 3800억원)다. 개보위가 이번에 쿠팡에게 부과한 금액은 이보다 1. 6배 많다. 국내 기업 중 최대 과징금이 부과된 SKT(1348억원)과 비교하면 4. 6배 많은 수준이다. 업계에선 이번 개보위의 결정 과정에서 쿠팡 측이 주장한 감경 사유가 거의 적용되지 않았다는 의견이 나온다.
개인정보보호위원회가 쿠팡에 역대 최고 수준의 과징금을 부과한 가운데, 오는 9월부터는 더 강력한 개인정보보호법이 시행된다. 이번 쿠팡 사건에 개정법이 적용될 경우 과징금 상한선은 3배 이상 높아진다. 11일 개인정보보호위원회는 쿠팡이 인증 서명키 관리와 접근통제 소홀 등 기본적인 안전관리 체계 미흡으로 3750여만명의 개인정보를 유출시켰다며 과징금 총 6246억8100만원과 과태료 1680만원을 부과했다. 개정 전 개인정보보호법이 적용됨에 따라 과징금은 매출의 최대 3%까지만 부과할 수 있는데, 지난해 매출액(45조4555억원)의 1. 4% 수준이 과징금으로 산정됐다. 쿠팡의 지난해 영업이익 4억7300만달러(약 7211억원)와 맞먹는 규모다. 9월부터 시행되는 개정법 아래에서 이같은 대규모 정보유출이 또 발생한다면 최고 과징금액이 경신될 가능성이 적잖다. 개인정보위가 다음달 13일까지 입법예고 중인 개인정보보호법 시행령 개정안에 따르면 △고의 또는 중대한 과실로 같은 위반행위를 3년 이내 반복 △1000만명 이상 피해 발생 △시정명령을 이행하지 않은 상태에서 개인정보를 유출한 경우 '징벌적 과징금' 부과 대상이 된다.
개인정보보호위원회가 약 3750만명의 개인정보를 유출한 쿠팡과 계열사에 총 6249억원 규모의 과징금을 부과했다. 안전조치 의무 위반뿐 아니라 법적 근거 없는 온라인 활동기록 수집, 조사 방해 등이 제재 대상에 포함됐다. 개인정보위는 개인정보 유출·침해 행위와 관련 쿠팡에 과징금 6246억8100만원과 과태료 1680만원을 부과하고 시정명령, 공표명령, 고발, 개선권고를 의결했다고 11일 밝혔다. 계열사인 쿠팡풀필먼트서비스(CFS)에는 과징금 2억4800만원을 부과했다. 개인정보위는 쿠팡이 인증 서명키 관리와 접근통제를 소홀히 하는 등 기본적인 안전관리 체계를 제대로 갖추지 않아 약 3750만명의 개인정보가 유출됐다고 판단했다. 개인정보 유출 통지와 파기 의무, 개인정보보호책임자(CPO)의 독립성 보장 의무를 위반하고 조사도 방해한 사실이 추가로 확인됐다. 개인정보위는 유사 사고 재발을 막기 위한 안전조치 강화와 비회원 정보주체에 대한 유출 통지, CPO의 실질적인 역할 보장 등을 쿠팡에 명령했다.
개인정보 사고 여파로 지난해 4분기 성장세가 꺾인 쿠팡이 고객 신뢰 회복을 최우선 과제로 내걸었다. 외부 조사 결과 2차 피해는 확인되지 않았다고 강조하면서도 사고 영향으로 4분기 실적이 둔화됐음을 인정하고 1분기 점진적 회복을 전망했다. 김범석 쿠팡 Inc 의장은 27일 4분기 실적 컨퍼런스콜에서 "개인정보 사고로 심려를 끼쳐 다시 한 번 사과드린다"며 "쿠팡의 존재 이유는 고객이며, 고객 기대에 부응하지 못한 점을 엄중히 인식하고 반드시 더 나은 모습을 보여드리겠다"고 밝혔다. 그는 "고객 감동을 위한 장기 투자와 혁신이 쿠팡을 차별화해온 요소"라며 로켓배송 상품군 확대와 운영 전반의 자동화·효율화 투자를 이어가겠다고 강조했다. 이날 컨퍼런스콜에 참석한 해롤드 로저스 한국 쿠팡 임시대표는 사고 경과를 설명했다. 전 직원 1명이 3300만여개 사용자 계정에 불법 접근해 한국 약 3000건, 대만 1건의 계정 정보를 저장했으며 이후 삭제한 것으로 포렌식 결과 확인됐다고 밝혔다. 외부 조사 결과 접근 정보는 이름·이메일·전화번호·배송지 주소, 일부 주문 내역 등 기본 정보에 한정됐고, 금융정보·비밀번호·주민등록번호 등 고도 민감 정보는 포함되지 않았다는 설명이다.
