쿠팡 3370만명이 털렸다
쿠팡 이용객 약 3370만개 고객 계정의 개인정보가 외부에 무단으로 노출돼 파장이 일고 있다.
총 272 건
여야가 쿠팡의 대규모 개인정보 유출 사건과 관련해 국회 정무위원회로부터 출석을 요구받았지만 응하지 않은 김범석 쿠팡Inc 이사회 의장을 강하게 비판했다. 정무위는 국정감사 때부터 국회의 부름에 응하지 않고 있는 김 의장에 대한 고발 여부를 논의하기로 했다. 국민의힘 소속 윤한홍 국회 정무위원장은 3일 오후 서울 여의도 국회 본관에서 열린 국회 정무위원회의 쿠팡 개인정보 유출 관련 긴급 현안질의에서 출석하지 않는 김 의장에 대해 "박대준 쿠팡 대표이사, 브랫 매티스 쿠팡 최고정보보안책임자(CISO) 등은 출석했으나 (함께 출석 요구를 한) 김범석 의장은 출석하지 않았다"고 말했다. 쿠팡은 지난달 18일 고객 계정 무단 유출 건을 인지하고 같은 달 20·29일 관련 내용을 개인정보보호위원회에 신고했다. 쿠팡은 당초 약 4500개 개인정보가 노출됐다고 파악했으나 약 3370만개 계정이 무단으로 유출된 것으로 확인됐다. 이에 국회는 전날 과학기술정보방송통신위원회와 이날 정무위에서 연이틀 긴급 현안질의를 개최했다.
개인정보보호위원회(이하 '개인정보위')는 3일 쿠팡 개인정보 유출사고 관련 긴급 전체회의를 개최해 그간 대응 상황을 점검했다고 밝혔다. 점검 결과 쿠팡은 미상의 자의 비정상적인 접근을 통해 고객 개인정보를 유출한 사실을 확인했음에도 정보 주체에게 개인정보 '노출' 통지라는 제목으로 "개인정보 일부가 노출되는 사고가 발생했다"고 안내했을 뿐 '유출' 사실을 통지하지 않았다. 개인정보위는 쿠팡이 관련 내용을 홈페이지에 단기간(1~2일) 공지하고, 공동현관 비밀번호 등 유출 항목 일부를 누락하는 등 국민의 혼선을 초래했다는 사실을 확인했다. 또 개인정보위는 국민 대다수가 이용하는 이커머스 서비스에서의 유출 사고임에도 정보 주체가 취할 수 있는 피해 예방조치에 대한 안내가 소홀하고 쿠팡의 자체 대응조치 및 피해 구제 절차 등이 미흡해 국민 우려가 증폭되고 있음을 확인했다. 이에 따라 개인정보위는 개인정보 유출로 인한 추가 피해 방지 등을 위해 쿠팡에 △개인정보 노출 통지를 유출 통지로 수정하고 유출 항목을 빠짐없이 반영해 재통지할 것 △홈페이지 초기 화면·팝업창 등을 통해 일정 기간 이상 유출 내용을 공지하고, 정보 유출로 인한 이용자의 추가적인 피해 예방 요령 등을 적극 안내할 것 △현재까지 취한 피해 방지 대책의 실효성을 검토, 자체 모니터링을 강화하고 충실한 이용자 민원 대응을 위해 전담 대응팀(help desk)을 확대 운영하는 등 민원 제기·언론보도 사례에 즉각 대처할 것을 심의·의결했다.
쿠팡 내부 보안관리체계 구멍으로 3370만 계정의 개인정보가 유출되면서 징벌적 과징금 도입 논의가 본격화됐다. 대통령이 피해자 구제를 위해 직접 언급한 징벌적 손해배상 제도 현실화 방안 역시 '뜨거운 감자'로 떠올랐다. 송경희 개인정보보호위원회(이하 개인정보위) 위원장은 3일 오후 열린 국회 정무위원회의 쿠팡 개인정보 유출 관련 현안질의에 참석해 "과징금을 강화하고 징벌적 손해배상제도의 실효성을 강구할 수 있는 방안을 찾겠다"고 밝혔다. 현행 개인정보법은 법 위반 기업에 전체 매출의 최대 3%까지 과징금을 부과할 수 있게 돼 있다. 그러나 사고 발생 후 조치에 따라 가감돼 실제로 3%를 부과받은 사례는 없다. SK텔레콤도 당초 3000억원대를 예상했지만 실제로는 약 1348억원을 부과받았다. 쿠팡은 최근 5년 간 세 차례 개인정보유출 사고가 발생했다. 특히 이번엔 국민 대다수에 해당하는 3370만 계정의 개인정보가 고스란히 빠져나가 징벌적 과징금 논의가 지속된다. 쿠팡은 고객 이름, 주소, 연락처, 주문내역, 일부 공동현관 비밀번호까지 유출해 이를 악용한 스미싱, 보이스피싱 등 2차 피해 우려가 커진다.
