쿠팡 3370만명이 털렸다
쿠팡 이용객 약 3370만개 고객 계정의 개인정보가 외부에 무단으로 노출돼 파장이 일고 있다.
총 272 건
쿠팡의 대규모 개인정보 유출사태 이후 계좌·신용카드 정보까지 노출된 것 아니냐는 우려가 커지며 금융감독원의 조사가 필요하다는 지적이 나온다. 쿠팡은 "결제정보는 보관하지 않는다"고 주장하지만 가입시 쿠팡 웹·앱 화면에 카드·계좌정보를 직접 입력하는 '원아이디(ID)' 구조가 불안감을 키운다. 전자금융거래업자인 쿠팡페이가 해킹을 당해도 '고의'가 아니면 1개월 밖에 영업정지를 할 수 없는 제도적 허점도 문제로 지적된다. 7일 금융권에 따르면 3370만명의 개인정보가 유출된 쿠팡에 대해 결제정보까지 해킹됐는지 금융당국이 확인할 필요가 있다는 목소리가 나온다. 그러나 쿠팡은 금융회사나 전금업자(전자금융사업자)가 아니라 금감원이 조사권을 갖고 있지 않고 금감원은 민관합동 조사단에도 포함되지 않아 전문적 조사가 막힌 상황이다. 쿠팡은 결제정보를 별도보관하지 않는다고 설명한다. 쿠팡페이는 카드번호 16자리 중 6자리만 보관하고 나머지는 카드사로 넘기며 정보는 토큰방식으로 암호화한다는 입장이다. 그럼에도 결제정보를 최초 입력하는 화면이 쿠팡이라는 점에서 실제 정보저장 여부와 쿠팡·쿠팡페이 간 망분리가 제대로 이뤄졌는지는 금융당국의 추가확인이 필요하다는 지적이다.
쿠팡발 개인정보 유출 사고가 단일 기업의 보안 실패를 넘어 사회·금융 전반에 충격을 줄 수 있는 '시스템적 사이버 리스크'로 확산하고 있다는 경고가 나왔다. 전문가들은 대형 플랫폼이 사실상 사회 인프라가 된 만큼, 정부의 사이버 스트레스 테스트 도입과 기업·보험사의 리스크 관리 체계 강화가 시급하다고 지적한다. 7일 보험연구원이 공개한 '대규모 개인정보 유출 사고와 시스템적 사이버 리스크' 리포트에서 정광민 포항공과대학교 교수는 대규모 정보 유출이 금융사기, 계정탈취, 피싱 등 2·3차 피해로 이어질 수 있다고 지적했다. 그는 이러한 사고가 "단순 보안 이슈를 넘어 국가적 위험으로 전이될 수 있는 구조적 리스크"라고 평가했다. 플랫폼에 개인정보가 집중된 구조에서는 사고 한 건이 금융·통신·유통 등으로 빠르게 확산하고 시장 신뢰도 하락과 금융시장 충격으로 이어질 수 있다고 분석한다. 정 교수는 이러한 위험을 관리하기 위해 빅테크 플랫폼을 '시스템적으로 중요한 기술'로 간주해 규율할 필요가 있다고 강조했다.
쿠팡이 7일 대규모 정보유출 사건 관련해 '노출'이란 표현을 '유출'로 수정하고 유출범위와 2차 피해방지를 위한 방안 등을 재공지했다. 공동현관비밀번호가 유출됐다는 사실도 공지를 통해 공식화했다. 쿠팡은 7일 쿠팡 앱과 웹사이트에 "개인정보 유출사고에 관해 재안내 드린다"는 제목의 공지문을 게시하고 개인정보가 유출된 3370만명 고객 대상으로의 문자 통지를 시작했다. 쿠팡은 "공지는 이미 발생한 개인정보 유출사고에 관한 통지로 새로운 유출사고는 없었다"며 "앞서 11월 29일부터 안내한 개인정보 유출사고에 대해 사칭, 피싱 등 추가 피해 예방을 위한 주의사항을 안내한다"고 밝혔다. 쿠팡은 앞서 개인정보 유출사고와 관련, 개인정보 유출항목과 피해예방을 안내하는 고객 공지문을 발표하고 고객들에게 문자로 해당 사안을 통지했다. 하지만 고객 통지 이후 개인정보보호위원회(개보위) 등 정부부처에서 개인정보가 '노출'된게 아니라 '유출'됐으며 이용자 대상의 피해를 최소화하는 방법을 재안내하라는 요청에 이날 재차 공지문을 냈다.
