머니투데이

쿠팡 개인정보 유출 사태의 파장으로 소비자들 사이에 카드 무단 결제 불안감이 퍼지고 있다. 원치 않는 카드 결제가 이뤄졌다면 카드사에 부정사용을 신고해 환급받을 수 있는 제도가 있다. 하지만 이번 쿠팡 사태처럼 결제정보 유출 여부가 확실하지 않은 상황에선 카드 부정사용이 발생해도 소비자가 구제받기는 어려울 수 있다는 분석도 나온다. 6일 금융권에 따르면 최근 3370만개 계정 개인정보가 유출된 쿠팡 사태로 카드 부정사용 등 2차 피해 우려가 커지고 있다. 쿠팡에 등록된 카드로 해외에서 실제로 무단 결제가 이뤄졌다는 제보들도 나오면서 소비자 불안감이 급속도로 확산하고 있다. 만약 원치 않는 카드 결제가 이뤄졌다면 카드사에 '부정사용 신고' 기능을 이용하면 된다. 원래는 카드가 도난이나 분실된 이후 무단 결제가 발생했을 때 사용하는 기능이다. 부정사용 신고를 접수한 카드사는 사실 확인 조사를 통해 결제 취소나 환불 여부를 결정한다. 또 여신전문금융법 제19조에 따르면 PG사(결제대행업체)는 소비자가 거래 취소나 환불을 요구할 경우 이에 따라야 한다.

정치권이 오는 17일 대규모 정보유출 사태가 발생한 이커머스(전자상거래) 쿠팡에 대한 청문회 개최를 결정한 가운데, 회사 창업주이자 실질적 오너인 김범석 쿠팡Inc 의장을 핵심 증인으로 신청할 전망이다. 5일 정치권과 관련업계에 따르면 국회 과학기술정보방송통신위원회는 오는 17일 예정된 쿠팡 청문회에 김범석 의장 출석을 위해 미국 본사에 출석 협조 요청 공문을 보낼 예정이다. 정치권 관계자는 "거의 모든 국민이 이용하는 쿠팡에서 3370만개 개인정보가 유출됐는데, 이 문제를 논의하는 청문회에 기업의 최종 책임자가 나오지 않으면 기업 윤리에 치명적 결점이 될 것"이라며 "김 의장도 이번 사태의 심각성을 인정한다면 직접 출석을 결단할 것으로 기대한다"고 말했다. 현재 김 의장의 증인 신청 여부는 여야 이견이 없는 상황이다. 특히 지방선거를 앞둔 상황에서 사실상 모든 유권자의 개인정보가 유출된 대형 사고여서 표심에 민감한 정치권이 김 의장의 청문회 출석을 강력히 촉구할 것으로 예상된다. 만약 김 의장이 국회의 출석 요구를 거부하면 '동행명령권'을 발동하는 방안도 검토할 것으로 보인다.

경찰이 중간점검 결과 쿠팡 개인정보 유출 사건 관련 2차 피해 의심 사례가 확인되지 않았다고 밝혔다. 경찰청 국가수사본부(국수본)는 쿠팡 사건 발생일인 지난 6월24일 전후로 전기통신금융사기 통합대응단 및 사이버범죄 신고시스템에 접수된 스미싱·보이스피싱 사례를 분석한 결과 특별한 증감 추세는 없다고 5일 밝혔다. 또 쿠팡 사건 발생일부터 전날까지 접수된 약 2만2000건을 점검했을 때 과거부터 존재하던 범행 수법 외 배송지 정보, 주문 정보 등 쿠팡에서 유출된 정보 유형이 악용된 피해 의심 사례가 확인되지 않았다고 했다. 같은 기간 발생한 △주거침입 △침입 강절도 △스토킹 등 총 11만6000여개 범죄를 전수조사했을 때도 쿠팡 사건 관련 사례는 발견되지 않았다. 국수본은 쿠팡 유출 사건으로 2차 피해 발생에 대한 사회적 우려가 확산함에 따라 전국 발생 사건을 매일 점검하고 있다. 박성주 국수본부장은 "유출된 정보가 범죄 생태계로 스며들지 않도록 쿠팡 개인정보 유통 가능성을 면밀히 확인하겠다"며 "지속적으로 2차 피해 유무를 점검할 예정"이라고 말했다.