국회 정무위원회 소속 신장식 조국혁신당 의원이 박대준 쿠팡 대표이사에게 "왜 개인정보 유출이 아닌 노출이라고 표편하냐"고 따져 물었다. 신 의원은 3일 오후 서울 여의도 국회 본관에서 열린 국회 정무위원회의 쿠팡 개인정보 유출 관련 긴급 현안질의에서 쿠팡이 홈페이지 배너를 통해 공개한 사과문에 '개인정보 노출'이라고 쓴 것과 관련해 "사실관계를 축소하고 법적 책임을 모면하고 사회적 비난 가능성을 낮추려는 것 아니냐"며 이같이 말했다. 신 의원은 "고의나 과실의 정도에 따라 유출·노출이 달라지지 않나. 어제(2일) 과방위(국회 과학기술정보방송통신위원회)에서 (박 대표가 이번 사태와 관련해) 사과했지만 '개인정보 유출'에 대한 사과는 아니었다"며 "왜 개보위(개인정보보호위원회)가 의결까지 해가면서 쿠팡에 '개인정보 유출'이라고 수정통지까지 해야 하나"고 몰아세웠다. 개보위는 이날 오전 긴급 전체회의를 열고 쿠팡의 그간 대응 상황을 점검하며 '개인정보 노출'이라고 한 통지를 '개인정보 유출'로 수정할 것 등 쿠팡에 즉각 실시할 3가지 요구 사안을 의결했다.
올들어 쿠팡 뿐 아니라 통신사, 금융사 등에서 대규모 침해사고가 잇따라 발생한 데 대해 보안 전문가들은 인증 및 접근권한 통제와 같은 기본적인 보안 원칙이 지켜지지 않은 탓이라고 입을 모았다. 홍준호 성신여대 융합보안공학과 교수는 3일 머니투데이와의 통화에서 "퇴사자가 외부에서 접근해 본인의 인증 권한을 행사한 정황이 보인다는 점에서 인증 토큰을 활용했을 가능성이 매우 높다"며 "접근 통제 및 권한관리 등 개인정보보호를 위한 안전조치가 적절히 이뤄지지 않은 게 가장 큰 문제"라고 했다. 홍 교수는 "개인정보 취급자는 원칙적으로 망분리된 환경에서 지정된 단말기로만 시스템에 접근해야 하고 대량 데이터를 다운로드할 때 반드시 트래픽 증가나 이상행위가 탐지돼야 한다"며 "이번 사건에서는 이러한 보안 관리 체계가 제대로 작동하지 않은 점이 문제의 핵심"이라고 했다. 내부 시스템 관리가 최우선이라는 지적도 나온다. 정보보안 전문기업 스틸리언의 박찬암 대표는 "해킹사고가 발생할 때 가장 먼저 살펴보는 게 내부자 문제"라며 "'아무 것도 신뢰하지 않고 모든 접근을 검증하라'는 제로트러스트 관점에서 시스템을 관리해야 했다"고 지적했다.
3370만명 개인정보가 유출된 쿠팡 사태와 관련해 이찬진 금융감독원장이 "이런 기업에 대해 영업정지를 할 (법적) 방법이 없다. 그동안 영업정지를 한 적이 없다"고 밝혔다. 이 원장은 3일 국회 정무위원회의 쿠팡 개인정보 유출 사태와 관련한 긴급 현안질의에서 "확실하게 사회적으로 경종을 울려야 한다. 영업정지가 가능하냐"는 의원의 질의에 대해 법적인 근거가 없어서 조치를 할 수 없다는 취지의 답변을 했다. 강민국 국민의힘 의원은 "저도 쿠팡을 씁니다만, 내 카드로 결제하게 돼 있다. 주소, 비번 뿐 아니라 내 카드결제 정보가 유출되면 전반에 대해 다 바꿔야 한다"며 "금감원, 금융위는 카드 결제정보 유출 우려에 대해 어떻게 대응하냐"고 질의했다. 이에 이억원 금융위원장은 "심각하게 보고 있다. 금감원이 긴급 현장조사 가서 그 부분에 철저히 보고 있다"고 발혔다. 이 원장은 "어제부터 들어갔고, 정밀하게 보고 있다"며 "조금이라도 약간의 의심점이 있으면 곧바로 검사로 전환해 진행하려고 한다. 쿠팡 결제정보 관련 흔적이 있는지 보기 위해 합동조사단에 (금감원이) 들어가려고 한다"고 말했다.
