쿠팡 3370만명이 털렸다
쿠팡 이용객 약 3370만개 고객 계정의 개인정보가 외부에 무단으로 노출돼 파장이 일고 있다.
총 272 건
쿠팡의 개인정보 유출 사태 대응을 두고 대통령실과 각 부처에서 "선을 넘었다"는 목소리가 나온다. 대통령실과 관계부처가 조속한 사태 해결을 위한 범부처 장관 회의를 시작하는 시점에 맞춰 쿠팡이 '셀프조사' 결과를 발표하면서다. 26일 대통령실에 따르면 김용범 대통령실 정책실장은 성탄절인 전날 오후 4시쯤 배경훈 부총리 겸 과학기술정보통신부 장관·조현 외교부 장관·김윤덕 국토교통부 장관과 송경희 개인정보보호위원장·주병기 공정거래위원장·임광현 국세청장 등과 관계장관 회의를 열었다. 대통령실에서는 김 실장 등 정책실뿐 아니라 국가안보실 인사들도 자리했다. 전날 회의는 이재명 대통령의 지시로 소집된 것은 아니었던 것으로 전해졌다. 대통령실과 각 부처가 쿠팡 사태 해결과 관련 진행 상황을 점검하고 실효적 대책 마련을 위한 '속도전'을 논의하기 위해 마련됐다. 사태 발생 후 약 한달이 지났음에도 부처별로 국민들이 피부로 느낄만한 해법이 나오지 않았다는 판단에서다. 앞서 이 대통령은 지난 2일 국무회의에서 "쿠팡 때문에 우리 국민들께서 걱정이 많다"며 "관계부처는 해외 사례들을 참고해 과징금을 강화하고 징벌적 손해배상 제도도 현실화하는 등 실질적이고 실효적인 대책 마련에 나서주시기 바란다"고 주문한 바 있다.
더불어민주당 주도로 추진되는 쿠팡 연석청문회를 두고 당 내부에서도 실효성 비판이 제기된다. 국회 6개 상임위원회가 쿠팡과 관련한 여러 현안을 종합적이고 다각도로 다루겠단 취지에는 공감하지만 열흘도 남기지 않고 일정이 확정된 탓에 준비할 시간이 부족하다는 지적이다. 김범석 쿠팡Inc 의장의 출석마저 불투명한 상태서 맹탕청문회 우려가 번지는 모습이다. 25일 정치권에 따르면 이번 청문회는 과학기술정보방송통신위원회(7명)가 주관하고 △정무위원회(3명) △국토교통위원회(2명) △기후에너지환경노동위원회(3명) △기획재정위원회(2명) △외교통일위원회(1명) 등이 참여하는 이번 청문회는 민주당·조국혁신당·사회민주당 소속 의원 18명이 청문위원으로 합류했다. 청문회 위원장은 민주당 소속 최민희 과방위원장이 맡았다. 과방위 여당 간사인 김현 민주당 의원이 청문회단 총괄 간사를 맡았다. 각 청문위원은 상임위별로 구성했다. 혁신당에선 과방위 소속 이해민 의원이, 사회민주당에서는 정무위 소속 한창민 의원이 각각 청문회단에 포함됐다.
쿠팡이 고객계정에 접근해 개인정보를 빼낸 전 중국인 직원을 찾아내 범행 일체를 자백받았다. 이 직원이 정보유출에 사용한 PC 등을 포렌식(데이터복원)한 결과 실제 외부 저장장치를 통해 빠져나간 고객계정은 당초 알려진 3370만개가 아닌 3000여개로 확인됐다. 제3자에게 전송한 데이터는 일절 없는 것으로 파악됐다. 쿠팡은 이같은 내용의 고객정보 유출 관련 긴급 자체조사 결과를 25일 발표했다. 앞서 쿠팡은 사건이 발생한 직후 글로벌 3대 사이버보안업체에 조사를 맡겨 디지털지문(digital fingerprints) 등 포렌식 증거를 근거로 고객정보를 유출한 직원을 특정했다. 이 정보 유출자는 쿠팡 측에 범죄행위 일체를 자백하고 고객정보에 접근한 방식을 구체적으로 진술한 것으로 전해졌다. 쿠팡 측은 "단독으로 범행을 저질렀고 3300만개 고객계정에 접근했지만 약 3000개 계정의 제한적인 고객정보만 저장했다"며 "개인정보 유출자가 사용한 데스크톱PC와 맥북에어 등 관련장치를 모두 회수했으며 저장했던 정보도 언론보도 이후 모두 삭제했다는 진술을 확보했다"고 밝혔다.
