머니투데이

3000만명이 넘는 가입자 개인정보를 무단유출한 중국 국적 전직 쿠팡 직원을 한국으로 데려와 처벌할 수 있을지에 관심이 쏠린다. 전문가들은 한국과 중국이 범죄인 인도조약을 맺고 있지만 중국 정부가 자국민 불인도 원칙을 고수하는 만큼 송환 가능성은 크지 않다고 전망한다. 2일 법조계에 따르면 한국과 중국은 2000년 범죄인 인도조약을 체결, 2002년부터 발효했다. 조약에 따라 양국은 자국에서 1년 이상 징역형에 해당하는 범죄를 저지른 용의자에 대해 인도를 청구할 수 있다. 다만 조약에는 상대국이 자국민의 인도를 요청받은 경우 이를 거절할 수 있는 권리가 규정됐다. 이른바 '자국민 불인도' 원칙이다. 법무부는 해당 직원이 중국에서 체포될 경우 국내송환이 가능한지 여부를 두고 법리 검토에 착수할 예정이다. 범행장소가 한국이고 피해자도 한국인과 한국기업이라는 점에서 송환을 요구할 명분은 충분하다는 것이 법조계 중론이다. 다만 외교 실무상 중국이 자국민 보호를 우선하는 입장을 유지하고 있어 실제 인도까지 이어지기는 쉽지 않다는 시각이 우세하다.

이재명 대통령이 쿠팡에서 3370만명 규모의 개인정보가 유출된 사건과 관련, "관계부처는 해외 사례들을 참고해 과징금을 강화하고 징벌적 손해배상 제도도 현실화하는 등 실질적이고 실효적인 대책마련에 나서달라"고 지시했다. 이 대통령은 2일 용산 대통령실에서 열린 국무회의에서 "쿠팡 때문에 우리 국민들께서 걱정이 많다"며 이같이 말했다. 이어 "사고원인을 조속하게 규명하고 엄중하게 책임을 물어야 되겠다"며 "유출정보를 악용한 2차 피해를 막는 데도 가용수단을 총동원해 주시기 바란다"고 당부했다. 또 1주년을 맞는 12·3 비상계엄 사태에 대해 이 대통령은 "국민이 맡긴 국가권력으로 개인의 인권을 침해하는 것에 대해선 나치전범 처리하듯이 영원히 살아 있는 한 형사처벌하고 상속재산이 있는 범위 내에선 상속인들까지도 끝까지 책임지게 이렇게 해야 근본적으로 대책이 되지 않겠나"라며 강력한 내란범죄 처벌의지를 밝혔다. 한편 이정렬 개인정보보호위원회 부위원장은 이날 국회 과학기술정보방송통신위원회가 개최한 쿠팡 관련 긴급 현안질의에 출석, 쿠팡에 1조원 이상 과징금을 부과해야 한다는 지적에 "중점검토하겠다"고 답했다.

배경훈 부총리 겸 과학기술정보통신부 장관이 쿠팡 개인정보 유출 사태와 관련해 김범석 쿠팡 Inc 의장의 입장 표명이 필요하다고 지적했다. 배 부총리는 2일 열린 국회 과학기술정보방송통신위의 쿠팡 현안 질의에서 "해당 기업의 최고 책임자가 입장을 명확히 밝히는 것이 필요하다"면서 "대다수의 국민들이, 쿠팡 고객들이 굉장히 불안해하고 있다"고 말했다. 이 같은 발언은 쿠팡 대규모 개인정보 유출과 관련해 이사회 의장을 맡은 김범석 쿠팡 Inc 의장이 외국에서 사건을 방관만 하고 있다는 지적이 이어지는 가운데 이뤄졌다. 배 부총리는 이어 "정부 차원에서 안심시켜드릴 수 있도록 빠르게 조속한 조사를 하는 것뿐만 아니라 쿠팡에서도 앞으로의 계획에 대해서 명확하게 밝힐 필요가 있겠다"고 덧붙였다. 김범석 의장은 미국 이민자로, 전체 의결권의 70%를 보유하고 있다. 그러나 쿠팡 관련 크고 작은 사건이 터져 국회 출석 요구가 있을 때마다 해외 체류 등을 이유로 국회 청문회와 국정감사 등에 모습을 내비치지 않았다.