경찰이 최근 발생한 쿠팡 개인정보 유출 사태를 악용한 새로운 피싱·스미싱 시도가 발생하고 있다며 주의를 당부했다. 경찰청 전기통신금융사기 통합대응단은 신고대응센터에 쿠팡 개인정보 유출 상황을 악용한 새로운 유형의 스미싱·피싱 시나리오가 잇따라 접수되고 있다고 7일 밝혔다. 최근 주문한 물품 배송이 지연되거나 누락 될 수 있다는 내용으로 특정 링크에 접속하도록 유도하는 유형과 기존에 발생하던 카드 배송 사칭 수법에 쿠팡 개인정보 유출 상황을 결합한 방식이 확인됐다. 결합형 수법은 '본인 명의로 신용카드가 발급됐다'며 접근한다는 점에서 기존 카드 배송 사칭과 유사하지만, '쿠팡 개인정보 유출로 인해 신청하지 않은 카드가 발급된 것일 수 있다. 고객센터에 확인해야 한다'며 구체적 사실에 기반해 불안감을 조성하는 특징을 갖는다. 범인들이 알려주는 가짜 고객센터 번호로 전화하면 △악성 앱 감염 여부 검사 △보안환경 조성 등을 명목으로 휴대전화에 원격제어 앱을 설치하도록 유도한다. 이 앱이 설치되면 범인이 해당 휴대전화를 원격 조정할 수 있게 된다.
쿠팡 개인정보 유출 사태의 파장으로 소비자들 사이에 카드 무단 결제 불안감이 퍼지고 있다. 원치 않는 카드 결제가 이뤄졌다면 카드사에 부정사용을 신고해 환급받을 수 있는 제도가 있다. 하지만 이번 쿠팡 사태처럼 결제정보 유출 여부가 확실하지 않은 상황에선 카드 부정사용이 발생해도 소비자가 구제받기는 어려울 수 있다는 분석도 나온다. 6일 금융권에 따르면 최근 3370만개 계정 개인정보가 유출된 쿠팡 사태로 카드 부정사용 등 2차 피해 우려가 커지고 있다. 쿠팡에 등록된 카드로 해외에서 실제로 무단 결제가 이뤄졌다는 제보들도 나오면서 소비자 불안감이 급속도로 확산하고 있다. 만약 원치 않는 카드 결제가 이뤄졌다면 카드사에 '부정사용 신고' 기능을 이용하면 된다. 원래는 카드가 도난이나 분실된 이후 무단 결제가 발생했을 때 사용하는 기능이다. 부정사용 신고를 접수한 카드사는 사실 확인 조사를 통해 결제 취소나 환불 여부를 결정한다. 또 여신전문금융법 제19조에 따르면 PG사(결제대행업체)는 소비자가 거래 취소나 환불을 요구할 경우 이에 따라야 한다.
정치권이 오는 17일 대규모 정보유출 사태가 발생한 이커머스(전자상거래) 쿠팡에 대한 청문회 개최를 결정한 가운데, 회사 창업주이자 실질적 오너인 김범석 쿠팡Inc 의장을 핵심 증인으로 신청할 전망이다. 5일 정치권과 관련업계에 따르면 국회 과학기술정보방송통신위원회는 오는 17일 예정된 쿠팡 청문회에 김범석 의장 출석을 위해 미국 본사에 출석 협조 요청 공문을 보낼 예정이다. 정치권 관계자는 "거의 모든 국민이 이용하는 쿠팡에서 3370만개 개인정보가 유출됐는데, 이 문제를 논의하는 청문회에 기업의 최종 책임자가 나오지 않으면 기업 윤리에 치명적 결점이 될 것"이라며 "김 의장도 이번 사태의 심각성을 인정한다면 직접 출석을 결단할 것으로 기대한다"고 말했다. 현재 김 의장의 증인 신청 여부는 여야 이견이 없는 상황이다. 특히 지방선거를 앞둔 상황에서 사실상 모든 유권자의 개인정보가 유출된 대형 사고여서 표심에 민감한 정치권이 김 의장의 청문회 출석을 강력히 촉구할 것으로 예상된다. 만약 김 의장이 국회의 출석 요구를 거부하면 '동행명령권'을 발동하는 방안도 검토할 것으로 보인다.
