머니투데이

올들어 쿠팡 뿐 아니라 통신사, 금융사 등에서 대규모 침해사고가 잇따라 발생한 데 대해 보안 전문가들은 인증 및 접근권한 통제와 같은 기본적인 보안 원칙이 지켜지지 않은 탓이라고 입을 모았다. 홍준호 성신여대 융합보안공학과 교수는 3일 머니투데이와의 통화에서 "퇴사자가 외부에서 접근해 본인의 인증 권한을 행사한 정황이 보인다는 점에서 인증 토큰을 활용했을 가능성이 매우 높다"며 "접근 통제 및 권한관리 등 개인정보보호를 위한 안전조치가 적절히 이뤄지지 않은 게 가장 큰 문제"라고 했다. 홍 교수는 "개인정보 취급자는 원칙적으로 망분리된 환경에서 지정된 단말기로만 시스템에 접근해야 하고 대량 데이터를 다운로드할 때 반드시 트래픽 증가나 이상행위가 탐지돼야 한다"며 "이번 사건에서는 이러한 보안 관리 체계가 제대로 작동하지 않은 점이 문제의 핵심"이라고 했다. 내부 시스템 관리가 최우선이라는 지적도 나온다. 정보보안 전문기업 스틸리언의 박찬암 대표는 "해킹사고가 발생할 때 가장 먼저 살펴보는 게 내부자 문제"라며 "'아무 것도 신뢰하지 않고 모든 접근을 검증하라'는 제로트러스트 관점에서 시스템을 관리해야 했다"고 지적했다.

3370만명 개인정보가 유출된 쿠팡 사태와 관련해 이찬진 금융감독원장이 "이런 기업에 대해 영업정지를 할 (법적) 방법이 없다. 그동안 영업정지를 한 적이 없다"고 밝혔다. 이 원장은 3일 국회 정무위원회의 쿠팡 개인정보 유출 사태와 관련한 긴급 현안질의에서 "확실하게 사회적으로 경종을 울려야 한다. 영업정지가 가능하냐"는 의원의 질의에 대해 법적인 근거가 없어서 조치를 할 수 없다는 취지의 답변을 했다. 강민국 국민의힘 의원은 "저도 쿠팡을 씁니다만, 내 카드로 결제하게 돼 있다. 주소, 비번 뿐 아니라 내 카드결제 정보가 유출되면 전반에 대해 다 바꿔야 한다"며 "금감원, 금융위는 카드 결제정보 유출 우려에 대해 어떻게 대응하냐"고 질의했다. 이에 이억원 금융위원장은 "심각하게 보고 있다. 금감원이 긴급 현장조사 가서 그 부분에 철저히 보고 있다"고 발혔다. 이 원장은 "어제부터 들어갔고, 정밀하게 보고 있다"며 "조금이라도 약간의 의심점이 있으면 곧바로 검사로 전환해 진행하려고 한다. 쿠팡 결제정보 관련 흔적이 있는지 보기 위해 합동조사단에 (금감원이) 들어가려고 한다"고 말했다.

송경희 개인정보보호위원회(이하 개인정보위) 위원장이 3일 국회 정무위원회 전체회의에서 현행 개인정보보호법에 징벌적 손해배상을 청구할 수 있는 규정이 있다고 답했다. 김승원 더불어민주당 의원은 이날 송 위원장에게 "쿠팡의 연 매출이 41조이니 매출액의 최대 3%인 과징금은 1조2000억원까지 부과가 가능하다"며 "현행법상 징벌적 손해배상을 청구할 수 있는 규정이 있냐"고 물었다. 이에 송 위원장은 "관련 규정이 있다"고 답했다. 김 의원은 "개인정보 유출 사건이 반복되고 있고 대통령이 지적했듯 (징벌적 손해배상이) 필요한 상황"이라며 "적극 검토해달라. 위원장의 의무라고 생각한다"고 덧붙였다. 현행 개인정보보호법은 고의 또는 중대한 과실로 개인정보가 유출돼 피해가 발생하면 손해액의 최대 5배까지 배상할 수 있도록 규정한다. 그러나 징벌적 손해배상제도는 2015년 도입 후 10년간 한 차례도 적용되지 않았다. '개인정보처리자가 고의 또는 중과실이 없음을 증명한 경우 적용하지 않는다'는 단서 조항 때문이다.

