쿠팡 3370만명이 털렸다
쿠팡 이용객 약 3370만개 고객 계정의 개인정보가 외부에 무단으로 노출돼 파장이 일고 있다.
총 272 건
공정거래위원회가 쿠팡의 개인정보 유출 사태와 관련해 법적 요건 미충족으로 영업정지는 사실상 어렵다고 국회에 보고했다. 개인정보의 제3자 도용·이용 확인 시 영업정지가 가능한데 해당 사례는 파악되지 않았다는 이유에서다. 더불어민주당 을지로위원회는 19일 오후 서울 여의도 국회에서 '쿠팡 개인정보 유출 대책 간담회'에서 공정위가 쿠팡 영업정지와 관련해 이렇게 보고했다고 밝혔다. 이날 회의에는 공정위와 개인정보보호위원회, 과학기술정보통신부, 한국인터넷진흥원 관계자 등이 참석했다. 김남근 민주당 의원은 브리핑에서 "공정위는 (쿠팡이 유출한 개인정보가) 제3자에게 이용·도용됐다는 게 확인이 되지 않아 전자상거래법상 영업정지 가능성은 고려하지 않고 있다고 답했다"고 전했다. 공정위는 다만 추후 정보 도용 사례가 발견되면 영업정지를 고려할 수 있다는 입장이라고 한다. 위원장을 맡고 있는 민병덕 의원은 '이후에 도용 사례가 발견되면 영업정지나 과징금 등 추가 조치도 검토하느냐'는 질문에 "그럴 수 있다고 본다"고 했다.
경찰이 석달째 쿠팡 사태 수사에 나섰지만 셀프조사·산업재해 은폐 의혹 등 난제는 여전하다. 미국에서 기업 차별 정황을 조사하겠다는 입장을 밝히는 등 쿠팡 사태는 이제 국제전으로 확대되는 양상이다. 18일 경찰에 따르면 서울경찰청 쿠팡수사 종합TF(태스크포스)는 개인정보 유출 사고와 관련해 중국 국적 피의자 A씨에 대한 조사만 남겨두고 있는 상태다. 앞서 인터폴(국제형사경찰기구)에 A씨 적색수배를 요청했지만 특별한 응답을 받지 못했다. 개인정보 유출 규모와 경위 등은 대부분 정리됐다. 최근 민관 합동조사단은 A씨가 지난해 7개월간 3367만여건 개인정보를 유출했다고 밝혔다. A씨는 서명키와 위변조 전자출입증 등으로 공격을 시도했는데, 그 과정에서 쿠팡 보안 체계 미흡점이 확인됐다. 과학기술정보통신부(과기정통부)의 자료보전명령을 이행하지 않은 점도 수사가 진행 중이다. 쿠팡 관계자 소환 조사도 이뤄졌다. 경찰은 해롤드 로저스 한국 쿠팡 임시대표와 박대준 전 쿠팡 대표를 불러 조사했다. 쿠팡은 국가정보원 지시로 자체 조사를 실시했다고 주장해 논란을 빚었다.
쿠팡 개인정보 유출을 계기로 정부와 여당, 청와대가 대형마트 새벽 배송 규제 해소를 추진하는 가운데, 찬성 의견이 과반 이상인 여론조사 결과가 나왔다. 13일 한국사회여론연구소(KSOI)에 따르면 연구소가 지난 9~10일 실시한 조사에서 대형마트 새벽배송 허용에 대해 찬성한다는 응답 비율은 62. 5%로 집계됐다. 반대는 18. 7%였다. 조사는 전국 18세 이상 1004명을 대상으로 실시됐다. 무선 ARS 자동응답 조사로 95% 신뢰수준에서 표본초차 ±3. 1%P다. 응답률은 5. 5%다. 더불어민주당과 정부, 청와대는 최근 14년만에 대형마트 새벽배송 규제 개선에 대한 논의를 시작했다. 민주당발로 새벽배송을 허용하는 내용의 유통산업발전법 개정안도 발의했다. 쿠팡을 중심으로 고착화한 온라인 배송 시장 독점 구조를 해소하겠다는 거다. 2012년 개정된 현행 유통산업발전법은 대형마트에 대해 심야와 오전 시간대(0시~오전10시) 영업을 제한하고 있다. 오프라인 매장 운영은 물론 온라인 주문에 대한 새벽배송도 불가능하다.
