쿠팡 3370만명이 털렸다
쿠팡 이용객 약 3370만개 고객 계정의 개인정보가 외부에 무단으로 노출돼 파장이 일고 있다.
총 272 건
쿠팡이 3370만명 고객 계정 정보유출 사태로 창사 후 최대 위기에 직면한 가운데 주요 임원 2명이 주식을 처분했단 소식이 알려지면서 논란이 증폭되고 있다. 주식 매도 시점이 이번 사건 발생 직후란 의혹이 제기되면서다. 하지만 쿠팡 측은 이 내용은 사실이 아니란 입장이다. 2일(현지시간) 미국 증권거래위원회(SEC) 공시에 따르면 거랍 아난드 쿠팡 최고재무책임자(CFO)는 지난달 10일 쿠팡Inc 주식 7만5350주를 주당 29달러(약 32억원)에 매도했다. 또 검색 및 추천 총괄 기술 임원인 프라남 콜라리 전 부사장은 지난달 17일 쿠팡 주식 2만7388주를 77만2000달러(약 11억3000만원)에 팔았다. 쿠팡은 이들이 주식 매도를 결정한 시기가 공시 시점이 아닌 이번 정보유출 사태와 무관한 지난해 12월과 지난 10월 퇴사 직후라고 선을 그었다. 실제로 아난드 CFO의 주식 매도는 SEC가 정한 내부자 거래규칙을 바탕으로 이뤄진 것으로 전해졌다. 이 규칙은 내부자가 비공개 중요 정보와 무관하게 사전에 정한 일정에 따라 자동으로 주식을 매매하는 제도다.
3370만명의 개인정보가 유출된 후 악성앱을 유포하거나 모바일 결제를 유도하는 미끼문자에 주의해야 한다는 당국의 경고가 나왔다. 방송미디어통신위원회는 3일 쿠팡 개인정보 유출사고, 민생회복 소비쿠폰 지급 등 내용의 미끼문자로 악성앱 설치를 유도하고 개인정보를 탈취하거나 결제 피해를 유발하는 등 악성 스팸 피해가 발생할 수 있다며 주의를 당부했다. '주문하신 물건이 배송되었습니다', '민생회복 소비쿠폰 과다지급 환수 안내 및 과징금 부과' 등의 내용으로 출처가 불분명한 미끼문자에 포함된 인터넷주소(URL)는 누르지 말고 전화도 받지 않아야 한다. 확인되지 않은 상대방이 보낸 문자에 포함된 인터넷주소(URL)를 눌러 정부 기관 등을 위장한 가짜 사이트에 접속하게 되면, 개인정보와 금융정보 탈취를 위한 악성프로그램이 설치돼 무단 송금 및 휴대폰 원격 제어 등의 추가 피해로 이어질 수 있다. 방미통위는 한국인터넷진흥원(KISA)과 함께 통신사 및 삼성전자 등 단말기 제조사에 지능형 스팸 걸러내기(필터링) 강화도 요청했다.
3370만명 개인정보가 유출된 쿠팡의 전현직 주요 임원이 수십억원대 자사 주식을 현금화한 것으로 확인됐다. 이들이 주식을 매도한 시점은 사고가 발생한 직후였다는 점에서 논란이 예상된다. 2일(현지 시간) 미 증건거래위원회(SEC) 공시에 따르면 거랍 아난드 쿠팡 최고재무책임자(CFO)는 지난달 10일 쿠팡 주식 7만5350주를 주당 29. 0195달러에 매도했다고 신고했다. 매도 가액은 약 218만6000달러(32억원)다. 이뿐만 아니라 프라남 콜라리 전 부사장도 지난달 17일 쿠팡 주식 2만7388주를 매도했고, 매도 가액은 77만2000달러(11억3000만원)으로 신고했다. 콜라리 전 부사장은 지난달 14일 사임했다. 앞서 쿠팡은 한국인터넷진흥원(KISA)을 통해 한국 시간으로 지난달 6일 오후 6시38분 자사 계정 정보에 대한 무단 접근이 발생했고, 이를 12일 만인 18일 오후 10시52분 인지했다고 밝혔다. 아난드 CFO와 콜라리 전 부사장이 주식을 매도한 시점은 회사가 개인정보 유출을 인지했다고 주장한 때보다 며칠 전이지만, 사건 이후 거래가 이뤄진 점에서 논란을 피해 갈 수 없을 것으로 보인다.