최근 쿠팡의 개인정보 유출 사태 이후 개인통관고유부호를 재발급하려는 이용자가 급증하면서 관세청과 세관 현장에서 혼선이 빚어지고 있다. 해외직구를 진행 중인 소비자들 상당수가 "통관번호가 악용될 수 있다"는 우려를 제기하며 번호를 변경하고 있고, 갑작스러운 수요 폭증으로 시스템 접속 지연과 통관 과정 혼잡이 동시에 발생하고 있어서다. 5일 정일영 더불어민주당 의원실이 관세청으로부터 제공받은 자료에 따르면, 개인통관고유부호 재발급 건수는 평소 하루 200~300건 수준에 머물렀으나, 쿠팡 사태 직후인 지난달 30일 12만3330건, 이달 1일 29만8742건으로 급증했다. 이틀 새 42만건이 넘는 재발급이 이뤄졌는데, 기존 발생량과 비교하면 수백배에 달하는 규모다. 이로 인해 관세청 관련 시스템이 일시적으로 지연되기도 했다. 지난달 20일부터 새로 시행된 '해지' 기능 신청 역시 폭증했다. 통관부호를 완전히 폐기하는 방식의 이 기능은 도입 초기 하루 10~20건 수준이었으나, 지난달 30일 3851건, 이달 1일 1만1312건으로 치솟았다.

국회 정무위원회 소속 강준현 더불어민주당 의원이 "이번 쿠팡 개인정보 유출 사태를 계기로 개인정보 보호제도 전반을 재검토하겠다"며 "대규모 정보 유출 기업에 대한 강력한 제재와 징벌적 손해배상을 확대할 것"이라고 밝혔다. 또 국회 긴급 현안질의에 출석하지 않은 김범석 쿠팡Inc 이사회 의장을 향해 "책임 있는 행동을 하라"고 촉구했다. 강 의원은 4일 오전 서울 여의도 국회 본관에서 열린 당 정책조정회의에서 "국민 정보와 안전을 지키는 일에 어떤 타협도 있을 수 없으며 국회는 책임 있는 감시와 입법 역할을 다할 것"이라며 "보안 의무 강화를 비롯한 관련 입법을 신속히 추진하겠다"고 말했다. 미국 시민권자인 김 의장을 향해선 "한국으로 오라"며 "대규모 개인정보 유출 사고가 발생한 상황에 오너가 침묵으로 일관하는 것은 국민 상식에 부합하지 않는다. 더 이상 숨지 말고 피해 수습과 재발 방지를 위해 적극적으로 나서야 한다"고 당부했다. 허영 민주당 원내정책수석부대표는 "기본도, 윤리도, 책임도 없는 쿠팡에 대한민국이 줄 수 있는 건 일벌백계"라며 "기업 스스로 전면적 쇄신이 불가능하다는 것이 이틀간의 국회 현안 질의에서 드러났다.

쿠팡에서 대규모 고객 정보 유출이 발생한 가운데 한 40대 남성이 쿠팡에 등록된 신용카드로 거액이 무단 결제됐다고 주장했다. 쿠팡 측은 로그인 정보와 신용카드 번호 등 결제 정보는 유출 정보에 포함되지 않았다고 밝혔지만 불안감이 커지고 있다. 지난 2일 YTN 보도에 따르면 경북 포항에 거주하는 남성 A(40대)씨는 지난달 30일 쿠팡으로부터 개인정보가 유출됐다고 통지받았다. 당시 A씨는 사용한 적 없는 300만원이 카드로 결제됐다는 문자를 전날 받은 상태였다. 해당 결제 내역엔 결제대행사 상호만 적혀 있어 어디서, 무엇을 결제한 것인지는 알 수 없었다고 한다. 확인 결과 누군가 먼저 499만원 결제를 시도했다가 한도 초과로 실패하자 금액을 300만원으로 낮춰 다시 결제한 사실이 드러났다. 이어 150만원 추가 결제 시도도 있었던 것으로 파악됐다. 한도가 더 작은 A씨 다른 카드에서도 비슷한 결제 시도가 이어졌다. 그러나 결제가 모두 실패하자 급기야 카드 비밀번호 변경을 시도하기까지 했다. A씨는 쿠팡에 결제 수단으로 등록했던 카드에서만 피해가 발생했다는 점을 토대로 해당 사건과 이번 정보 유출 사건의 관련성을 의심하고 있다.

