쿠팡 3370만명이 털렸다
쿠팡 이용객 약 3370만개 고객 계정의 개인정보가 외부에 무단으로 노출돼 파장이 일고 있다.
총 272 건
국내 이커머스(전자상거래) 1위 업체 쿠팡에서 약 3370만건의 개인정보가 유출되는 등 해킹 피해가 이어지자 시민들의 불안감이 커진다. 계정마다 다른 암호를 설정하는 등 대응법이 소셜미디어를 통해 퍼진다. 전문가들은 2차 피해 예방을 위해 해킹 발생과 피해 사실을 빠르게 공유할 수 있는 시스템을 갖춰야 한다고 주장한다. 노모씨(25)는 2일 본지와 통화에서 "최근 통신사에서도 계속 고객 정보가 유출되는 등 국내 개인정보 보호 시스템이 전반적으로 매우 취약한 것 같다"며 "매출 증가에만 신경 쓰고 고객 정보에 대해서는 무관심하다"라고 지적했다. 노씨는 또 "암호를 바꿔놔도 보안 수준을 믿지 못하겠다"며 "회원 계약을 잠시 해지할 예정"이라고 말했다. 대학생 김모씨(20)는 와우 회원으로 한 달에 적어도 3번 넘게 쿠팡을 이용한다. 그는 "이제는 통신사 외에도 유출되는 곳이 많아서 무심할 지경"이라며 "개인정보를 하도 많이 해킹당해서 이제는 그러려니 한다"라고 말했다. 이어 "결제정보와 로그인 정보 등은 유출되지 않았다는 보장이 없다"며 "전혀 보호되지 않는 것 같다"고 토로했다.
쿠팡의 주가가 미국증시에서 하락세를 보이고 있다. 침해사고와 대규모 개인정보 유출 사태가 발생한 탓이다. 여기에 산업계를 넘어 정치권까지 비판의 목소리를 내면서 쿠팡 침해사고 문제가 주가에 더욱 큰 악영향을 끼칠 것으로 보인다. 지난 1일(현지시각) 뉴욕증시 정규장에서 쿠팡Inc는 전 거래일 대비 5. 36% 내린 26. 65달러에 장을 마쳤다. 장 중 한때 7. 21%까지 하락했다. 이후 애프터마켓에서는 정규장 종가보다 0. 15% 하락하는 등 약보합세를 보였다. 쿠팡은 지난달 29일 대규모 개인정보 유출 사태가 발생했다고 밝혔다. 쿠팡에 따르면 지난 6월24일부터 3370만개 계정에서 고객명·이메일·주소 등 정보가 유출됐다. 쿠팡은 개인정보 유출사실을 지난달 18일에야 인지했다. 사고가 발생한 이후 5개월 간 쿠팡이 이를 알지 못했다는 사실이 알려지면서 더 큰 비난을 받았다. 지난달 30일 박대준 쿠팡 대표는 "이번 사태로 인해서 피해를 입으신 쿠팡 고객들과 국민들에게 심려를 끼쳐드려 너무 죄송한 말씀과 사과의 말씀을 드린다"며 대국민 사과를 했다.
쿠팡 개인정보 유출 사태로 2차 피해 우려가 커지는 가운데 쿠팡이 여전히 인터넷주소(URL)가 포함된 문자메시지를 고객에게 발송하고 있는 것으로 확인됐다. 상품도착 알림을 안내하며 쿠팡으로 연결하는 인터넷 주소를 함께 보내고 있는데 피싱, 스미싱 범죄 조직이 이를 그대로 악용할 수 있다는 지적이 나온다. 2일 머니투데이 취재에 따르면 쿠팡은 최근 상품 배송 도착 안내나 반품 접수 관련 정보를 문자메시지로 보내면서 쿠팡 앱 또는 웹으로 연결되는 링크(URL)를 함께 보내고 있다. 문제는 범죄 조직이 스미싱 문자를 보낼 때 동일한 방식의 배송 안내, 주소 오류 수정, 반품·환불 처리 등을 활용한다는 점이다. 쿠팡에서 도착알림 등의 문자를 URL과 함께 보내고 있기 때문에 고객들 입장에서는 쿠팡에서 보낸 문자라고 생각해 무의식적으로 URL을 누르기 쉽다. 자칫 쿠팡의 문자 형태를 따라해 범죄조직이 보낸 스미싱 문자의 URL을 누를 경우 악성코드가 휴대폰에 설치돼 추가적인 피해를 볼 가능성이 있다.