대규모 정보 유출 사태를 일으킨 쿠팡이 대해 '패스키' 등 정보 보안 기술 도입에는 소극적이면서 대관에만 의존해 문제를 해결하려고 한다는 비판이 국회에서 제기됐다. 이상휘 국민의힘 의원은 2일 서울 여의도 국회 과학기술정보방송통신위원회(과방위) 쿠팡 정보유출 사태 관련 현안질의에서 박대준 쿠팡 대표에게 "쿠팡은 대만에서 패스키(지문·얼굴인식 등을 이용한 비밀번호 대체 기술)를 보급했다"며 "그래서 대만에서 쿠팡이 상을 받았다. 그런데 왜 한국에서 이런 것을 안 하나. 대만 시장이 더 큰가"라고 말했다. 이 의원은 "기사를 보면 쿠팡의 개인정보 유출 사태 이후 개인통관 고유번호 재발급에 나서는 이용자들이 급증했다"며 "개인통관 고유번호가 유출되면 화약, 마약, 도검류 등이 막 들어오는 것 아닌가. 책임을 어떻게 지려고 하나. 무조건 재발급받아야 한다고 빨리 고지해야 한다"고 했다. 박정훈 국민의힘 의원은 배경훈 부총리 겸 과학기술정보통신부 장관에게 "범행을 저지른 중국인이 국내에 있는가"라며 "중국인이라는 게 알려지면 뭐가 문제가 되나.

3000만명이 넘는 가입자 개인정보를 무단 유출한 중국 국적 전직 쿠팡 직원이 중국 체류 중인 것으로 파악되면서 해당 직원을 한국으로 데려와 처벌할 수 있을지 관심이 쏠린다. 전문가들은 한국과 중국이 범죄인 인도조약을 맺고 있지만 중국 정부가 자국민 불인도 원칙을 고수하는 만큼 송환 가능성은 크지 않다고 전망한다. 2일 법조계에 따르면 한국과 중국은 2000년 범죄인 인도조약을 체결해 2002년부터 발효했다. 조약에 따라 양국은 자국에서 1년 이상 징역형에 해당하는 범죄를 저지른 용의자에 대해 인도를 청구할 수 있다. 다만 조약에는 상대국이 자국민의 인도를 요청받은 경우 이를 거절할 수 있는 권리가 규정돼 있다. 이른바 '자국민 불인도' 원칙이다. 즉 중국은 중국 국적 용의자에 대한 한국의 인도 요구를 거부할 수 있고 이 경우 처벌은 중국 내에서 이뤄진다. 법무부는 해당 직원이 중국에서 체포될 경우 국내 송환이 가능한지 여부를 두고 법리 검토에 착수할 예정이다. 범행 장소가 한국이고 피해자도 한국인과 한국 기업이라는 점에서 송환을 요구할 명분은 충분하다는 것이 법조계 중론이다.

이정렬 개인정보보호위원회 부위원장이 2일 국회 과학기술정보방송통신위원회의 쿠팡 긴급현안질의에서 "쿠팡의 개인정보 유출을 '노출'로 통지한 부분에 문제가 있다고 판단한다"며 "누가 봐도 유출로 보이는 부분"이라고 말했다. 이어 "제대로 된 통지를 하는게 필요하다"며 "쿠팡과 협의하겠다"고 덧붙였다. 쿠팡은 이번 사태 초기부터 개인정보 유출 대신 노출이라는 표현을 일관되게 사용해왔다. 외부 해킹으로 정보가 유출된 게 아니라, 내부자 소행으로 인한 노출이라는 설명이다. 이에 대해 이훈기 더불어민주당 의원은 "과징금 등을 생각해 이런 표현을 했는지 모르겠지만 국민을 기만하는 행위"라고 비판했다. 박대준 쿠팡 대표는 "생각이 짧았다"고 고개를 숙였다.