올들어 쿠팡 등에서 대규모 개인정보 침해사고가 잇따라 발생한 데 대해 보안전문가들은 인증 및 접근권한 통제와 같은 기본 보안원칙을 지키지 않은 탓이라고 입을 모았다. 홍준호 성신여대 융합보안공학과 교수는 3일 "퇴사자가 외부에서 접근해 본인의 인증권한을 행사한 정황이 보인다는 점에서 인증토큰을 활용했을 가능성이 매우 높다"며 "접근통제 및 권한관리 등 개인정보 보호를 위한 안전조치가 적절히 이뤄지지 않은 게 가장 큰 문제"라고 했다. 홍 교수는 "개인정보 취급자는 원칙적으로 망분리된 환경에서 지정된 단말기로만 시스템에 접근해야 하고 대량의 데이터를 다운로드할 때 반드시 트래픽 증가나 이상행위가 탐지돼야 한다"며 "이번 사건은 이같은 보안관리 체계가 제대로 작동하지 않은 점이 문제의 핵심"이라고 했다. 내부시스템 관리가 최우선이라는 지적도 나왔다. 정보보안 전문기업 스틸리언의 박찬암 대표는 "해킹사고 발생시 가장 먼저 살펴보는 게 내부자 문제"라며 "'아무것도 신뢰하지 않고 모든 접근을 검증하라'는 제로트러스트 관점에서 시스템을 관리해야 했다"고 지적했다.

쿠팡 내부 보안체계 구멍으로 3370만개 계정의 개인정보가 유출되면서 징벌적 과징금 도입 논의가 본격화됐다. 대통령이 피해자 구제를 위해 직접 언급한 징벌적 손해배상제도 현실화 방안 역시 '뜨거운 감자'로 떠올랐다. 송경희 개인정보보호위원회(이하 개인정보위) 위원장은 3일 국회 정무위원회의 쿠팡 개인정보 유출 관련 질의에 참석해 "과징금을 강화하고 징벌적 손해배상제도의 실효성을 강구할 수 있는 방안을 찾겠다"고 밝혔다. 개인정보법에 따르면 법 위반기업에 전체 매출의 최대 3%의 과징금을 부과할 수 있다. 그러나 사고 발생 후 조치에 따라 가감돼 실제 3%를 부과받은 사례는 없다. 쿠팡은 최근 5년간 3차례 개인정보 유출사고가 발생했다. 특히 이번엔 국민 대다수에 해당하는 3370만개 계정의 개인정보(이름, 주소, 연락처, 주문내역, 공동현관 비밀번호 등)가 빠져나가 징벌적 과징금 논의가 지속된다. 송 위원장은 "(사고 반복기업 과징금 가중 및 징벌적 과징금 도입과 관련해) 법적으로 소급적용은 어렵겠지만 아주 심각한 사고의 재발방지 등을 위해 법률 개정을 준비 중"이라면서 "현재 법·제도상 가장 강력한 제재도 할 준비가 돼 있다"고 말했다.

여야가 쿠팡의 대규모 개인정보 유출 사건과 관련해 국회 정무위원회로부터 출석을 요구받았지만 응하지 않은 김범석 쿠팡Inc 이사회 의장을 강하게 비판했다. 정무위는 국정감사 때부터 국회의 부름에 응하지 않고 있는 김 의장에 대한 고발 여부를 논의하기로 했다. 국민의힘 소속 윤한홍 국회 정무위원장은 3일 오후 서울 여의도 국회 본관에서 열린 국회 정무위원회의 쿠팡 개인정보 유출 관련 긴급 현안질의에서 출석하지 않는 김 의장에 대해 "박대준 쿠팡 대표이사, 브랫 매티스 쿠팡 최고정보보안책임자(CISO) 등은 출석했으나 (함께 출석 요구를 한) 김범석 의장은 출석하지 않았다"고 말했다. 쿠팡은 지난달 18일 고객 계정 무단 유출 건을 인지하고 같은 달 20·29일 관련 내용을 개인정보보호위원회에 신고했다. 쿠팡은 당초 약 4500개 개인정보가 노출됐다고 파악했으나 약 3370만개 계정이 무단으로 유출된 것으로 확인됐다. 이에 국회는 전날 과학기술정보방송통신위원회와 이날 정무위에서 연이틀 긴급 현안질의를 개최했다.