이재명 대통령이 쿠팡의 3370만명 규모 개인정보 유출 사태와 관련, "관계 부처는 해외 사례들을 참고해 과징금을 강화하고 징벌적 손해배상 제도도 현실화하는 등 실질적이고 실효적인 대책 마련에 나서달라"고 지시했다. 이 대통령은 2일 서울 용산 대통령실에서 열린 국무회의에서 "쿠팡 때문에 우리 국민들께서 걱정이 많다"며 이같이 말했다. 이어 "사고 원인을 조속하게 규명하고 엄중하게 책임을 물어야 되겠다"며 "유출 정보를 악용한 2차 피해를 막는 데도 가용 수단을 총동원해 주시기 바란다"고 당부했다. 또 1주년을 맞는 12. 3 비상계엄 사태에 대해 이 대통령은 "고문을 해서 누군가를 죽인다든지, 사건조작을 해서 멀쩡한 사람을 감옥 보낸다든지, 군사 쿠데타를 일으켜서 나라를 뒤집어놓는다든지, 국민이 맡긴 국가 권력으로 개인의 인권을 침해하는 것에 대해선 나치 전범 처리하듯이 영원히 살아있는 한 형사처벌하고 상속재산이 있는 범위 내에선 상속인들까지도 끝까지 책임지게 이렇게 해야 근본적으로 대책이 되지 않겠나"라며 강력한 내란 범죄 처벌 의지를 밝혔다.
여야가 '쿠팡 개인정보 유출 사태'에 대한 현안질의를 열고 쿠팡이 소비자들에게 제대로 된 사과를 내놓지 않는 등 사태에 대한 책임을 회피하고 있다고 비판했다. 의원들의 질의에 '수사 중'이라며 답변을 피하는 쿠팡 측의 답변 태도도 도마에 올랐다. 한민수 더불어민주당 의원은 2일 서울 여의도 국회 과학기술정보방송통신위원회(과방위) 쿠팡 정보 유출 사태 관련 긴급현안질의에서 박대준 대표에게 "이번 사태가 개인정보 유출인가, 노출인가"라고 물었다. 박 대표가 "유출"이라고 답하자 한 의원은 "지속적으로 노출이라고 (표현을) 쓰고 있다. 국민들에게 사기치는 것인가"라고 했다. 한 의원은 박 대표에게 전날 캡처한 쿠팡의 PC, 모바일 홈페이지를 보여주며 "사과 문구를 찾아보라"고 했다. 쿠팡이 사과문을 이용자들에게 잘 보이는 '팝업' 형태 아닌 광고 배너에 기재한 점을 지적한 것이다. 박 대표가 "제일 상단에 배치돼 있다"고 하자 한 의원은 "오늘 아침 9시7분에는 이마저도 사라졌다. 3000만명 넘는 국민이 불안에 떨고 있는데 장사 좀 더 하겠다고 이렇게 하고 있다"고 했다.
쿠팡에서 3370만개 고객 계정 정보가 유출된 가운데, 2차 피해를 막으려면 쿠팡에서 결제정보를 삭제하고 로그인 비밀번호를 바꾸라는 전문가 조언이 나왔다. 2일 김승주 고려대 정보보호대학원 교수는 국회 과학기술정보방송통신위원회의 쿠팡 현안질의에서 "피해가 확산될 수 있기 때문에 (쿠팡 앱 내) 결제카드를 삭제하고 카드와 쿠팡 로그인 비밀번호를 바꾸는 게 좋다"고 말했다. 과방위원장인 최민희 더불어민주당 의원이 쿠팡에 이 3가지를 공지할 것을 권고하자, 박대준 쿠팡 대표는 "(김 교수가 말한) 정보가 노출됐다고 확인된 바는 아직 없고, 너무 또 과잉해서 안내할 경우에는 불안감을 조성하게 된다"고 했다. 그러나 김 교수는 "과거 통신사 해킹 사례 때도 최악의 경우를 대비해 유심 교체까지 갔다"며 "민관합동조사단이 전수조사를 하면 피해가 더 확산될 수 있기 때문에 최악의 상황을 가정하고 대책을 공지하는 게 맞다"고 설명했다.