2일 국회 과학기술정보방송통신위원회(과방위) 현안질의에서 박대준 쿠팡 대표가 타오바오 등 중국 이커머스 사이트에서 쿠팡 계정이 판매된다는 논란과 관련해 "이번 정보망 침해 방식은 쿠팡 계정이나 로그인 정보를 이용한 형태가 아니다"고 밝혔다. 질의에 나선 김장겸 국민의힘 의원은 타오바오 등에서 쿠팡 계정이 23위안, 183위안에 판매된다는 사례를 제시하며 "로그인이 가능한 계정이 거래되는 수준이라면 로그인 정보가 유출된 것 아니냐"고 지적했다. 이에 박 대표는 "이번 해킹 과정에서 회사 계정이나 시스템 로그인 정보를 사용한 게 아니다"라며 "A의 방식이라면 쿠팡 서비스 이용자인 것처럼 접속하는 방식"이라고 설명했다. 브랫 매티스 쿠팡 글로벌보안 총괄은 "해당 사례는 구체적으로 알지 못한다"면서도 "다크웹에서는 이커머스 계정을 여러 방식으로 탈취하거나 위조 계정을 판매하는 경우가 있다. 클라이언트 쿠키 정보를 이용해 계정을 가져가는 방식도 있다"고 설명했다. 그러면서 "확인하겠지만 이번 사건과는 무관해 보인다"고 말했다.

박대준 쿠팡 대표가 2일 국회 과학기술정보방송통신위원회(과방위) 현안질의에서 개인정보 유출과 관련해 지목된 직원의 퇴사 시점이 "지난해 12월"이라고 직접 밝혔다. 박 대표는 또 해당 직원이 사용한 인증값에 대해 "결제 시스템에 접속할 수 없는 값"이라고 선을 그었다. 이날 질의에 나선 이정헌 더불어민주당 의원은 "정보를 유출한 것으로 보이는 퇴직자 시점을 보면 지난해 12월 퇴사한 사람"이라며 "6월 24일 처음 흔적이 발견됐는데, 12월 퇴사자라면 6개월 이상 떠나 있었던 것"이라고 지적했다. 그러면서 "12월 이후에도 인증키를 갖고 있었다면 언제든 정보 침탈이 가능하다"고 강조했다. 이 의원은 "고객들이 '카드 비밀번호나 결제 관련 정보를 바꿔야 하느냐'고 ARS에 문의했더니 '유출되지 않아 변경 필요 없다'고 답변을 들었다고 한다"며 "문자 안내에서는 또 쿠팡 비밀번호만 바꾸라고 해서 혼선이 빚어지고 있다"고 비판했다. 이에 박 대표는 "A라고 가정한 침해자가 사용한 인증값은 결제에 접속할 수 없다"며 "관련 자료는 정부와 공유 중"이라고 설명했다.

국내 이커머스(전자상거래) 1위 업체 쿠팡에서 약 3370만건의 개인정보가 유출되는 등 해킹 피해가 이어지자 시민들의 불안감이 커진다. 계정마다 다른 암호를 설정하는 등 대응법이 소셜미디어를 통해 퍼진다. 전문가들은 2차 피해 예방을 위해 해킹 발생과 피해 사실을 빠르게 공유할 수 있는 시스템을 갖춰야 한다고 주장한다. 노모씨(25)는 2일 본지와 통화에서 "최근 통신사에서도 계속 고객 정보가 유출되는 등 국내 개인정보 보호 시스템이 전반적으로 매우 취약한 것 같다"며 "매출 증가에만 신경 쓰고 고객 정보에 대해서는 무관심하다"라고 지적했다. 노씨는 또 "암호를 바꿔놔도 보안 수준을 믿지 못하겠다"며 "회원 계약을 잠시 해지할 예정"이라고 말했다. 대학생 김모씨(20)는 와우 회원으로 한 달에 적어도 3번 넘게 쿠팡을 이용한다. 그는 "이제는 통신사 외에도 유출되는 곳이 많아서 무심할 지경"이라며 "개인정보를 하도 많이 해킹당해서 이제는 그러려니 한다"라고 말했다. 이어 "결제정보와 로그인 정보 등은 유출되지 않았다는 보장이 없다"며 "전혀 보호되지 않는 것 같다"고 토로했다.