대규모 개인정보 유출 사태로 쿠팡을 탈퇴하려는 회원이 늘고 있다. 하지만 회원 탈퇴를 위해서는 총 6단계를 거쳐야 하는 복잡한 구조가 알려지면서 소비자 불만이 커지고 있다. 3일 쿠팡 고객센터와 온라인 커뮤니티에 따르면, 쿠팡 탈퇴는 모바일 앱에서 직접 진행할 수 없고 반드시 PC 버전으로 전환해야만 가능하다. 애플리케이션(앱)에 탈퇴를 진행하려면 '마이쿠팡'에서 '회원정보 수정'을 누른 뒤 화면을 끝까지 내려야 'PC버전 이동' 버튼이 나타난다. 이후에도 비밀번호 재입력, 이용 내역 확인, 객관식·주관식 설문 작성 등을 모두 마쳐야 탈퇴 신청이 완료된다. 한 번에 끝나는 것이 아니라 단계별 확인 절차가 연속적으로 이어져 시간이 오래 걸린다는 지적이 나온다. 웹사이트에서도 사정은 크게 다르지 않다. 로그인 후 'MY 정보-개인정보확인/수정' 페이지 최하단에서 작은 글씨로 써진 '탈퇴를 원하시면 우측의 회원탈퇴 버튼을 눌러주세요' 안내문을 찾아야만 회원탈퇴 버튼을 발견할 수 있다. 버튼을 누른 뒤에도 본인 인증과 설문을 반복해야 한다.
3000만명이 넘는 가입자 개인정보를 무단유출한 중국 국적 전직 쿠팡 직원을 한국으로 데려와 처벌할 수 있을지에 관심이 쏠린다. 전문가들은 한국과 중국이 범죄인 인도조약을 맺고 있지만 중국 정부가 자국민 불인도 원칙을 고수하는 만큼 송환 가능성은 크지 않다고 전망한다. 2일 법조계에 따르면 한국과 중국은 2000년 범죄인 인도조약을 체결, 2002년부터 발효했다. 조약에 따라 양국은 자국에서 1년 이상 징역형에 해당하는 범죄를 저지른 용의자에 대해 인도를 청구할 수 있다. 다만 조약에는 상대국이 자국민의 인도를 요청받은 경우 이를 거절할 수 있는 권리가 규정됐다. 이른바 '자국민 불인도' 원칙이다. 법무부는 해당 직원이 중국에서 체포될 경우 국내송환이 가능한지 여부를 두고 법리 검토에 착수할 예정이다. 범행장소가 한국이고 피해자도 한국인과 한국기업이라는 점에서 송환을 요구할 명분은 충분하다는 것이 법조계 중론이다. 다만 외교 실무상 중국이 자국민 보호를 우선하는 입장을 유지하고 있어 실제 인도까지 이어지기는 쉽지 않다는 시각이 우세하다.
이재명 대통령이 쿠팡에서 3370만명 규모의 개인정보가 유출된 사건과 관련, "관계부처는 해외 사례들을 참고해 과징금을 강화하고 징벌적 손해배상 제도도 현실화하는 등 실질적이고 실효적인 대책마련에 나서달라"고 지시했다. 이 대통령은 2일 용산 대통령실에서 열린 국무회의에서 "쿠팡 때문에 우리 국민들께서 걱정이 많다"며 이같이 말했다. 이어 "사고원인을 조속하게 규명하고 엄중하게 책임을 물어야 되겠다"며 "유출정보를 악용한 2차 피해를 막는 데도 가용수단을 총동원해 주시기 바란다"고 당부했다. 또 1주년을 맞는 12·3 비상계엄 사태에 대해 이 대통령은 "국민이 맡긴 국가권력으로 개인의 인권을 침해하는 것에 대해선 나치전범 처리하듯이 영원히 살아 있는 한 형사처벌하고 상속재산이 있는 범위 내에선 상속인들까지도 끝까지 책임지게 이렇게 해야 근본적으로 대책이 되지 않겠나"라며 강력한 내란범죄 처벌의지를 밝혔다. 한편 이정렬 개인정보보호위원회 부위원장은 이날 국회 과학기술정보방송통신위원회가 개최한 쿠팡 관련 긴급 현안질의에 출석, 쿠팡에 1조원 이상 과징금을 부과해야 한다는 지적에 "중점검토하겠다"고 답했다.