쿠팡 사태를 조사하는 과학기술정보통신부 민관합동조사단 인원이 SK텔레콤 때보다 적은 8명에 불과한 것으로 나타났다. 2일 국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원은 쿠팡 현안질의에서 "현재 민관합동조사단 인력이 SKT 조사단 11명보다 줄어든 8명으로, 그 중 민간 전문가는 1명"이라고 밝혔다. 3370만개 고객 계정 정보가 유출된 쿠팡은 SKT(가입자식별번호(IMSI) 기준 2695만건)보다 피해규모가 큰 데도 조사인력이 더 적은 것이다. 이 의원은 "초동 대응이 우려가 된다"며 "해킹 사고가 반복돼 인력이나 예산 상의 문제가 있는 것"이라고 지적했다. 이어"기업의 귀책사유가 있는 경우 조사단 운영비 전부를 부담하는 정보통신망법 개정안을 발의할 예정"이라며 "정부도 제도 개선에 긍정적인 입장을 취해달라"고 당부했다. 이에 류제명 과기정통부 제2차관은 "같이 논의하겠다"고 답했다.
관세청 전자통관시스템(유니패스) 홈페이지가 먹통이다. 쿠팡 3370만 계정 해킹 사태로 인해 개인통관고유부호를 바꾸려는 사람들이 몰리는 것으로 보인다. 2일 오후 12시8분 기준 관세청 유니패스 홈페이지는 접속이 되지 않는 먹통 사태다. 온라인 등에는 사이트 먹통에 답답해하는 이용자들의 글이 다수 올라오고 있다. 관세청 홈페이지에도 유니패스 홈페이지 서비스 지연을 안내하는 글이 올라왔다. 관세청은 "현재 전자통관시스템(유니패스) 이용량 증가 및 서버 처리 지연으로 인해 일부 서비스 이용이 원활하지 않을 수 있다"면서 "서비스는 안정화 작업 진행 중이며, 정상화되는 대로 안내드리겠다"고 안내했다. 관세청 관계자는 "어제 오전 9시15분경부터 서버 접속이 지연되고 있는 상태"라면서 "갑자기 접속하려는 이용자가 몰리고 있기 때문"이라고 답했다. 쿠팡 해킹 여파로 판단하고 있다고도 덧붙였다. 관세청 유니패스는 개인통관부호를 발급하는 홈페이지다. 최근 쿠팡에서 3370만 계정의 개인정보가 모두 털린 여파로 보인다.
박대준 쿠팡 대표가 정보 유출 사건의 핵심 용의자로 지목된 전직 중국 국적 직원에 대해 "인증을 직접 다루는 운영 인력이 아니라, 인증 시스템을 만드는 개발자였다"고 밝혔다. 박 대표는 2일 국회 과학기술정보방송통신위원회 현안보고에서 국민의힘 신성범 의원의 질문에 답하며 해당 직원의 역할을 이렇게 규정했다. 그는 "개발 조직은 한 명이 모든 것을 담당하는 구조가 아니다"라며 "여러 개발자가 팀을 이뤄 기능을 나눠 담당한다"고 설명했다. 정보유출 범죄 가담 인원이 1명인지 여부를 묻는 질의에는 "현재로선 단정할 수 없다"며 "진행 중인 수사 사안이라 구체적인 언급은 어렵다"고 말을 아꼈다. 박 대표는 이번 사태를 '유출'로 봐야 하는지, '노출'로 봐야 하는지에 대한 질문에는 "유출이 맞다"고 답했다. 쿠팡이 최초 이번 사건을 '노출'로 표현한 것과 관련해 법적인 책임을 회피하기 위한 의도적인 행태란 지적도 나왔다. 노종면 더불어민주당 의원은 "관련법에 따르면 노출은 법적 책임이 없지만, 유출은 징벌적 과징금을 비롯한 법적 책임이 부여되는 범죄 행위"라며 "쿠팡이 이를 알고 처음부터 노출이란 표현을 쓴 것 아니냐"고 질타했다.