쿠팡에서 대규모 개인정보를 유출한 전 직원이 배송지 목록을 1억회 이상 조회한 사실이 드러난 가운데 노동·시민사회계가 12일 쿠팡의 책임 있는 사과와 보상을 촉구했다. '안전한 쿠팡 만들기 공동행동'과 '소비자 보호를 위한 집단소송법 제정연대'는 이날 오전 서울 송파구 쿠팡 사옥 앞에서 기자회견을 열고 김범석 쿠팡Inc 이사회 의장의 진정성 있는 사과와 보상, 미국 정부·의회에 대한 로비 중단 등을 요구했다. 이들은 과학기술정보통신부 민관 합동조사단이 지난 10일 발표한 쿠팡 침해사고 조사 결과를 언급하며 쿠팡이 유출 규모를 축소·은폐하려 했다고 주장했다. 합동조사단은 쿠팡에서 유출된 개인정보 규모가 3300만건을 넘기고 범인이 쿠팡 고객들 배송지 정보를 1억4805만회 조회한 것으로 확인됐다고 밝혔다. 김주호 참여연대 민생경제팀장은 "제3자에 개인정보를 팔았는지 여부는 정부 조사에서 밝혀지지 않았는데 개인정보보호위원회와 수사기관이 분명히 밝혀야 한다"고 말했다. 피해자 구제를 위한 제도 도입이 필요하다는 의견도 나왔다.
미국 쿠팡 투자사들이 한국 정부가 쿠팡을 부당하게 대우한다며 법적 대응에 나선 가운데 해당 투자사가 기존 2개에서 5개사로 늘며 분쟁이 확대되는 모양새다. 미 온라인 매체 악시오스는 11일(현지시간) 쿠팡 지분을 보유한 에이브럼스 캐피털과 듀러블 캐피털 파트너스, 폭스헤이븐 등 3곳의 투자사가 한국 정부를 상대로 한 법적 분쟁의 원고로 합류했다고 보도했다. 앞서 쿠팡 주주인 투자회사 그린옥스, 알티미터가한국 정부를 상대로 국제투자분쟁(ISDS) 중재 절차를 밟기 위한 중재의향서를 우리 법무부에 보냈다. 여기에 에이브럼스 등 세 회사도 합류한 것이다. 중재의향서를 보내면 90일 이후 정식으로 중재를 제기할 수 있다는 의미다. 그린옥스, 알티미터는 이와 별도로 미 무역대표부(USTR)에 쿠팡 관련 무역 구제 조치를 요청했는데 에이브럼스 등 3곳은 이에 대해서도 지지한다는 입장을 밝혔다. 이들은 한국 정부가 개인정보 유출 사태로 쿠팡을 조사하는 것이 과도하다고 본다. 우리나라 국회와 정부, 수사기관이 전방위적으로 쿠팡을 겨냥해 각종 처분을 내리고 위협적인 발언을 함으로써 한미 자유무역협정(FTA)의 공정·공평대우의무 등을 위반했다고 주장하고 있다.
경찰이 '쿠팡 개인정보 유출사태'와 관련해 자료보전명령 위반여부 수사에 속도를 낸다. 구체적인 정보접근 경위를 확인할 수 있는 데이터가 일부 소실되면서 관리자 처벌 가능성도 제기된다. 11일 경찰에 따르면 서울경찰청 쿠팡수사 종합TF(태스크포스)는 전날 과학기술정보통신부로부터 쿠팡 측의 자료보전명령 불이행 관련 수사 의뢰건에 대해 추가수사에 나섰다. 과기정통부는 전날 쿠팡 침해사고 최종조사 결과를 발표하면서 지난해 5월23일부터 6월2일까지 총 11일간 앱 접속기록(로그)이 삭제된 정황을 확인하고 경찰에 수사 의뢰했다고 밝혔다. 지난해 12월 웹로그 삭제건을 수사 의뢰한 것에 더해 앱로그 삭제건까지 수사범위를 넓힌 것이다. 정보통신망법에 따라 과기정통부는 침해사고 신고가 접수된 지난해 11월19일 쿠팡에 자료보전명령을 했지만 쿠팡이 자동로그 저장정책을 조정하지 않아 남아 있어야 할 기록이 없어졌다는 설명이다. 과기정통부에 따르면 쿠팡은 앱로그를 6개월 단위로 보관한다. 자료보전명령을 곧바로 이행했다면 5월23일의 기록은 남아 있어야 한다는 점에서 정부는 쿠팡 측이 지난해 12월이 넘어서야 관련 조치를 했다고 본다.