정부가 쿠팡 개인정보 유출 사태 대응 컨트롤타워를 과학기술정보통신부(과기부) 2차관에서 과기부 장관으로 격상했다. 과기부는 25일 "플랫폼 기업의 개인정보 유출 및 소비자 보호와 관련해 이날 관계부처 대책 회의를 개최했다"며 "쿠팡 개인정보 유출 및 소비자 보호와 관련해 현재까지 진행 상황 및 향후 계획과 2차 피해 예방대책을 공유했다"고 밝혔다. 이어 "현재 류제명 과기부 제2차관이 팀장인 범부처 TF(태스크포스)를 향후 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 확대 운영하기로 했다"고 밝혔다. 쿠팡 고객정보 유출 사태와 관련해 대응 강도를 높이는 조치로 풀이된다. 또 이번 조치와 별개로 플랫폼 기업의 정보 유출과 소비자 피해를 막기 위한 제도 개선 방안도 준비하겠다고 했다. 이날 회의는 대통령실 주재로 열렸다. 대통령실에서는 김용범 정책실장, 하준경 경제성장수석, 하정우 AI미래기획수석, 오현주 국가안보실 3차장 등이 참석했다. 이 밖에도 배경훈 부총리 겸 과기정통부 장관, 주병기 공정위원장, 송경희 개인정보보호 위원장, 김종철 방송미디어 통신위원장, 이억원 금융위원장, 김진아 외교부 2차관, 여한구 산업부 통상교섭본부장 등이 참석했다.
경찰이 쿠팡 대규모 개인정보 유출 사태와 관련해 피의자가 작성한 것으로 추정되는 진술서와 범행에 사용된 것으로 의심되는 노트북을 쿠팡으로부터 임의제출 받아 분석하고 있다. 서울경찰청 사이버수사과는 25일 언론 공지를 통해 "지난 21일 쿠팡 측으로부터 피의자가 작성했다는 진술서와 범행에 사용됐다는 노트북 등 증거물을 임의제출 받았다"며 "피의자의 실제 작성 여부와 범행에 사용된 증거물인지 여부 등을 면밀히 분석하고 있다"고 밝혔다. 또 "기타 내용은 분석이 진행 중인 상황"이라고 했다. 경찰은 이번 사태와 관련해 중국 국적 전직 쿠팡 직원 A씨를 정보통신망법 위반 등 혐의로 입건해 수사 중이다. A씨를 피의자로 명시한 압수수색 영장을 발부받은 경찰은 쿠팡 사옥에서 지난 9일부터 16일까지 7차례에 걸쳐 압수수색을 진행했다. A씨에 대한 신병 확보는 아직 이뤄지지 않았다. 경찰은 쿠팡으로부터 A씨 진술서, 관련 장치 등 자료를 제출받아 증거물을 분석하고 있다. 다만 쿠팡 자체 조사와 별개로 경찰도 정식 절차를 거쳐 A씨의 피의사실을 조사하고 있다는 입장이다.