"집주소에 공동현관 비번, 개인통관부호까지…. 이 정도면 개인정보가 아니라 공공재 아닌가요. " 올해 대규모 개인정보 유출피해가 잇따르면서 최근 5년간 전국민이 3차례 이상 개인정보 유출피해를 겪은 것으로 나타났다. 1일 개인정보보호위원회에 따르면 2021~2025년 10월까지 누적 개인정보 유출건수는 총 1억1924만건에 달했다. 개인정보보호법에 따라 조사·처분이 완료된 사건 기준이다. 올해는 약 1348억원의 과징금을 부과받은 SK텔레콤까지 포함됐다. 지난 9월 발생해 조사·처분이 완료되지 않은 롯데카드(297만건)와 KT(2만건), 최근 발생한 쿠팡(3370만여건) 사고까지 포함하면 최근 5년간 개인정보 유출건수는 1억5593만건으로 늘어난다. 올 10월 대한민국 총인구(5114만여명) 기준으로 1명당 3건 이상의 개인정보 유출사고를 겪은 셈이다. 올해 유난히 피해가 컸다. 올해 개인정보 유출건수는 7516만여건으로 전년(593만여건) 대비 약 13배 급증했다. SK텔레콤에 이어 쿠팡까지 대형 사고가 잇따라 발생한 여파다.
급성장한 이커머스(전자상거래) 플랫폼 쿠팡이 최근 반복된 개인정보 노출·유출사고로 또다시 도마에 올랐다. 연매출이 41조원을 넘길 만큼 가파른 성장세를 보였지만 보안체계는 여전히 글로벌 수준에 미치지 못한다는 지적이 잇따른다. 1일 관련업계에 따르면 쿠팡은 2020년 배달원정보 노출을 시작으로 2021년 고객정보 노출, 2023년 주문자·수취인정보 유출까지 총 3차례 개인정보 사고를 겪었는데 모두 내부 원인으로 발생했다. 이 과정에서 낮은 수위의 제재를 받으면서 과징금·과태료 등이 총 16억원에 그쳤다. 업계에서는 "사고의 성격상 결코 가볍지 않았는데 제재가 단발성에 머물러 구조적 개선으로 이어지지 못했다"는 진단이 나왔다. 보안업계 관계자도 "사실상 쿠팡에 가입된 계정 대부분에서 개인정보가 노출된 셈인데 외부공격이 아니라 내부자의 접근문제에서 발생했다면 이는 회사와 구성원들의 보안의식이 전반적으로 미비했다는 뜻"이라며 "통신업계에서 발생한 초대형 사고와 비교해도 규모가 큰 편인데 쿠팡의 경우 사고인지까지 긴 시간이 걸린 점은 내부 모니터링 체계 자체가 취약했다는 점을 보여준다"고 강조했다.
쿠팡이 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 2차례나 취득하고도 네 번의 개인정보 유출사고가 발생해 정부제도의 실효성 논란이 제기된다. 이에 과학기술정보통신부는 네이버·카카오·쿠팡 등 대형 IT(정보기술)플랫폼사업자를 '고위험산업군'으로 지정해 강화된 ISMS-P 기준을 적용키로 했다. 개인정보보호위원회는 이달 중 구축이 완료되는 포렌식랩을 쿠팡사태 조사에 활용해 원인규명 및 증거확보 역량을 높인다. 1일 정부에 따르면 과기정통부는 IT플랫폼과 통신·인프라사업자 등 고위험산업군에 특화된 ISMS-P 점검항목을 개발하고 있다. 침해사고 발생시 국민생활에 파급력이 큰 ICT(정보통신기술)사업자를 특별관리하겠다는 것이다. IT플랫폼 적용대상을 어떻게 할지 기준을 논의 중이지만 네이버, 카카오, 쿠팡은 포함될 가능성이 높다. 과기정통부 관계자는 "현재 연구반에서 점검항목·방식을 구체화하고 있다"며 "내년 상반기 해당 사업자에 인증기준을 배포해 시행할 예정"이라고 말했다. 개인정보위는 쿠팡 조사에 자체 포렌식랩을 처음으로 활용한다.