배경훈 부총리 겸 과학기술정보통신부 장관이 쿠팡 개인정보 유출 사태와 관련해 김범석 쿠팡 Inc 의장의 입장 표명이 필요하다고 지적했다. 배 부총리는 2일 열린 국회 과학기술정보방송통신위의 쿠팡 현안 질의에서 "해당 기업의 최고 책임자가 입장을 명확히 밝히는 것이 필요하다"면서 "대다수의 국민들이, 쿠팡 고객들이 굉장히 불안해하고 있다"고 말했다. 이 같은 발언은 쿠팡 대규모 개인정보 유출과 관련해 이사회 의장을 맡은 김범석 쿠팡 Inc 의장이 외국에서 사건을 방관만 하고 있다는 지적이 이어지는 가운데 이뤄졌다. 배 부총리는 이어 "정부 차원에서 안심시켜드릴 수 있도록 빠르게 조속한 조사를 하는 것뿐만 아니라 쿠팡에서도 앞으로의 계획에 대해서 명확하게 밝힐 필요가 있겠다"고 덧붙였다. 김범석 의장은 미국 이민자로, 전체 의결권의 70%를 보유하고 있다. 그러나 쿠팡 관련 크고 작은 사건이 터져 국회 출석 요구가 있을 때마다 해외 체류 등을 이유로 국회 청문회와 국정감사 등에 모습을 내비치지 않았다.
대규모 정보 유출 사태를 일으킨 쿠팡이 대해 '패스키' 등 정보 보안 기술 도입에는 소극적이면서 대관에만 의존해 문제를 해결하려고 한다는 비판이 국회에서 제기됐다. 이상휘 국민의힘 의원은 2일 서울 여의도 국회 과학기술정보방송통신위원회(과방위) 쿠팡 정보유출 사태 관련 현안질의에서 박대준 쿠팡 대표에게 "쿠팡은 대만에서 패스키(지문·얼굴인식 등을 이용한 비밀번호 대체 기술)를 보급했다"며 "그래서 대만에서 쿠팡이 상을 받았다. 그런데 왜 한국에서 이런 것을 안 하나. 대만 시장이 더 큰가"라고 말했다. 이 의원은 "기사를 보면 쿠팡의 개인정보 유출 사태 이후 개인통관 고유번호 재발급에 나서는 이용자들이 급증했다"며 "개인통관 고유번호가 유출되면 화약, 마약, 도검류 등이 막 들어오는 것 아닌가. 책임을 어떻게 지려고 하나. 무조건 재발급받아야 한다고 빨리 고지해야 한다"고 했다. 박정훈 국민의힘 의원은 배경훈 부총리 겸 과학기술정보통신부 장관에게 "범행을 저지른 중국인이 국내에 있는가"라며 "중국인이라는 게 알려지면 뭐가 문제가 되나.
3000만명이 넘는 가입자 개인정보를 무단 유출한 중국 국적 전직 쿠팡 직원이 중국 체류 중인 것으로 파악되면서 해당 직원을 한국으로 데려와 처벌할 수 있을지 관심이 쏠린다. 전문가들은 한국과 중국이 범죄인 인도조약을 맺고 있지만 중국 정부가 자국민 불인도 원칙을 고수하는 만큼 송환 가능성은 크지 않다고 전망한다. 2일 법조계에 따르면 한국과 중국은 2000년 범죄인 인도조약을 체결해 2002년부터 발효했다. 조약에 따라 양국은 자국에서 1년 이상 징역형에 해당하는 범죄를 저지른 용의자에 대해 인도를 청구할 수 있다. 다만 조약에는 상대국이 자국민의 인도를 요청받은 경우 이를 거절할 수 있는 권리가 규정돼 있다. 이른바 '자국민 불인도' 원칙이다. 즉 중국은 중국 국적 용의자에 대한 한국의 인도 요구를 거부할 수 있고 이 경우 처벌은 중국 내에서 이뤄진다. 법무부는 해당 직원이 중국에서 체포될 경우 국내 송환이 가능한지 여부를 두고 법리 검토에 착수할 예정이다. 범행 장소가 한국이고 피해자도 한국인과 한국 기업이라는 점에서 송환을 요구할 명분은 충분하다는 것이 법조계 중론이다.