공정거래위원회가 목표 마진을 맞추기 위해 납품가격 인하나 광고비 등을 요구하는 등 납품업체에 갑질을 벌인 쿠팡에 약 22억원의 과징금을 매긴 건 앞으로 있을 쿠팡 제재의 신호탄 격이다. 공정위는 현재 쿠팡의 대규모 개인정보 유출 사태 과정에서 불거진 면책약관 논란과 복잡한 회원 탈퇴 절차 등은 물론 배달앱 최혜대우 요구와 와우멤버십 끼워팔기 등 쿠팡과 관련한 여러 건의 조사를 진행 중이다. 26일 공정위에 따르면 이번에 대규모유통업법 위반 행위로 제재 받은 쿠팡의 행위는 크게 4가지다. △납품업자와 설정한 마진 목표에 미달했을 때 납품단가 인하 요구 △자체 설정한 마진 목표에 못미칠 때 광고비, 수수료 등 부담 요구 △직매입 거래에 따른 상품대금의 법정지급기한 초과 지급 및 지연이자 미지급 △쿠팡체험단 프로그램 미소진 상품비용 미반환 등이다. 다만 공정위는 납품가격 인하 및 광고비 전가 등에 따른 납품업체 피해규모를 정확히 산정하진 못했다. 이에 따라 정액과징금에 해당하는 5억원을 각각 부과했다.
쿠팡의 미국 모회사 쿠팡Inc가 고객 개인정보 유출 사건 조사 과정에서 대만 쿠팡 계정 20만개와 관련된 개인정보가 유출된 사실을 추가로 파악했다고 24일(현지시간) 밝혔다. 쿠팡Inc는 자사 홈페이지를 통해 "대만 디지털부와 협력해 면밀히 조사한 결과 개인정보를 유출한 전직 직원이 무단으로 대만 계정 20만개에 접근한 사실을 확인했다"고 밝혔다. 앞서 쿠팡은 전직 직원이 한국 쿠팡 계정 3300만개 계정정보에 무단 접근한 사실을 파악, 조사를 벌였다. 이 과정에서 대만 정부가 쿠팡 대만지사를 통해 대만 계정들은 안전한지를 확인해달라고 쿠팡 측에 요청해 조사 범위가 확대됐다. 그 결과 동일한 직원이 대만 계정에도 불법 접근한 사실이 드러난 것이다. 대만에서 유출된 개인정보는 계정 소유주의 이름과 이메일 주소, 전화번호, 배송 주소 등 기본 연락처와 주문 정보로 파악됐다. 결제에 쓰인 카드와 계정 비밀번호, 신분증명과 같은 민감 정보는 유출되지 않았다고 쿠팡Inc는 설명했다. 한국의 경우 기본 정보와 함께 계정 2609개의 배송지 건물 출입정보가 유출됐다.
해롤드 로저스 쿠팡 대표가 23일(현지시간) 미국 하원 법사위에 출석해 대규모 정보유출 사태와 한국 정부의 대응에 대한 입장을 밝혔다. 이날 회의는 비공개로 진행했고, 로저스 대표도 출석 전 취재진에게 별도로 언급하지 않아 구체적인 내용은 베일에 쌓여있다. 하지만 앞서 미국 하원이 로저스 대표에게 보낸 소환장엔 "한국 정부가 미국 기업인 쿠팡에 대한 표적 공격을 지속했다"는 내용이 포함된 만큼 이날 회의는 한국 정부의 고강도 제재 방침에 대한 '성토장'이 될 것이란 관측이 나온다. 24일 관련 업계에 따르면 미국 하원 법사위가 이달 초 해롤로 로저스 대표에 보낸 소환장은 한국 정부가 쿠팡을 비롯한 미국 기업을 차별적으로 규제하고 있고 이에 대한 의회 차원의 감시와 입법 대응을 위한 쿠팡 측의 자료 제출과 증언을 요구하는 내용이다. 하원 법사위는 해롤드 로저스 대표가 위원회에 출석해 한국 정부의 표적 수사 및 차별적 행위에 대해 구체적으로 증언할 것을 요청했다. 소환장을 보면 이미 쿠팡은 이번 정부의 합동 조사 과정의 세부 내역과 정부 고위 인사의 발언과 제재 방침 등을 하원에 구체적으로 알린 정황이 나타난다.