쿠팡이 크리스마스 휴일인 25일 오후 고객정보 유출 사건 관련 자체 조사 결과를 긴급 발표한 이유는 그 내용이 이번 사태의 '중대 변곡점'이 될 수 있단 판단에서다. 쿠팡은 무엇보다 회사가 보유한 3370만개 고객 계정이 통째로 유출되지 않았단 사실부터 신속하게 알렸다. 이는 관련 '2차 피해' 우려가 확산될 가능성을 선제적으로 차단하려는 조치로 풀이된다. 쿠팡은 사건 발생 직후 자체 조사 결과의 공정성을 확보하기 위해 글로벌 3대 사이버 보안 업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영에 포렌식 조사를 의뢰했다. 실제 정보 유출 규모가 크지 않고, 관련 내용도 우려할 만한 수준이 아니란 점이 주목할 부분이다. 쿠팡에 따르면 개인정보 유출 직원은 탈취한 보안 키를 사용해 3300만개 고객 계정에 접근했지만, 실제로 외부 저장장치에 저장한 내용은 약 3000개 계정뿐이다. 해당 내용도 이름과 이메일, 전화번호, 주소, 일부 주문정보 등 기본 정보와 2609개의 공동현관 출입번호로 파악됐다. 하지만 이렇게 확보한 정보를 제3자 등 외부에 전달한 흔적이 없었으며, 이외에 결제 및 로그인 정보와 개인통관고유번호 등을 유출한 흔적도 없었단게 쿠팡측 설명이다.
쿠팡이 고객 계정에 접근해 개인정보를 빼낸 중국인 전 직원을 찾아내 범행 일체를 자백받았다. 이 직원이 정보 유출에 사용한 PC 등을 포렌식 조사한 결과 실제 외부 저장 장치를 통해 빠져나간 고객 계정은 당초 알려진 3370만개가 아닌 3000여개인 것으로 확인됐다. 이마저도 모두 삭제됐고, 제3자에게 전송한 데이터도 일체 없는 것으로 파악됐다. 쿠팡은 이같은 내용의 고객 정보유출 관련 긴급 자체 조사 결과를 25일 발표했다. 앞서 쿠팡은 사건 발생 직후 글로벌 3대 사이버 보안 업체에 조사를 맡겨 디지털 지문(digital fingerprints) 등 포렌식 증거를 근거로 고객 정보를 유출한 직원을 특정했다. 이 정보 유출자는 쿠팡측에 범죄 행위 일체를 자백하고, 고객 정보에 접근한 방식을 구체적으로 진술한 것으로 전해졌다. 쿠팡측은 이날 "단독으로 범행을 저질렀고, 3300만개 고객 계정에 접근했지만 약 3000개 계정의 제한적인 고객 정보만 저장했다"며 "개인정보 유출자가 사용한 데스크톱 PC와 맥북 에어(MacBook Air) 등 관련 장치를 모두 회수했으며, 저장했던 정보도 언론 보도 이후 모두 삭제했다는 진술을 확보했다"고 밝혔다.
대통령실이 성탄절인 25일 쿠팡의 개인정보 유출 사태 대응을 위한 범부처 관계장관 회의를 긴급 소집한 것은 실효적인 대책 마련을 위한 '속도전'을 당부하기 위해서다. 정부와 국회의 사태 해결 노력을 비판하는 '미국발 여론전'에 대통령실이 예의주시하는 기류도 감지된다. 대통령실에 따르면 김용범 대통령실 정책실장은 이날 오후 배경훈 과학기술정보통신부·조현 외교부 ·김윤덕 국토교통부 장관과 송경희 개인정보보호위원장·주병기 공정거래위원장·임광현 국세청장 등과 관계장관 회의를 했다. 이는 쿠팡 측이 지난달 29일 입장문을 통해 "고객정보 약 3370만개가 무단으로 유출된 것을 확인했다"고 밝힌 지 약 한달이 지났음에도 사태 해결과 재발 방지를 위해 체감할만한 대책이 나오지 않은 상황을 고려한 것으로 해석된다. 오현주 대통령실 국가안보실 3차장은 지난 7일 용산 대통령실에서 열린 기자간담회에서 "쿠팡 사태와 같은 보안 사태 소식이 들릴 때마다 국민들께 죄송하고 답답한 마음"이라며 "현재로서는 법령이 조기 정비되고 내년부터 본격적인 정책을 시행하는 것으로 준비하고 있다"고 말했다.