경찰이 중간점검 결과 쿠팡 개인정보 유출 사건 관련 2차 피해 의심 사례가 확인되지 않았다고 밝혔다. 경찰청 국가수사본부(국수본)는 쿠팡 사건 발생일인 지난 6월24일 전후로 전기통신금융사기 통합대응단 및 사이버범죄 신고시스템에 접수된 스미싱·보이스피싱 사례를 분석한 결과 특별한 증감 추세는 없다고 5일 밝혔다. 또 쿠팡 사건 발생일부터 전날까지 접수된 약 2만2000건을 점검했을 때 과거부터 존재하던 범행 수법 외 배송지 정보, 주문 정보 등 쿠팡에서 유출된 정보 유형이 악용된 피해 의심 사례가 확인되지 않았다고 했다. 같은 기간 발생한 △주거침입 △침입 강절도 △스토킹 등 총 11만6000여개 범죄를 전수조사했을 때도 쿠팡 사건 관련 사례는 발견되지 않았다. 국수본은 쿠팡 유출 사건으로 2차 피해 발생에 대한 사회적 우려가 확산함에 따라 전국 발생 사건을 매일 점검하고 있다. 박성주 국수본부장은 "유출된 정보가 범죄 생태계로 스며들지 않도록 쿠팡 개인정보 유통 가능성을 면밀히 확인하겠다"며 "지속적으로 2차 피해 유무를 점검할 예정"이라고 말했다.
최근 쿠팡의 개인정보 유출 사태 이후 개인통관고유부호를 재발급하려는 이용자가 급증하면서 관세청과 세관 현장에서 혼선이 빚어지고 있다. 해외직구를 진행 중인 소비자들 상당수가 "통관번호가 악용될 수 있다"는 우려를 제기하며 번호를 변경하고 있고, 갑작스러운 수요 폭증으로 시스템 접속 지연과 통관 과정 혼잡이 동시에 발생하고 있어서다. 5일 정일영 더불어민주당 의원실이 관세청으로부터 제공받은 자료에 따르면, 개인통관고유부호 재발급 건수는 평소 하루 200~300건 수준에 머물렀으나, 쿠팡 사태 직후인 지난달 30일 12만3330건, 이달 1일 29만8742건으로 급증했다. 이틀 새 42만건이 넘는 재발급이 이뤄졌는데, 기존 발생량과 비교하면 수백배에 달하는 규모다. 이로 인해 관세청 관련 시스템이 일시적으로 지연되기도 했다. 지난달 20일부터 새로 시행된 '해지' 기능 신청 역시 폭증했다. 통관부호를 완전히 폐기하는 방식의 이 기능은 도입 초기 하루 10~20건 수준이었으나, 지난달 30일 3851건, 이달 1일 1만1312건으로 치솟았다.
국회 정무위원회 소속 강준현 더불어민주당 의원이 "이번 쿠팡 개인정보 유출 사태를 계기로 개인정보 보호제도 전반을 재검토하겠다"며 "대규모 정보 유출 기업에 대한 강력한 제재와 징벌적 손해배상을 확대할 것"이라고 밝혔다. 또 국회 긴급 현안질의에 출석하지 않은 김범석 쿠팡Inc 이사회 의장을 향해 "책임 있는 행동을 하라"고 촉구했다. 강 의원은 4일 오전 서울 여의도 국회 본관에서 열린 당 정책조정회의에서 "국민 정보와 안전을 지키는 일에 어떤 타협도 있을 수 없으며 국회는 책임 있는 감시와 입법 역할을 다할 것"이라며 "보안 의무 강화를 비롯한 관련 입법을 신속히 추진하겠다"고 말했다. 미국 시민권자인 김 의장을 향해선 "한국으로 오라"며 "대규모 개인정보 유출 사고가 발생한 상황에 오너가 침묵으로 일관하는 것은 국민 상식에 부합하지 않는다. 더 이상 숨지 말고 피해 수습과 재발 방지를 위해 적극적으로 나서야 한다"고 당부했다. 허영 민주당 원내정책수석부대표는 "기본도, 윤리도, 책임도 없는 쿠팡에 대한민국이 줄 수 있는 건 일벌백계"라며 "기업 스스로 전면적 쇄신이 불가능하다는 것이 이틀간의 국회 현안 질의에서 드러났다.
