머니투데이

경찰이 3370만명의 개인정보 유출 사고가 발생한 쿠팡에 대해 지난 9일에 이어 2차 압수수색에 나섰다. 서울경찰청 사이버수사과는 10일 오전 정보통신망법상 정보통신망 침입과 비밀누설 등 혐의로 서울 송파구 쿠팡 본사 사무실에 대한 2차 압수수색을 진행 중이라고 밝혔다. 경찰은 전날 오전 11시쯤부터 약 10시간 동안 쿠팡 본사 사무실에 대한 압수수색을 진행했다. 쿠팡 본사를 대상으로 제시한 압수수색영장에는 쿠팡에 재직했던 전직 중국인 직원이 피의자로 적시된 것으로 알려졌다. 해당 직원은 정보통신망법상 정보통신망 침입과 비밀누설 등의 혐의를 받는다. 경찰은 전날에 이어 이날 압수수색에 나서 확보한 디지털 증거 등을 바탕으로 정확한 사실관계를 규명할 방침이다. 앞서 쿠팡에서는 지난 6월24일부터 약 3370만명의 고객 개인정보가 외부로 빠져나갔다. 경찰은 지난달 25일 쿠팡 고소장 접수를 시작으로 범행에 사용된 인터넷 주소(IP)를 확보하는 등 본격 수사를 진행 중이다. 특히 서울경찰청 사이버수사과장을 팀장으로 하는 '쿠팡 개인정보 유출사건 전담수사팀'을 구성했다.

경찰이 고객 개인정보가 대규모 유출된 쿠팡 본사 압수수색에 나섰다. 서울경찰청 사이버수사대는 9일 오전 송파구 쿠팡 본사 압수수색을 진행하고 있다고 밝혔다. 현장에는 전담수사팀장 등 경찰 17명이 투입됐다. 경찰은 개인 정보 유출 사건과 관련 정확한 사건 경위를 파악하기 위해 수색에 나섰다. 이날 회사에 확보한 디지털 증거 등을 바탕으로 개인정보 유출자, 유출 경로 및 원인 등 사건의 전반적인 사실관계를 종합적으로 규명할 예정이다. 쿠팡에서는 지난 6월24일부터 3370만명 상당 고객 개인정보 정보가 외부로 빠져나갔다. 앞서 경찰은 범행에 사용된 인터넷 주소(IP)를 확보해 수사를 진행하고 있다고 밝혔다. 2차 피해 방지 차원에서 관련 사건 발생 여부도 매일 점검 중이다.

쿠팡의 대규모 정보유출 사태와 관련한 손해배상 소송이 국내외에서 동시에 진행될 전망이다. 소송단은 특히 미국 본사를 상대로 개인정보 '관리 실패' 문제를 집중적으로 부각할 것으로 예상된다. 법무법인 대륜이 설립한 미국 현지 법인 SJKP는 8일(현지시간) 뉴욕 맨해튼 원월드트레이드센터(1WTC) 내 SJKP 사무실에서 기자회견을 열고 최근 발생한 쿠팡 개인정보 유출 사태와 관련해, 미국 본사인 쿠팡Inc. 를 상대로 손해배상 소송을 제기한다며 이 같은 소송 방향성을 설명했다. 이날 기자회견에는 김국일 대륜 경영대표와 손동후 미국 뉴욕주 변호사, 탈 허쉬버그 미국 뉴욕주 변호사가 참석했다. 김국일 대표는 "쿠팡Inc. 는 미국에 설립돼 있고, 이사회·경영진이 미국에서 리스크 관리와 거버넌스를 총괄해왔다"며 "보안 투자·내부통제 등에 대한 최종 책임은 미국 본사 이사회와 최고 경영진에게 있는 만큼 책임을 회피할 수 없을 것"이라고 말했다. 이어 "미국은 징벌적 손해배상 제도가 있어 배상 규모 자체가 다르다"며 "실제로 미국 에퀴팩스(Equifax)는 3000만 명의 정보를 유출해 합의금으로 7억 달러를 낸 바 있는데, 이러한 선례들을 근거로 쿠팡 측에도 징벌적 손해배상을 청구할 것"이라고 덧붙였다.