이정렬 개인정보보호위원회 부위원장이 2일 국회 과학기술정보방송통신위원회의 쿠팡 긴급현안질의에서 "쿠팡의 개인정보 유출을 '노출'로 통지한 부분에 문제가 있다고 판단한다"며 "누가 봐도 유출로 보이는 부분"이라고 말했다. 이어 "제대로 된 통지를 하는게 필요하다"며 "쿠팡과 협의하겠다"고 덧붙였다. 쿠팡은 이번 사태 초기부터 개인정보 유출 대신 노출이라는 표현을 일관되게 사용해왔다. 외부 해킹으로 정보가 유출된 게 아니라, 내부자 소행으로 인한 노출이라는 설명이다. 이에 대해 이훈기 더불어민주당 의원은 "과징금 등을 생각해 이런 표현을 했는지 모르겠지만 국민을 기만하는 행위"라고 비판했다. 박대준 쿠팡 대표는 "생각이 짧았다"고 고개를 숙였다.
2일 국회 과학기술정보방송통신위원회(과방위) 현안질의에서 박대준 쿠팡 대표가 타오바오 등 중국 이커머스 사이트에서 쿠팡 계정이 판매된다는 논란과 관련해 "이번 정보망 침해 방식은 쿠팡 계정이나 로그인 정보를 이용한 형태가 아니다"고 밝혔다. 질의에 나선 김장겸 국민의힘 의원은 타오바오 등에서 쿠팡 계정이 23위안, 183위안에 판매된다는 사례를 제시하며 "로그인이 가능한 계정이 거래되는 수준이라면 로그인 정보가 유출된 것 아니냐"고 지적했다. 이에 박 대표는 "이번 해킹 과정에서 회사 계정이나 시스템 로그인 정보를 사용한 게 아니다"라며 "A의 방식이라면 쿠팡 서비스 이용자인 것처럼 접속하는 방식"이라고 설명했다. 브랫 매티스 쿠팡 글로벌보안 총괄은 "해당 사례는 구체적으로 알지 못한다"면서도 "다크웹에서는 이커머스 계정을 여러 방식으로 탈취하거나 위조 계정을 판매하는 경우가 있다. 클라이언트 쿠키 정보를 이용해 계정을 가져가는 방식도 있다"고 설명했다. 그러면서 "확인하겠지만 이번 사건과는 무관해 보인다"고 말했다.
박대준 쿠팡 대표가 2일 국회 과학기술정보방송통신위원회(과방위) 현안질의에서 개인정보 유출과 관련해 지목된 직원의 퇴사 시점이 "지난해 12월"이라고 직접 밝혔다. 박 대표는 또 해당 직원이 사용한 인증값에 대해 "결제 시스템에 접속할 수 없는 값"이라고 선을 그었다. 이날 질의에 나선 이정헌 더불어민주당 의원은 "정보를 유출한 것으로 보이는 퇴직자 시점을 보면 지난해 12월 퇴사한 사람"이라며 "6월 24일 처음 흔적이 발견됐는데, 12월 퇴사자라면 6개월 이상 떠나 있었던 것"이라고 지적했다. 그러면서 "12월 이후에도 인증키를 갖고 있었다면 언제든 정보 침탈이 가능하다"고 강조했다. 이 의원은 "고객들이 '카드 비밀번호나 결제 관련 정보를 바꿔야 하느냐'고 ARS에 문의했더니 '유출되지 않아 변경 필요 없다'고 답변을 들었다고 한다"며 "문자 안내에서는 또 쿠팡 비밀번호만 바꾸라고 해서 혼선이 빚어지고 있다"고 비판했다. 이에 박 대표는 "A라고 가정한 침해자가 사용한 인증값은 결제에 접속할 수 없다"며 "관련 자료는 정부와 공유 중"이라고 설명했다.