쿠팡 대규모 개인정보 유출사고와 관련해 쿠팡이 일방적으로 중간조사 결과를 발표한 데 대해 당국이 강력히 항의했다. 과학기술정보통신부는 25일 보도 설명자료를 통해 "민관합동조사단에서 조사 중인 사항을 쿠팡이 일방적으로 대외에 알린 데 대해 쿠팡에 강력히 항의했다"고 밝혔다. 또 "민관합동조사단에서 정보유출 종류, 규모, 유출 경위 등에 대해 면밀히 조사 중"이라며 "쿠팡이 주장하는 사항은 민관합동조사단에 의해 확인되지 않았다"고 했다. 이날 쿠팡은 포렌식(증거분석) 조사를 위해 글로벌 사이버 보안 업체인 맨디언트, 팔로알토네트웍스, 언스트앤영 등 외부 전문기관에 조사를 의뢰한 결과 개인정보를 유출한 자는 약 3300만 고객 계정의 기본정보에 접근했으나 이 중 3000개 계정의 정보만 제한적으로 저장했다고 발표했다. 쿠팡에 따르면 유출자는 재직 당시 취득한 내부 보안 키를 탈취해 이름과 이메일, 주소, 전화번호 등 기본 정보에 접근했다. 2609건의 공동현관 출입번호 접근, 약 3000개 계정의 이름, 연락처, 주소 등 주문정보가 이에 포함됐다.
대통령실이 성탄절에 쿠팡의 3370만명 규모 개인정보 유출 사태 대응을 위한 범부처 관계장관 회의를 긴급 소집해 경영진 처벌 방안과 소비자 피해 구제책 등을 논의했다. 25일 대통령실에 따르면 김용범 대통령실 정책실장은 이날 오후 배경훈 과학기술정보통신부·조현 외교부 ·김윤덕 국토교통부 장관과 송경희 개인정보보호위원장·주병기 공정거래위원장·임광현 국세청장 등과 관계장관 회의를 했다. 대통령실에서는 김 실장을 포함해 정책실뿐 아니라 국가안보실 인사들도 자리했다. 대통령실이 성탄절에 범부처 관계장관 회의를 소집한 것에는 쿠팡 사태 해결에 좀처럼 속도가 나지 않는다는 판단이 깔린 것으로 풀이된다. 송 위원장은 지난 12일 세종 세종컨벤션센터에서 열린 개인정보보호위원회 업무보고에서 쿠팡 사태와 관련해 "(과징금이) 법적으로는 전체 매출액의 3%로 돼 있다. 시행령 단계에서는 직전 3개년 매출액의 평균으로 돼 있다"고 하자 이 대통령은 "일단 그 시행령을 일단 고치자. 3년 중에서 제일 높은 연도의 3%로 하자"고 주문했다.
쿠팡이 대규모 개인정보 유출에 사용된 모든 장치를 회수하고 외부 유출 없이 모두 삭제한 사실을 확인했다. 특히 이번 사태와 관련해 정부 기관 조사에 성실히 협조 중이며, 별도의 고객 보상 방안을 마련해 조만간 발표할 계획이다. 쿠팡은 25일 "최근 발생한 개인정보 유출이 고객들에게 얼마나 큰 우려를 불러일으켰는지 책임을 통감하고, 수많은 국민들이 걱정과 불편을 겪게된 것에 대해 진심으로 사과드린다"며 다시 한번 고개를 숙인 뒤 이같이 밝혔다. 앞서 쿠팡은 포렌식 조사를 위해 글로벌 사이버 보안 업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영 등 세계 상위 수준의 외부 전문기관에 조사를 의뢰했다. 쿠팡이 이날 내놓은 중간 조사 결과에 따르면 특정된 개인정보 유출자는 약 3300만 고객 계정의 기본 정보에 접근했으나 이중 3000개 계정의 정보만 제한적으로 저장했고, 이후 이를 모두 삭제했다. 실제로 이 직원은 재직 당시 취득한 내부 보안 키를 탈취해 이름과 이메일, 주소, 전화번호 등 기본정보에 접근했다.
쿠팡 15일 발표