개인정보보호위원회(이하 '개인정보위')는 3일 쿠팡 개인정보 유출사고 관련 긴급 전체회의를 개최해 그간 대응 상황을 점검했다고 밝혔다. 점검 결과 쿠팡은 미상의 자의 비정상적인 접근을 통해 고객 개인정보를 유출한 사실을 확인했음에도 정보 주체에게 개인정보 '노출' 통지라는 제목으로 "개인정보 일부가 노출되는 사고가 발생했다"고 안내했을 뿐 '유출' 사실을 통지하지 않았다. 개인정보위는 쿠팡이 관련 내용을 홈페이지에 단기간(1~2일) 공지하고, 공동현관 비밀번호 등 유출 항목 일부를 누락하는 등 국민의 혼선을 초래했다는 사실을 확인했다. 또 개인정보위는 국민 대다수가 이용하는 이커머스 서비스에서의 유출 사고임에도 정보 주체가 취할 수 있는 피해 예방조치에 대한 안내가 소홀하고 쿠팡의 자체 대응조치 및 피해 구제 절차 등이 미흡해 국민 우려가 증폭되고 있음을 확인했다. 이에 따라 개인정보위는 개인정보 유출로 인한 추가 피해 방지 등을 위해 쿠팡에 △개인정보 노출 통지를 유출 통지로 수정하고 유출 항목을 빠짐없이 반영해 재통지할 것 △홈페이지 초기 화면·팝업창 등을 통해 일정 기간 이상 유출 내용을 공지하고, 정보 유출로 인한 이용자의 추가적인 피해 예방 요령 등을 적극 안내할 것 △현재까지 취한 피해 방지 대책의 실효성을 검토, 자체 모니터링을 강화하고 충실한 이용자 민원 대응을 위해 전담 대응팀(help desk)을 확대 운영하는 등 민원 제기·언론보도 사례에 즉각 대처할 것을 심의·의결했다.

쿠팡 내부 보안관리체계 구멍으로 3370만 계정의 개인정보가 유출되면서 징벌적 과징금 도입 논의가 본격화됐다. 대통령이 피해자 구제를 위해 직접 언급한 징벌적 손해배상 제도 현실화 방안 역시 '뜨거운 감자'로 떠올랐다. 송경희 개인정보보호위원회(이하 개인정보위) 위원장은 3일 오후 열린 국회 정무위원회의 쿠팡 개인정보 유출 관련 현안질의에 참석해 "과징금을 강화하고 징벌적 손해배상제도의 실효성을 강구할 수 있는 방안을 찾겠다"고 밝혔다. 현행 개인정보법은 법 위반 기업에 전체 매출의 최대 3%까지 과징금을 부과할 수 있게 돼 있다. 그러나 사고 발생 후 조치에 따라 가감돼 실제로 3%를 부과받은 사례는 없다. SK텔레콤도 당초 3000억원대를 예상했지만 실제로는 약 1348억원을 부과받았다. 쿠팡은 최근 5년 간 세 차례 개인정보유출 사고가 발생했다. 특히 이번엔 국민 대다수에 해당하는 3370만 계정의 개인정보가 고스란히 빠져나가 징벌적 과징금 논의가 지속된다. 쿠팡은 고객 이름, 주소, 연락처, 주문내역, 일부 공동현관 비밀번호까지 유출해 이를 악용한 스미싱, 보이스피싱 등 2차 피해 우려가 커진다.

국회 정무위원회 소속 신장식 조국혁신당 의원이 박대준 쿠팡 대표이사에게 "왜 개인정보 유출이 아닌 노출이라고 표편하냐"고 따져 물었다. 신 의원은 3일 오후 서울 여의도 국회 본관에서 열린 국회 정무위원회의 쿠팡 개인정보 유출 관련 긴급 현안질의에서 쿠팡이 홈페이지 배너를 통해 공개한 사과문에 '개인정보 노출'이라고 쓴 것과 관련해 "사실관계를 축소하고 법적 책임을 모면하고 사회적 비난 가능성을 낮추려는 것 아니냐"며 이같이 말했다. 신 의원은 "고의나 과실의 정도에 따라 유출·노출이 달라지지 않나. 어제(2일) 과방위(국회 과학기술정보방송통신위원회)에서 (박 대표가 이번 사태와 관련해) 사과했지만 '개인정보 유출'에 대한 사과는 아니었다"며 "왜 개보위(개인정보보호위원회)가 의결까지 해가면서 쿠팡에 '개인정보 유출'이라고 수정통지까지 해야 하나"고 몰아세웠다. 개보위는 이날 오전 긴급 전체회의를 열고 쿠팡의 그간 대응 상황을 점검하며 '개인정보 노출'이라고 한 통지를 '개인정보 유출'로 수정할 것 등 쿠팡에 즉각 실시할 3가지 요구 사안을 의결했다.