박대준 쿠팡 대표이사가 "결제정보는 유출되지 않았다"고 3일 밝혔다. 다만 이에 대한 정부의 조사는 아직 이뤄지지 않은 것으로 확인됐다. 박 대표는 3일 오후 서울 여의도 국회 본관에서 열린 국회 정무위원회의 쿠팡 개인정보 유출 관련 긴급 현안질의에서 국민의힘 소속 윤한홍 정무위원장이 "(앞서 질의한) 김현정 의원(더불어민주당)의 질문에 명확하게 대답하지 않아 다시 물어본다. 결제정보 유출이 안 된 게 맞나"라는 물음에 이같이 답변했다. 이에 윤 위원장은 송경희 개인정보보호위원회 위원장에 "사실인가"라고 질문했고 송 위원장은 "현재 조사 중이다. 그 부분에 대해선 아직 확인되지 않았다"고 했다. 윤 위원장은 "국민들이 가장 걱정하는 부분"이라며 "금융감독원 현장 조사 결과는 어땠나"라고 질문했다. 이찬진 금융감독원장이 "정부 합동조사단에 금감원이 포함되지 않다"며 "교통정리가 돼서 합동조사단에서 같이 활동할 필요가 있다"고 했다. 답변을 들은 윤 위원장은 윤창렬 국무조정실장에 "이런 건 국무조정실에서 교통 정리를 해줘야 하지 않나.

'로켓배송' 서비스를 앞세워 국내 유통업 매출 1위에 오른 이커머스(전자상거래) 쿠팡이 역대급 정보 유출 사태로 창사 이래 최대 위기를 맞았다. 우리 국민 4명 중 3명꼴인 3370만개 계정, 사실상 모든 고객 개인정보가 통째로 유출되면서 보이스피싱 등 2차 피해 우려까지 제기된다. 국내 사업을 총괄하는 박대준 쿠팡 대표가 사고 발생 직후인 지난달 30일 대국민사과로 진화에 나섰지만 역부족인 상황이다. 업계 안팎에선 창업자인 김범석 쿠팡Inc 의장이 직접 나서야 사태 수습의 실마리가 풀릴 것이란데 공감대가 형성되고 있다. 이번 정보 유출 사태는 물류센터 화재나 새벽배송 논란 등 그간 쿠팡이 경험해온 위기와 차원이 다르단 이유에서다. 3일 관련업계에 따르면 지난 2일 국회 과학기술정보방송통신위원회(이하 과방위)에서 진행된 '쿠팡 개인정보 유출 사태 현안 질의'에 참석한 배경훈 부총리 겸 과학기술정보통신부 장관은 "해당 기업의 최고 책임자가 입장을 명확히 밝히는게 필요할 것 같다"며 김 의장의 공식 사과를 촉구했다.

쿠팡과 쿠팡페이가 동일한 아이디를 사용하는 '원아이디' 정책에 따라 전자금융업자인 쿠팡페이의 결제정보가 유출될 수 있다는 우려가 제기되고 있다. 쿠팡측은 금융결제정보 유출은 확인되지 않았다고 밝혔다. 이에 따라 쿠팡은 금융당국에 정보 유출에 따른 침해사고 보고는 하지 않은 상태다. 이에 대해 이억원 금융위원장이 "원아이디 정책으로 하고 있어서 쿠팡과 쿠팡페이가 사전에 합의된 상태로 플랫폼을 같이 이용하고 있는 상황"이라며 "어제부터 현장점검에 들어갔고, 확인되는대로 곧바로 검사 여부를 판단해 적극 진행하겠다"고 3일 밝혔다. 이 위원장은 이날 국회 정무위원회의 쿠팡 개인정보유출 사태와 관련한 긴급 현안질의에서 쿠팡과 쿠팡페이가 동일 아이디를 사용하고 있어 쿠팡페이의 결제정보가 유출될 수 있다는 지적에 대해 현장점검 후 검사 가능성도 열어뒀다. 쿠팡은 계열사로 전자금융업자인 쿠팡페이와 여신금융회사인 쿠팡파이낸스를 두고 있다. 김현정 더불어민주당 의원은 "회원가입을 하면 화면에 필수항목으로 전자금융거래 이용약관에 동의하게 돼 있는데, 이게 쿠팡페이를 의미한다"며 "쿠팡에 가입하면 별도의 가입절차 없이 자동으로 쿠팡페이에 가입이 된다.