쿠팡에서 대규모 고객 정보 유출이 발생한 가운데 한 40대 남성이 쿠팡에 등록된 신용카드로 거액이 무단 결제됐다고 주장했다. 쿠팡 측은 로그인 정보와 신용카드 번호 등 결제 정보는 유출 정보에 포함되지 않았다고 밝혔지만 불안감이 커지고 있다. 지난 2일 YTN 보도에 따르면 경북 포항에 거주하는 남성 A(40대)씨는 지난달 30일 쿠팡으로부터 개인정보가 유출됐다고 통지받았다. 당시 A씨는 사용한 적 없는 300만원이 카드로 결제됐다는 문자를 전날 받은 상태였다. 해당 결제 내역엔 결제대행사 상호만 적혀 있어 어디서, 무엇을 결제한 것인지는 알 수 없었다고 한다. 확인 결과 누군가 먼저 499만원 결제를 시도했다가 한도 초과로 실패하자 금액을 300만원으로 낮춰 다시 결제한 사실이 드러났다. 이어 150만원 추가 결제 시도도 있었던 것으로 파악됐다. 한도가 더 작은 A씨 다른 카드에서도 비슷한 결제 시도가 이어졌다. 그러나 결제가 모두 실패하자 급기야 카드 비밀번호 변경을 시도하기까지 했다. A씨는 쿠팡에 결제 수단으로 등록했던 카드에서만 피해가 발생했다는 점을 토대로 해당 사건과 이번 정보 유출 사건의 관련성을 의심하고 있다.
올들어 쿠팡 등에서 대규모 개인정보 침해사고가 잇따라 발생한 데 대해 보안전문가들은 인증 및 접근권한 통제와 같은 기본 보안원칙을 지키지 않은 탓이라고 입을 모았다. 홍준호 성신여대 융합보안공학과 교수는 3일 "퇴사자가 외부에서 접근해 본인의 인증권한을 행사한 정황이 보인다는 점에서 인증토큰을 활용했을 가능성이 매우 높다"며 "접근통제 및 권한관리 등 개인정보 보호를 위한 안전조치가 적절히 이뤄지지 않은 게 가장 큰 문제"라고 했다. 홍 교수는 "개인정보 취급자는 원칙적으로 망분리된 환경에서 지정된 단말기로만 시스템에 접근해야 하고 대량의 데이터를 다운로드할 때 반드시 트래픽 증가나 이상행위가 탐지돼야 한다"며 "이번 사건은 이같은 보안관리 체계가 제대로 작동하지 않은 점이 문제의 핵심"이라고 했다. 내부시스템 관리가 최우선이라는 지적도 나왔다. 정보보안 전문기업 스틸리언의 박찬암 대표는 "해킹사고 발생시 가장 먼저 살펴보는 게 내부자 문제"라며 "'아무것도 신뢰하지 않고 모든 접근을 검증하라'는 제로트러스트 관점에서 시스템을 관리해야 했다"고 지적했다.
쿠팡 내부 보안체계 구멍으로 3370만개 계정의 개인정보가 유출되면서 징벌적 과징금 도입 논의가 본격화됐다. 대통령이 피해자 구제를 위해 직접 언급한 징벌적 손해배상제도 현실화 방안 역시 '뜨거운 감자'로 떠올랐다. 송경희 개인정보보호위원회(이하 개인정보위) 위원장은 3일 국회 정무위원회의 쿠팡 개인정보 유출 관련 질의에 참석해 "과징금을 강화하고 징벌적 손해배상제도의 실효성을 강구할 수 있는 방안을 찾겠다"고 밝혔다. 개인정보법에 따르면 법 위반기업에 전체 매출의 최대 3%의 과징금을 부과할 수 있다. 그러나 사고 발생 후 조치에 따라 가감돼 실제 3%를 부과받은 사례는 없다. 쿠팡은 최근 5년간 3차례 개인정보 유출사고가 발생했다. 특히 이번엔 국민 대다수에 해당하는 3370만개 계정의 개인정보(이름, 주소, 연락처, 주문내역, 공동현관 비밀번호 등)가 빠져나가 징벌적 과징금 논의가 지속된다. 송 위원장은 "(사고 반복기업 과징금 가중 및 징벌적 과징금 도입과 관련해) 법적으로 소급적용은 어렵겠지만 아주 심각한 사고의 재발방지 등을 위해 법률 개정을 준비 중"이라면서 "현재 법·제도상 가장 강력한 제재도 할 준비가 돼 있다"고 말했다.