쿠팡의 주가가 미국증시에서 하락세를 보이고 있다. 침해사고와 대규모 개인정보 유출 사태가 발생한 탓이다. 여기에 산업계를 넘어 정치권까지 비판의 목소리를 내면서 쿠팡 침해사고 문제가 주가에 더욱 큰 악영향을 끼칠 것으로 보인다. 지난 1일(현지시각) 뉴욕증시 정규장에서 쿠팡Inc는 전 거래일 대비 5. 36% 내린 26. 65달러에 장을 마쳤다. 장 중 한때 7. 21%까지 하락했다. 이후 애프터마켓에서는 정규장 종가보다 0. 15% 하락하는 등 약보합세를 보였다. 쿠팡은 지난달 29일 대규모 개인정보 유출 사태가 발생했다고 밝혔다. 쿠팡에 따르면 지난 6월24일부터 3370만개 계정에서 고객명·이메일·주소 등 정보가 유출됐다. 쿠팡은 개인정보 유출사실을 지난달 18일에야 인지했다. 사고가 발생한 이후 5개월 간 쿠팡이 이를 알지 못했다는 사실이 알려지면서 더 큰 비난을 받았다. 지난달 30일 박대준 쿠팡 대표는 "이번 사태로 인해서 피해를 입으신 쿠팡 고객들과 국민들에게 심려를 끼쳐드려 너무 죄송한 말씀과 사과의 말씀을 드린다"며 대국민 사과를 했다.

쿠팡 개인정보 유출 사태로 2차 피해 우려가 커지는 가운데 쿠팡이 여전히 인터넷주소(URL)가 포함된 문자메시지를 고객에게 발송하고 있는 것으로 확인됐다. 상품도착 알림을 안내하며 쿠팡으로 연결하는 인터넷 주소를 함께 보내고 있는데 피싱, 스미싱 범죄 조직이 이를 그대로 악용할 수 있다는 지적이 나온다. 2일 머니투데이 취재에 따르면 쿠팡은 최근 상품 배송 도착 안내나 반품 접수 관련 정보를 문자메시지로 보내면서 쿠팡 앱 또는 웹으로 연결되는 링크(URL)를 함께 보내고 있다. 문제는 범죄 조직이 스미싱 문자를 보낼 때 동일한 방식의 배송 안내, 주소 오류 수정, 반품·환불 처리 등을 활용한다는 점이다. 쿠팡에서 도착알림 등의 문자를 URL과 함께 보내고 있기 때문에 고객들 입장에서는 쿠팡에서 보낸 문자라고 생각해 무의식적으로 URL을 누르기 쉽다. 자칫 쿠팡의 문자 형태를 따라해 범죄조직이 보낸 스미싱 문자의 URL을 누를 경우 악성코드가 휴대폰에 설치돼 추가적인 피해를 볼 가능성이 있다.

이재명 대통령이 쿠팡의 3370만명 규모 개인정보 유출 사태와 관련, "관계 부처는 해외 사례들을 참고해 과징금을 강화하고 징벌적 손해배상 제도도 현실화하는 등 실질적이고 실효적인 대책 마련에 나서달라"고 지시했다. 이 대통령은 2일 서울 용산 대통령실에서 열린 국무회의에서 "쿠팡 때문에 우리 국민들께서 걱정이 많다"며 이같이 말했다. 이어 "사고 원인을 조속하게 규명하고 엄중하게 책임을 물어야 되겠다"며 "유출 정보를 악용한 2차 피해를 막는 데도 가용 수단을 총동원해 주시기 바란다"고 당부했다. 또 1주년을 맞는 12. 3 비상계엄 사태에 대해 이 대통령은 "고문을 해서 누군가를 죽인다든지, 사건조작을 해서 멀쩡한 사람을 감옥 보낸다든지, 군사 쿠데타를 일으켜서 나라를 뒤집어놓는다든지, 국민이 맡긴 국가 권력으로 개인의 인권을 침해하는 것에 대해선 나치 전범 처리하듯이 영원히 살아있는 한 형사처벌하고 상속재산이 있는 범위 내에선 상속인들까지도 끝까지 책임지게 이렇게 해야 근본적으로 대책이 되지 않겠나"라며 강력한 내란 범죄 처벌 의지를 밝혔다.