"과징금을 강화하고 징벌적 손해배상제도의 실효성을 강구할 수 있는 방안을 찾겠습니다. " 송경희 개인정보보호위원회(이하 개인정보위) 위원장이 3일 국회 정무위원회 전체회의에서 쿠팡 개인정보 유출 사태에 관한 현안 보고와 함께 징벌적 손해배상제도를 현실화하겠다며 이같이 말했다. 지난 2일 이재명 대통령은 "(쿠팡 개인정보 유출 사태의) 피해 규모가 3400만 건으로 방대한데도 사건이 발생하고 회사가 유출 자체를 파악하지 못했다는 게 참으로 놀랍다"며 "관계 부처는 해외 사례들을 참고해서 과징금을 강화하고 징벌적 손해배상제도도 현실화하는 등 실효적인 대책을 마련해달라"고 주문했다. 이날 정무위는 쿠팡 측과 유관기관 등을 대상으로 쿠팡의 고객정보 유출과 관련한 현안질의를 진행했다. 송 위원장 외에도 박대준 쿠팡 대표이사, 브랫 매티스 쿠팡 CISO(최고정보보안책임자) 등이 참석했다. 개인정보위는 유출 경위, 규모, 항목 등 사실관계를 확인하고 쿠팡의 개인정보보호법상 안전조치 의무 위반 여부를 철저히 조사할 방침이다.

대규모 '개인정보 유출' 사태로 쿠팡 탈퇴 인증이 잇따르고 있는 가운데 유료 구독을 해지하는 과정에서 제공되는 혜택이 이용자에 따라 다르게 적용된다는 소비자 불만이 확산되고 있다. 3일 온라인 커뮤니티와 SNS(소셜미디어)에 쿠팡 유료구독인 '와우 멤버십' 탈퇴 인증 글이 잇따라 올라왔다. 탈퇴 인증글은 지난달 29일 쿠팡에서 3370만개 개정 고객명·이메일·주소 등 개인 정보가 유출됐다고 밝힌 뒤 부터 급증했다. 쿠팡은 올해 6월부터 개인정보가 유출된 것을 뒤늦게 파악했다고 밝혔다. 박대준 쿠팡 대표가 이 사태에 대한 대국민 사과를 했다. 온라인에선 쿠팡이 탈퇴를 하는 고객들에게 서로 다른 혜택을 제공하고 있단 주장이 제기됐다. 한 누리꾼은 '유료 구독 해지' 버튼을 눌렀더니, 추가 무료 쿠폰을 받았다며 인증 사진을 올렸다. 반면 아무 제안 없이 바로 해지가 처리됐다는 반응도 있었다. 온라인에선 "해지하려 했더니 무료 2개월을 제안받았다", "나에게는 아무 혜택도 없이 '잘 가라'고 했다"는 반응이 엇갈렸다.

쿠팡이 3370만명 고객 계정 정보유출 사태로 창사 후 최대 위기에 직면한 가운데 주요 임원 2명이 주식을 처분했단 소식이 알려지면서 논란이 증폭되고 있다. 주식 매도 시점이 이번 사건 발생 직후란 의혹이 제기되면서다. 하지만 쿠팡 측은 이 내용은 사실이 아니란 입장이다. 2일(현지시간) 미국 증권거래위원회(SEC) 공시에 따르면 거랍 아난드 쿠팡 최고재무책임자(CFO)는 지난달 10일 쿠팡Inc 주식 7만5350주를 주당 29달러(약 32억원)에 매도했다. 또 검색 및 추천 총괄 기술 임원인 프라남 콜라리 전 부사장은 지난달 17일 쿠팡 주식 2만7388주를 77만2000달러(약 11억3000만원)에 팔았다. 쿠팡은 이들이 주식 매도를 결정한 시기가 공시 시점이 아닌 이번 정보유출 사태와 무관한 지난해 12월과 지난 10월 퇴사 직후라고 선을 그었다. 실제로 아난드 CFO의 주식 매도는 SEC가 정한 내부자 거래규칙을 바탕으로 이뤄진 것으로 전해졌다. 이 규칙은 내부자가 비공개 중요 정보와 무관하게 사전에 정한 일정에 따라 자동으로 주식을 매매하는 제도다.