대규모 개인정보 유출 사고가 발생한 쿠팡에 대해 국내 법인은 물론 미국 본사를 상대로 징벌적 손해 배상을 미국 법원에 청구하는 집단 소송이 예고됐다. 한국 법무법인 대륜의 미국 현지법인인 SJKP는 8일(현지시간) 미국 뉴욕에서 기자회견을 열고 쿠팡 모기업인 쿠팡 아이엔씨(Inc)를 상대로 뉴욕 연방법원에 소비자 집단소송을 공식 제기할 예정이라고 밝혔다. 대륜은 가급적 올해 안에 미 법원에 소송을 제기할 예정이다. 김국일 대륜 경영대표는 이날 회견에서 "쿠팡 본사는 미국 델라웨어주에 등록돼 있고 뉴욕증시에 상장된 미국 기업"이라며 "미국 사법시스템의 강력한 칼날로 이번 사태의 진상을 규명하고 피해자들에게 실질적인 배상이 이뤄지도록 할 것"이라고 말했다. 이어 "현재 한국에서 진행 중인 소송과 별개로 미국 소송은 독자적으로 진행된다"며 "한국이 소비자 피해 배상에 집중한다면 미국은 상장사의 지배구조 실패와 공시의무 위반을 다루는, 본질적으로 차별화된 소송이 될 것"이라고 설명했다. 대륜에 따르면 현재까지 한국 소송에 참여한 약 200명이 미국 소송에도 동시에 참여했다.

쿠팡이 개인정보 '노출'에서 '유출'로 표현을 정정하며 재공지한 이후 이커머스(전자상거래) 시장 전반에는 미묘한 긴장감이 돌고 있다. 유출 규모가 사실상 국내 이커머스 이용자의 대부분을 포괄하는 수준으로 확인되면서 소비자 불안이 단기간에 가라앉기 어려워진데다 유출된 개인정보가 스미싱·피싱 등 2차 피해에 활용될 가능성이 커지면서 플랫폼 보안 체계의 구조적 신뢰성에 대한 문제 제기도 잇따르고 있어서다. 8일 모바일인덱스 자료를 보면 쿠팡의 일간 활성 이용자수(DAU)는 지난달 30일 1745만명에서 이달 5일 1617만명으로 약 100만명 가량이 감소했다. 수치만 보면 눈에 띄는 하락폭이지만, 같은 기간 G마켓과 11번가도 161만~170만명, 137만~159만명대에서 등락을 반복한 만큼 이를 곧바로 뚜렷한 '이탈 흐름'으로 단정하기는 어렵다는 관측이 나온다. 다만 일주일간의 추세를 놓고 보면 쿠팡과 타 플랫폼 모두 미세한 변동성이 커진 것을 두고 시장 내부에서는 "큰 판도 변화로 보기는 이르지만, 변화의 초기 신호 정도는 나타난 것"이라는 분석도 제기된다.

쿠팡의 대규모 정보유출 사태와 관련한 국내외 집단소송이 확대될 전망이다. 국내 법인은 물론 본사인 미국 법인을 대상으로 한 소송전도 예고됐다. 8일 관련 업계에 따르면 법무법인 대륜의 미국 법인인 SJKP는 8일(현지시간) 오후 뉴욕 맨해튼 원월드트레이드센터 사무실에서 쿠팡 미국 본사 집단소송 관련 기자회견을 진행한다. 이날 기자회견에 참석하는 김국일 대륜 경영대표와 탈 허쉬버그 SJKP 미국 변호사는 쿠팡Inc를 대상으로 미국 법원에 징벌적 손해배상 소송을 제기하는 배경과 구체적인 소송 계획을 설명할 예정이다. 대륜은 한국과 미국에서 동시에 쿠팡의 정보유출 사태 관련 소송을 진행하게 된다. 국내 고객은 물론 미국 거주 한인도 이번 소송에 참여할 수 있단 게 대륜 측의 설명이다. 주식회사 쿠팡 지분은 미국 본사인 쿠팡Inc가 100% 보유 중이다. 쿠팡 창업주인 김범석 쿠팡Inc 의장은 미국 증시에 상장한 쿠팡 지분 8. 8%를 보유 중이다. 쿠팡 상장신고서에 따르면 김 의장이 보유한 쿠팡 '클래스B' 주식은 주당 29배의 차등의결권이 보장된다.