송경희 개인정보보호위원회(이하 개인정보위) 위원장이 3일 국회 정무위원회 전체회의에서 현행 개인정보보호법에 징벌적 손해배상을 청구할 수 있는 규정이 있다고 답했다. 김승원 더불어민주당 의원은 이날 송 위원장에게 "쿠팡의 연 매출이 41조이니 매출액의 최대 3%인 과징금은 1조2000억원까지 부과가 가능하다"며 "현행법상 징벌적 손해배상을 청구할 수 있는 규정이 있냐"고 물었다. 이에 송 위원장은 "관련 규정이 있다"고 답했다. 김 의원은 "개인정보 유출 사건이 반복되고 있고 대통령이 지적했듯 (징벌적 손해배상이) 필요한 상황"이라며 "적극 검토해달라. 위원장의 의무라고 생각한다"고 덧붙였다. 현행 개인정보보호법은 고의 또는 중대한 과실로 개인정보가 유출돼 피해가 발생하면 손해액의 최대 5배까지 배상할 수 있도록 규정한다. 그러나 징벌적 손해배상제도는 2015년 도입 후 10년간 한 차례도 적용되지 않았다. '개인정보처리자가 고의 또는 중과실이 없음을 증명한 경우 적용하지 않는다'는 단서 조항 때문이다.
박대준 쿠팡 대표이사가 "결제정보는 유출되지 않았다"고 3일 밝혔다. 다만 이에 대한 정부의 조사는 아직 이뤄지지 않은 것으로 확인됐다. 박 대표는 3일 오후 서울 여의도 국회 본관에서 열린 국회 정무위원회의 쿠팡 개인정보 유출 관련 긴급 현안질의에서 국민의힘 소속 윤한홍 정무위원장이 "(앞서 질의한) 김현정 의원(더불어민주당)의 질문에 명확하게 대답하지 않아 다시 물어본다. 결제정보 유출이 안 된 게 맞나"라는 물음에 이같이 답변했다. 이에 윤 위원장은 송경희 개인정보보호위원회 위원장에 "사실인가"라고 질문했고 송 위원장은 "현재 조사 중이다. 그 부분에 대해선 아직 확인되지 않았다"고 했다. 윤 위원장은 "국민들이 가장 걱정하는 부분"이라며 "금융감독원 현장 조사 결과는 어땠나"라고 질문했다. 이찬진 금융감독원장이 "정부 합동조사단에 금감원이 포함되지 않다"며 "교통정리가 돼서 합동조사단에서 같이 활동할 필요가 있다"고 했다. 답변을 들은 윤 위원장은 윤창렬 국무조정실장에 "이런 건 국무조정실에서 교통 정리를 해줘야 하지 않나.
'로켓배송' 서비스를 앞세워 국내 유통업 매출 1위에 오른 이커머스(전자상거래) 쿠팡이 역대급 정보 유출 사태로 창사 이래 최대 위기를 맞았다. 우리 국민 4명 중 3명꼴인 3370만개 계정, 사실상 모든 고객 개인정보가 통째로 유출되면서 보이스피싱 등 2차 피해 우려까지 제기된다. 국내 사업을 총괄하는 박대준 쿠팡 대표가 사고 발생 직후인 지난달 30일 대국민사과로 진화에 나섰지만 역부족인 상황이다. 업계 안팎에선 창업자인 김범석 쿠팡Inc 의장이 직접 나서야 사태 수습의 실마리가 풀릴 것이란데 공감대가 형성되고 있다. 이번 정보 유출 사태는 물류센터 화재나 새벽배송 논란 등 그간 쿠팡이 경험해온 위기와 차원이 다르단 이유에서다. 3일 관련업계에 따르면 지난 2일 국회 과학기술정보방송통신위원회(이하 과방위)에서 진행된 '쿠팡 개인정보 유출 사태 현안 질의'에 참석한 배경훈 부총리 겸 과학기술정보통신부 장관은 "해당 기업의 최고 책임자가 입장을 명확히 밝히는게 필요할 것 같다"며 김 의장의 공식 사과를 촉구했다.