쿠팡 미국 본사인 쿠팡Inc는 해롤드 로저스 쿠팡 대표가 23일(현지시간) 미국 하원 법사위에 출석한 것과 관련해 "미 하원의 의견 청취로까지 이어진 한국에서의 상황에 대해 유감스럽게 생각한다"며 "건설적인 해결 방안을 찾기 위해 여전히 노력하고 있다"고 밝혔다. 이어 "좀 더 포괄적으로는 미국과 대한민국의 가교 역할을 할 수 있기를 바라며, 이를 통해 양국 경제 관계의 개선, 안보 동맹 강화, 무역과 투자를 증진하여 양국의 이익에 동시에 도움이 될 수 있기를 바란다"고 덧붙였다. 이날 미국 하원 법사위는 한국 정부가 쿠팡의 정보유출 사건에 대해 어떻게 대우하고 있는지 조사하기 위해 로저스 대표를 소환해 의견을 청취했다. 회의는 비공개로 진행했고, 로저스 대표는 출석 전 기자들의 질의에 대해선 별도로 답변하지 않았다.
대규모 개인정보 유출 사태로 논란이 된 쿠팡의 해롤드 로저스 한국법인 임시 대표가 23일(현지시간) 미국 하원 법사위에 출석해 비공개 증언에 나섰다. 하원의 이번 조사는 향후 입법 등 후속 조치로 이어질 수 있단 점에서 파장이 주목된다. 뉴스1에 따르면 로저스 대표는 이날 오전 9시 42분께 워싱턴DC 연방 의회 의사당의 레이번 빌딩에 위치한 2237호실 법사위 회의장에 입장했다. 로저스 대표는 '오늘 어떤 입장을 밝힐 것인가' 등의 한국 취재진의 질문에 아무런 대답을 하지 않고 회의장에 들어섰다. 법사위 대변인은 이날 회의장 앞에서 한국 취재진과 만나 "회의에서는 모든 것이 논의된다"면서 "비공개 증언 행사로 세부적인 내용은 공개가 불가하다"라고 밝혔다. 이 청문회는 법사위의 행정·규제개혁·반독점 소위원회 주관으로 열렸다. 지난 5일 짐 조던 하원 법사위원장과 스콧 피츠제럴드 행정·규제개혁·반독점 소위원장은 로저스 대표에게 증언 출석을 요구하는 소환장을 발부하면서 서한을 통해 한국 정부와 소통한 모든 자료와 한국 정부의 조사 등이 쿠팡에 미칠 사업 영향에 대한 서면 자료 등을 요구했다.
민병덕 더불어민주당 의원이 "SKT(SK텔레콤) 개인정보 유출 사고 당시 (개인정보) 도용 증거가 불명확함에도 (신규 영업정지 50일 처분을 내렸던 것처럼) 쿠팡도 개인정보 도용 우려가 있다면 '일부 영업정지' 처분이라도 내려야 한다"고 주장했다. 민 의원은 23일 서울 여의도 국회 본관에서 열린 국회 정무위원회 비금융분야 업무보고에서 "배송지 주소나 현관 비밀번호 등까지 다 유출됐다. 추가 피해 가능성이 발생할 개연성이 아주 높은데 (SKT와 다른 처분을 내린다면) 형평성에 반할 수 있다"며 이같이 말했다. 민 의원은 "많은 국민들이 최근 발표된 (쿠팡 개인정보 유출 사고와 관련) 민관합동조사단 결과를 보고 '개인정보가 유출됐지만 도용되지 않았기 때문에 영업정지 처분이 불가능하다'고 알고 있다"며 "(형평성 논란 등을 고려해 공정거래위원회 차원에서) 충분히 추가 조사를 해달라"고 강조했다. 이에 주병기 공정위원장은 "공정위 직원이 국회에서 발표하는 과정이 언론에 잘못 알려진 것"이라며 "(현재로선 영업정지 처분이 어렵다고 전해졌는데) 사실이 아니다"라고 답변했다.