3370만명의 개인정보가 유출된 후 악성앱을 유포하거나 모바일 결제를 유도하는 미끼문자에 주의해야 한다는 당국의 경고가 나왔다. 방송미디어통신위원회는 3일 쿠팡 개인정보 유출사고, 민생회복 소비쿠폰 지급 등 내용의 미끼문자로 악성앱 설치를 유도하고 개인정보를 탈취하거나 결제 피해를 유발하는 등 악성 스팸 피해가 발생할 수 있다며 주의를 당부했다. '주문하신 물건이 배송되었습니다', '민생회복 소비쿠폰 과다지급 환수 안내 및 과징금 부과' 등의 내용으로 출처가 불분명한 미끼문자에 포함된 인터넷주소(URL)는 누르지 말고 전화도 받지 않아야 한다. 확인되지 않은 상대방이 보낸 문자에 포함된 인터넷주소(URL)를 눌러 정부 기관 등을 위장한 가짜 사이트에 접속하게 되면, 개인정보와 금융정보 탈취를 위한 악성프로그램이 설치돼 무단 송금 및 휴대폰 원격 제어 등의 추가 피해로 이어질 수 있다. 방미통위는 한국인터넷진흥원(KISA)과 함께 통신사 및 삼성전자 등 단말기 제조사에 지능형 스팸 걸러내기(필터링) 강화도 요청했다.

3370만명 개인정보가 유출된 쿠팡의 전현직 주요 임원이 수십억원대 자사 주식을 현금화한 것으로 확인됐다. 이들이 주식을 매도한 시점은 사고가 발생한 직후였다는 점에서 논란이 예상된다. 2일(현지 시간) 미 증건거래위원회(SEC) 공시에 따르면 거랍 아난드 쿠팡 최고재무책임자(CFO)는 지난달 10일 쿠팡 주식 7만5350주를 주당 29. 0195달러에 매도했다고 신고했다. 매도 가액은 약 218만6000달러(32억원)다. 이뿐만 아니라 프라남 콜라리 전 부사장도 지난달 17일 쿠팡 주식 2만7388주를 매도했고, 매도 가액은 77만2000달러(11억3000만원)으로 신고했다. 콜라리 전 부사장은 지난달 14일 사임했다. 앞서 쿠팡은 한국인터넷진흥원(KISA)을 통해 한국 시간으로 지난달 6일 오후 6시38분 자사 계정 정보에 대한 무단 접근이 발생했고, 이를 12일 만인 18일 오후 10시52분 인지했다고 밝혔다. 아난드 CFO와 콜라리 전 부사장이 주식을 매도한 시점은 회사가 개인정보 유출을 인지했다고 주장한 때보다 며칠 전이지만, 사건 이후 거래가 이뤄진 점에서 논란을 피해 갈 수 없을 것으로 보인다.

대규모 개인정보 유출 사태로 쿠팡을 탈퇴하려는 회원이 늘고 있다. 하지만 회원 탈퇴를 위해서는 총 6단계를 거쳐야 하는 복잡한 구조가 알려지면서 소비자 불만이 커지고 있다. 3일 쿠팡 고객센터와 온라인 커뮤니티에 따르면, 쿠팡 탈퇴는 모바일 앱에서 직접 진행할 수 없고 반드시 PC 버전으로 전환해야만 가능하다. 애플리케이션(앱)에 탈퇴를 진행하려면 '마이쿠팡'에서 '회원정보 수정'을 누른 뒤 화면을 끝까지 내려야 'PC버전 이동' 버튼이 나타난다. 이후에도 비밀번호 재입력, 이용 내역 확인, 객관식·주관식 설문 작성 등을 모두 마쳐야 탈퇴 신청이 완료된다. 한 번에 끝나는 것이 아니라 단계별 확인 절차가 연속적으로 이어져 시간이 오래 걸린다는 지적이 나온다. 웹사이트에서도 사정은 크게 다르지 않다. 로그인 후 'MY 정보-개인정보확인/수정' 페이지 최하단에서 작은 글씨로 써진 '탈퇴를 원하시면 우측의 회원탈퇴 버튼을 눌러주세요' 안내문을 찾아야만 회원탈퇴 버튼을 발견할 수 있다. 버튼을 누른 뒤에도 본인 인증과 설문을 반복해야 한다.