경찰이 쿠팡 개인정보 유출 사건 관련 압수수색 등 추가 수사 가능성을 시사했다. 경찰청 국가수사본부 고위관계자는 8일 오전 서울 서대문구 경찰청에서 열린 기자간담회에서 "지난달 28일 쿠팡 상대로 고소인 조사를 진행했다"며 "필요한 경우 어떠한 영역이든 추가 수사 진행할 수 있다"고 이같이 밝혔다. 경찰은 아직 쿠팡에 대해 압수수색을 진행하진 않았다. 쿠팡이 임의제출한 자료를 바탕으로 수사 중이다. 서울경찰청 전담수사팀에선 현재 범행에 사용된 IP를 확보해 추적하고 있다. 이 관계자는 "고소장엔 성명불상으로 기재됐다"며 "빠른 시일 내 법적 절차 진행되면 인터폴 적색수배, 범죄인 인도 요청 등 관련 변화 내용을 공유하겠다"고 말했다. 경찰은 쿠팡 카드 도용 피해 등 관련 범죄도 매일 확인 중이다. 경찰청 고위 관계자는 "쿠팡 유출된 정보 직접 악용한 피해 있을 수 있고, 매일 체크하고 있다"며 "쿠팡 사건 자체를 기망 수단으로 범죄로 이용하는 경우가 있을 수 있다. 스미싱·보이스피싱 주의할 내용이나 예방차원으로 통합대응단이라든지 같이 논의해서 안내하고 있다"고 설명했다.

쿠팡이 7일 대규모 정보유출 사건과 관련, '노출'이란 표현을 '유출'로 수정하고 유출범위와 2차 피해방지를 위한 방안 등을 재공지했다. 공동현관 출입번호가 유출됐다는 사실도 공지를 통해 공식화했다. 쿠팡은 7일 쿠팡 앱(애플리케이션)과 웹사이트에 '개인정보 유출사고에 관해 재안내 드린다'는 제목의 공지문을 게시하고 개인정보가 유출된 3370만명 고객을 대상으로 문자통지를 시작했다. 쿠팡은 "공지는 이미 발생한 개인정보 유출사고에 관한 통지로 새로운 유출사고는 없었다"며 "앞서 11월29일부터 안내한 개인정보 유출사고에 대해 사칭, 피싱 등 추가피해 예방을 위한 주의사항을 안내한다"고 밝혔다. 쿠팡은 앞서 개인정보 유출사고와 관련, 개인정보 유출항목과 피해예방을 안내하는 고객공지문을 발표하고 고객들에게 문자로 해당 사안을 통지했다. 하지만 고객통지 이후 개인정보보호위원회(개보위) 등 정부부처에서 개인정보가 '노출'된 게 아니라 '유출'됐으며 이용자 대상의 피해를 최소화하는 방법을 재안내하라는 요청에 이날 재차 공지문을 냈다.

쿠팡의 대규모 개인정보 유출사태 이후 계좌·신용카드 정보까지 노출된 것 아니냐는 우려가 커지며 금융감독원의 조사가 필요하다는 지적이 나온다. 쿠팡은 "결제정보는 보관하지 않는다"고 주장하지만 가입시 쿠팡 웹·앱 화면에 카드·계좌정보를 직접 입력하는 '원아이디(ID)' 구조가 불안감을 키운다. 전자금융거래업자인 쿠팡페이가 해킹을 당해도 '고의'가 아니면 1개월 밖에 영업정지를 할 수 없는 제도적 허점도 문제로 지적된다. 7일 금융권에 따르면 3370만명의 개인정보가 유출된 쿠팡에 대해 결제정보까지 해킹됐는지 금융당국이 확인할 필요가 있다는 목소리가 나온다. 그러나 쿠팡은 금융회사나 전금업자(전자금융사업자)가 아니라 금감원이 조사권을 갖고 있지 않고 금감원은 민관합동 조사단에도 포함되지 않아 전문적 조사가 막힌 상황이다. 쿠팡은 결제정보를 별도보관하지 않는다고 설명한다. 쿠팡페이는 카드번호 16자리 중 6자리만 보관하고 나머지는 카드사로 넘기며 정보는 토큰방식으로 암호화한다는 입장이다. 그럼에도 결제정보를 최초 입력하는 화면이 쿠팡이라는 점에서 실제 정보저장 여부와 쿠팡·쿠팡페이 간 망분리가 제대로 이뤄졌는지는 금융당국의 추가확인이 필요하다는 지적이다.