쿠팡과 쿠팡페이가 동일한 아이디를 사용하는 '원아이디' 정책에 따라 전자금융업자인 쿠팡페이의 결제정보가 유출될 수 있다는 우려가 제기되고 있다. 쿠팡측은 금융결제정보 유출은 확인되지 않았다고 밝혔다. 이에 따라 쿠팡은 금융당국에 정보 유출에 따른 침해사고 보고는 하지 않은 상태다. 이에 대해 이억원 금융위원장이 "원아이디 정책으로 하고 있어서 쿠팡과 쿠팡페이가 사전에 합의된 상태로 플랫폼을 같이 이용하고 있는 상황"이라며 "어제부터 현장점검에 들어갔고, 확인되는대로 곧바로 검사 여부를 판단해 적극 진행하겠다"고 3일 밝혔다. 이 위원장은 이날 국회 정무위원회의 쿠팡 개인정보유출 사태와 관련한 긴급 현안질의에서 쿠팡과 쿠팡페이가 동일 아이디를 사용하고 있어 쿠팡페이의 결제정보가 유출될 수 있다는 지적에 대해 현장점검 후 검사 가능성도 열어뒀다. 쿠팡은 계열사로 전자금융업자인 쿠팡페이와 여신금융회사인 쿠팡파이낸스를 두고 있다. 김현정 더불어민주당 의원은 "회원가입을 하면 화면에 필수항목으로 전자금융거래 이용약관에 동의하게 돼 있는데, 이게 쿠팡페이를 의미한다"며 "쿠팡에 가입하면 별도의 가입절차 없이 자동으로 쿠팡페이에 가입이 된다.
"과징금을 강화하고 징벌적 손해배상제도의 실효성을 강구할 수 있는 방안을 찾겠습니다. " 송경희 개인정보보호위원회(이하 개인정보위) 위원장이 3일 국회 정무위원회 전체회의에서 쿠팡 개인정보 유출 사태에 관한 현안 보고와 함께 징벌적 손해배상제도를 현실화하겠다며 이같이 말했다. 지난 2일 이재명 대통령은 "(쿠팡 개인정보 유출 사태의) 피해 규모가 3400만 건으로 방대한데도 사건이 발생하고 회사가 유출 자체를 파악하지 못했다는 게 참으로 놀랍다"며 "관계 부처는 해외 사례들을 참고해서 과징금을 강화하고 징벌적 손해배상제도도 현실화하는 등 실효적인 대책을 마련해달라"고 주문했다. 이날 정무위는 쿠팡 측과 유관기관 등을 대상으로 쿠팡의 고객정보 유출과 관련한 현안질의를 진행했다. 송 위원장 외에도 박대준 쿠팡 대표이사, 브랫 매티스 쿠팡 CISO(최고정보보안책임자) 등이 참석했다. 개인정보위는 유출 경위, 규모, 항목 등 사실관계를 확인하고 쿠팡의 개인정보보호법상 안전조치 의무 위반 여부를 철저히 조사할 방침이다.
대규모 '개인정보 유출' 사태로 쿠팡 탈퇴 인증이 잇따르고 있는 가운데 유료 구독을 해지하는 과정에서 제공되는 혜택이 이용자에 따라 다르게 적용된다는 소비자 불만이 확산되고 있다. 3일 온라인 커뮤니티와 SNS(소셜미디어)에 쿠팡 유료구독인 '와우 멤버십' 탈퇴 인증 글이 잇따라 올라왔다. 탈퇴 인증글은 지난달 29일 쿠팡에서 3370만개 개정 고객명·이메일·주소 등 개인 정보가 유출됐다고 밝힌 뒤 부터 급증했다. 쿠팡은 올해 6월부터 개인정보가 유출된 것을 뒤늦게 파악했다고 밝혔다. 박대준 쿠팡 대표가 이 사태에 대한 대국민 사과를 했다. 온라인에선 쿠팡이 탈퇴를 하는 고객들에게 서로 다른 혜택을 제공하고 있단 주장이 제기됐다. 한 누리꾼은 '유료 구독 해지' 버튼을 눌렀더니, 추가 무료 쿠폰을 받았다며 인증 사진을 올렸다. 반면 아무 제안 없이 바로 해지가 처리됐다는 반응도 있었다. 온라인에선 "해지하려 했더니 무료 2개월을 제안받았다", "나에게는 아무 혜택도 없이 '잘 가라'고 했다"는 반응이 엇갈렸다.