경찰이 '쿠팡 개인정보 유출 사태'와 관련해 자료보전명령 위반 여부 수사에 속도를 내고 있다. 구체적인 정보 접근 경위를 확인할 수 있는 데이터가 일부 소실되면서 관리자 처벌 가능성도 제기된다. 11일 경찰에 따르면 서울경찰청 쿠팡 수사 종합 TF(태스크포스)는 전날 과학기술정보통신부(과기정통부)로부터 쿠팡 측의 자료보전 명령 불이행 관련 수사 의뢰건에 대해 추가 수사에 나섰다. 과기정통부는 전날 쿠팡 침해사고 최종 조사 결과를 발표하면서 지난해 5월23일부터 6월2일까지 총 11일간 앱 접속기록(로그)이 삭제된 정황을 확인해 경찰에 수사 의뢰했다고 밝혔다. 지난해 12월 웹 로그 삭제건을 수사 의뢰한 것에 더해 앱 로그 삭제건까지 수사 범위를 넓힌 것이다. 정보통신망법에 따라 과기정통부는 침해 사고 신고가 접수된 지난해 11월19일 쿠팡에 자료보전명령 했지만 쿠팡이 자동 로그 저장 정책을 조정하지 않아 남아있어야 할 기록이 없어졌다는 설명이다. 과기정통부에 따르면 쿠팡은 앱 로그를 6개월 단위로 보관한다.
쿠팡 개인정보 유출 사고가 2개월여 지난 가운데 온라인 식료품 플랫폼 중 쿠팡의 점유율이 가장 높은 것으로 나타났다. 다만 주구매 플랫폼으로 쿠팡을 쓰는 소비자들은 모든 세대에서 작년보다 10%포인트(p) 내외로 줄었고 네이버로 이동하는 흐름을 보였다. 11일 소비자 데이터 플랫폼 오픈서베이의 '온라인 식료품 구매 트렌드 리포트 2026' 조사 결과에 따르면 지난달 기준 식료품을 가장 자주 구매하는 1순위 온라인 플랫폼을 묻는 말에 쿠팡 이용률은 44. 7%로 가장 높게 집계됐다. 하지만 전년 동월 실시된 조사보다 쿠팡의 이용률은 10. 7% 낮아졌다. 이에 대해 오픈서베이는 "식료품 구매 채널로서 쿠팡의 입지는 이커머스 중 여전히 독보적이나 쿠팡을 1순위 주구매 서비스로 이용한 비율은 모든 세대에서 고르게 감소했다"고 분석했다. 실제 연령대별로 살펴보면 쿠팡 이용률은 30대에서 13. 9%p 줄며 가장 큰 감소폭을 보였다. 20대(-10. 2%p), 50대(-10%p), 40대(-8. 8%p)가 뒤를 이었다.
"어제 민관합동조사단이 발표한 조사 결과는 쿠팡코리아에 미리 공유해 확인시킨 내용입니다. 본사가 이후 내놓은 반박 입장은 자국 주주를 보호하기 위한 것이라고 생각합니다. " 배경훈 부총리 겸 과학기술정보통신부 장관이 11일 오전 국회 과학기술정보방송통신위원회의 과기정통부 업무보고에서 이같이 말하며 개인정보 유출 건수가 3000여건에 불과하다는 쿠팡의 주장을 일축했다. 조사 결과 발표 전 미리 합의한 내용을 공개 반박해 딴지를 걸었다는 말이다. 배 부총리는 "쿠팡이 자국 주주를 보호하기 위한 대응과 로비를 하고 있다고 생각한다"며 "과기정통부는 팩트로 대응하겠다"고 덧붙였다. 한편 쿠팡의 미국 본사 쿠팡Inc는 지난 10일 입장문을 내고 "민관합동조사단은 중국 국적의 전 직원이 공동현관 출입 코드에 대해 5만 건의 조회를 수행했다고 밝혔지만 클라우드 플랫폼 제공 업체인 아카마이(Akamai) 보안 로그와 사용자 데이터 분석 결과 공동현관 출입 코드가 포함된 계정은 2609건으로 확인됐다"고 밝혔다.