쿠팡발 개인정보 유출 사고가 단일 기업의 보안 실패를 넘어 사회·금융 전반에 충격을 줄 수 있는 '시스템적 사이버 리스크'로 확산하고 있다는 경고가 나왔다. 전문가들은 대형 플랫폼이 사실상 사회 인프라가 된 만큼, 정부의 사이버 스트레스 테스트 도입과 기업·보험사의 리스크 관리 체계 강화가 시급하다고 지적한다. 7일 보험연구원이 공개한 '대규모 개인정보 유출 사고와 시스템적 사이버 리스크' 리포트에서 정광민 포항공과대학교 교수는 대규모 정보 유출이 금융사기, 계정탈취, 피싱 등 2·3차 피해로 이어질 수 있다고 지적했다. 그는 이러한 사고가 "단순 보안 이슈를 넘어 국가적 위험으로 전이될 수 있는 구조적 리스크"라고 평가했다. 플랫폼에 개인정보가 집중된 구조에서는 사고 한 건이 금융·통신·유통 등으로 빠르게 확산하고 시장 신뢰도 하락과 금융시장 충격으로 이어질 수 있다고 분석한다. 정 교수는 이러한 위험을 관리하기 위해 빅테크 플랫폼을 '시스템적으로 중요한 기술'로 간주해 규율할 필요가 있다고 강조했다.

쿠팡이 7일 대규모 정보유출 사건 관련해 '노출'이란 표현을 '유출'로 수정하고 유출범위와 2차 피해방지를 위한 방안 등을 재공지했다. 공동현관비밀번호가 유출됐다는 사실도 공지를 통해 공식화했다. 쿠팡은 7일 쿠팡 앱과 웹사이트에 "개인정보 유출사고에 관해 재안내 드린다"는 제목의 공지문을 게시하고 개인정보가 유출된 3370만명 고객 대상으로의 문자 통지를 시작했다. 쿠팡은 "공지는 이미 발생한 개인정보 유출사고에 관한 통지로 새로운 유출사고는 없었다"며 "앞서 11월 29일부터 안내한 개인정보 유출사고에 대해 사칭, 피싱 등 추가 피해 예방을 위한 주의사항을 안내한다"고 밝혔다. 쿠팡은 앞서 개인정보 유출사고와 관련, 개인정보 유출항목과 피해예방을 안내하는 고객 공지문을 발표하고 고객들에게 문자로 해당 사안을 통지했다. 하지만 고객 통지 이후 개인정보보호위원회(개보위) 등 정부부처에서 개인정보가 '노출'된게 아니라 '유출'됐으며 이용자 대상의 피해를 최소화하는 방법을 재안내하라는 요청에 이날 재차 공지문을 냈다.

경찰이 최근 발생한 쿠팡 개인정보 유출 사태를 악용한 새로운 피싱·스미싱 시도가 발생하고 있다며 주의를 당부했다. 경찰청 전기통신금융사기 통합대응단은 신고대응센터에 쿠팡 개인정보 유출 상황을 악용한 새로운 유형의 스미싱·피싱 시나리오가 잇따라 접수되고 있다고 7일 밝혔다. 최근 주문한 물품 배송이 지연되거나 누락 될 수 있다는 내용으로 특정 링크에 접속하도록 유도하는 유형과 기존에 발생하던 카드 배송 사칭 수법에 쿠팡 개인정보 유출 상황을 결합한 방식이 확인됐다. 결합형 수법은 '본인 명의로 신용카드가 발급됐다'며 접근한다는 점에서 기존 카드 배송 사칭과 유사하지만, '쿠팡 개인정보 유출로 인해 신청하지 않은 카드가 발급된 것일 수 있다. 고객센터에 확인해야 한다'며 구체적 사실에 기반해 불안감을 조성하는 특징을 갖는다. 범인들이 알려주는 가짜 고객센터 번호로 전화하면 △악성 앱 감염 여부 검사 △보안환경 조성 등을 명목으로 휴대전화에 원격제어 앱을 설치하도록 유도한다. 이 앱이 설치되면 범인이 해당 휴대전화를 원격 조정할 수 있게 된다.