류제명 과학기술정보통신부 제2차관이 쿠팡 해킹으로 유출된 개인정보가 1억4000만건 이상일 수 있다고 밝혔다. 류 차관은 11일 오전 국회 과학기술정보방송통신위원회의 과기정통부 업무보고에서 "공격자가 쿠팡 배송지 목록 페이지를 약 1억4000만건 조회했는데, 이중 현재 가입자와 탈퇴 가입자의 계정은 9000만건으로 파악된다"며 "한 페이지에 최대 20개 주소가 저장된 점을 고려하면 산술적으로 어마어마한 숫자가 나온다"고 설명했다. 이어 "공격자는 1억2000만개의 주소를 확보했다고 이야기했다"며 "현재 개인정보보호위원회가 유출된 주소가 1억2000만건인지, 1억4000만건을 넘을지 분석하고 있다. (유출) 주소 개수가 더 많을 수 있다"고 말했다.
쿠팡의 대규모 개인정보유출 사태와 한국 정부의 대응에 대한 미국 연방의회 조사가 한미간 통상 마찰은 물론 한국에 대한 관세 재인상으로 이어질 가능성을 배제할 수 없다고 미국 백악관 전 당국자가 경고했다. 애덤 패러 블룸버그 선임 애널리스트는 10일(현지시간) 미 싱크탱크 전략국제문제연구소(CSIS) 대담 프로그램에서 "쿠팡 관련 사안은 대규모 개인 정보 유출이라는 점에서 쿠팡에 매우 심각한 위기였지만 이제는 한미간의 지정학적 이슈로 사실상 전환된 듯 보인다"며 이같이 밝혔다. 패러 전 보좌관은 특히 "미국과 트럼프 행정부가 한국이 이들 기업을 부당하게 겨냥하고 있다고 판단할 경우 한국은 상당한 위험에 처하게 될 것"이라며 "트럼프 행정부가 그에 따른 조치로 무역이나 관세 분야에서 비용을 높이는 행동에 나설 수 있다"고 전망했다. 패러 전 보좌관의 이 같은 언급은 이날 대담 사회를 맡은 빅터차 CSIS 한국석좌가 '쿠팡 최고경영자(CEO)가 미국 의회로부터 한국 정부와 쿠팡 사이의 최근 문제에 대해 증언해 달라는 소환장을 받은 것이 한미 관계에 어떤 의미를 갖는가'라는 질문에 답변하는 과정에서 나왔다.
쿠팡 개인정보를 유출한 전 직원(이하 공격자)은 중국인 개발자로 지난해 1월 퇴사했다. 퇴사 전 몇 차례 사전공격 테스트를 한 뒤 퇴사 후 7개월간 본격적으로 국내 쿠팡 계정의 개인정보를 탈취했다. 그의 공격시도는 1만8187만여회(중복 포함)에 달했다. 공격자의 쿠팡 서버 접속은 너무 쉬웠다. 재직 당시 발급받은 서명키로 손쉽게 위변조 '전자출입증'을 만들 수 있었다. 10일 과학기술정보통신부가 발표한 쿠팡 침해사고에 대한 민관합동조사단(이하 조사단) 조사결과에 따르면 공격자는 지난해 4월14일~11월8일 약 7개월간 쿠팡을 공격했다. 공격자는 쿠팡 재직 당시 시스템 장애 등 백업을 위한 이용자 인증시스템 설계·개발업무를 수행한 소프트웨어개발자(Staff Back-end Engineer)로 확인됐다. 정상적인 절차로 쿠팡에 접속하려면 아이디와 비밀번호로 로그인해 '전자출입증'을 발급받는다. 이후 쿠팡의 관문서버에서 전자출입증 유효 여부를 검증한다. 이상이 없으면 서비스에 접속할 수 있다. 공격자는 재직 당시 관리하던 이용자 인증시스템 서명키를 쉽게 탈취했다.