머니투데이

여야가 '쿠팡 개인정보 유출 사태'에 대한 현안질의를 열고 쿠팡이 소비자들에게 제대로 된 사과를 내놓지 않는 등 사태에 대한 책임을 회피하고 있다고 비판했다. 의원들의 질의에 '수사 중'이라며 답변을 피하는 쿠팡 측의 답변 태도도 도마에 올랐다. 한민수 더불어민주당 의원은 2일 서울 여의도 국회 과학기술정보방송통신위원회(과방위) 쿠팡 정보 유출 사태 관련 긴급현안질의에서 박대준 대표에게 "이번 사태가 개인정보 유출인가, 노출인가"라고 물었다. 박 대표가 "유출"이라고 답하자 한 의원은 "지속적으로 노출이라고 (표현을) 쓰고 있다. 국민들에게 사기치는 것인가"라고 했다. 한 의원은 박 대표에게 전날 캡처한 쿠팡의 PC, 모바일 홈페이지를 보여주며 "사과 문구를 찾아보라"고 했다. 쿠팡이 사과문을 이용자들에게 잘 보이는 '팝업' 형태 아닌 광고 배너에 기재한 점을 지적한 것이다. 박 대표가 "제일 상단에 배치돼 있다"고 하자 한 의원은 "오늘 아침 9시7분에는 이마저도 사라졌다. 3000만명 넘는 국민이 불안에 떨고 있는데 장사 좀 더 하겠다고 이렇게 하고 있다"고 했다.

쿠팡에서 3370만개 고객 계정 정보가 유출된 가운데, 2차 피해를 막으려면 쿠팡에서 결제정보를 삭제하고 로그인 비밀번호를 바꾸라는 전문가 조언이 나왔다. 2일 김승주 고려대 정보보호대학원 교수는 국회 과학기술정보방송통신위원회의 쿠팡 현안질의에서 "피해가 확산될 수 있기 때문에 (쿠팡 앱 내) 결제카드를 삭제하고 카드와 쿠팡 로그인 비밀번호를 바꾸는 게 좋다"고 말했다. 과방위원장인 최민희 더불어민주당 의원이 쿠팡에 이 3가지를 공지할 것을 권고하자, 박대준 쿠팡 대표는 "(김 교수가 말한) 정보가 노출됐다고 확인된 바는 아직 없고, 너무 또 과잉해서 안내할 경우에는 불안감을 조성하게 된다"고 했다. 그러나 김 교수는 "과거 통신사 해킹 사례 때도 최악의 경우를 대비해 유심 교체까지 갔다"며 "민관합동조사단이 전수조사를 하면 피해가 더 확산될 수 있기 때문에 최악의 상황을 가정하고 대책을 공지하는 게 맞다"고 설명했다.

쿠팡 사태를 조사하는 과학기술정보통신부 민관합동조사단 인원이 SK텔레콤 때보다 적은 8명에 불과한 것으로 나타났다. 2일 국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원은 쿠팡 현안질의에서 "현재 민관합동조사단 인력이 SKT 조사단 11명보다 줄어든 8명으로, 그 중 민간 전문가는 1명"이라고 밝혔다. 3370만개 고객 계정 정보가 유출된 쿠팡은 SKT(가입자식별번호(IMSI) 기준 2695만건)보다 피해규모가 큰 데도 조사인력이 더 적은 것이다. 이 의원은 "초동 대응이 우려가 된다"며 "해킹 사고가 반복돼 인력이나 예산 상의 문제가 있는 것"이라고 지적했다. 이어"기업의 귀책사유가 있는 경우 조사단 운영비 전부를 부담하는 정보통신망법 개정안을 발의할 예정"이라며 "정부도 제도 개선에 긍정적인 입장을 취해달라"고 당부했다. 이에 류제명 과기정통부 제2차관은 "같이 논의하겠다"고 답했다.

관세청 전자통관시스템(유니패스) 홈페이지가 먹통이다. 쿠팡 3370만 계정 해킹 사태로 인해 개인통관고유부호를 바꾸려는 사람들이 몰리는 것으로 보인다. 2일 오후 12시8분 기준 관세청 유니패스 홈페이지는 접속이 되지 않는 먹통 사태다. 온라인 등에는 사이트 먹통에 답답해하는 이용자들의 글이 다수 올라오고 있다. 관세청 홈페이지에도 유니패스 홈페이지 서비스 지연을 안내하는 글이 올라왔다. 관세청은 "현재 전자통관시스템(유니패스) 이용량 증가 및 서버 처리 지연으로 인해 일부 서비스 이용이 원활하지 않을 수 있다"면서 "서비스는 안정화 작업 진행 중이며, 정상화되는 대로 안내드리겠다"고 안내했다. 관세청 관계자는 "어제 오전 9시15분경부터 서버 접속이 지연되고 있는 상태"라면서 "갑자기 접속하려는 이용자가 몰리고 있기 때문"이라고 답했다. 쿠팡 해킹 여파로 판단하고 있다고도 덧붙였다. 관세청 유니패스는 개인통관부호를 발급하는 홈페이지다. 최근 쿠팡에서 3370만 계정의 개인정보가 모두 털린 여파로 보인다.

박대준 쿠팡 대표가 정보 유출 사건의 핵심 용의자로 지목된 전직 중국 국적 직원에 대해 "인증을 직접 다루는 운영 인력이 아니라, 인증 시스템을 만드는 개발자였다"고 밝혔다. 박 대표는 2일 국회 과학기술정보방송통신위원회 현안보고에서 국민의힘 신성범 의원의 질문에 답하며 해당 직원의 역할을 이렇게 규정했다. 그는 "개발 조직은 한 명이 모든 것을 담당하는 구조가 아니다"라며 "여러 개발자가 팀을 이뤄 기능을 나눠 담당한다"고 설명했다. 정보유출 범죄 가담 인원이 1명인지 여부를 묻는 질의에는 "현재로선 단정할 수 없다"며 "진행 중인 수사 사안이라 구체적인 언급은 어렵다"고 말을 아꼈다. 박 대표는 이번 사태를 '유출'로 봐야 하는지, '노출'로 봐야 하는지에 대한 질문에는 "유출이 맞다"고 답했다. 쿠팡이 최초 이번 사건을 '노출'로 표현한 것과 관련해 법적인 책임을 회피하기 위한 의도적인 행태란 지적도 나왔다. 노종면 더불어민주당 의원은 "관련법에 따르면 노출은 법적 책임이 없지만, 유출은 징벌적 과징금을 비롯한 법적 책임이 부여되는 범죄 행위"라며 "쿠팡이 이를 알고 처음부터 노출이란 표현을 쓴 것 아니냐"고 질타했다.

"집주소에 공동현관 비번, 개인통관부호까지…. 이 정도면 개인정보가 아니라 공공재 아닌가요. " 올해 대규모 개인정보 유출피해가 잇따르면서 최근 5년간 전국민이 3차례 이상 개인정보 유출피해를 겪은 것으로 나타났다. 1일 개인정보보호위원회에 따르면 2021~2025년 10월까지 누적 개인정보 유출건수는 총 1억1924만건에 달했다. 개인정보보호법에 따라 조사·처분이 완료된 사건 기준이다. 올해는 약 1348억원의 과징금을 부과받은 SK텔레콤까지 포함됐다. 지난 9월 발생해 조사·처분이 완료되지 않은 롯데카드(297만건)와 KT(2만건), 최근 발생한 쿠팡(3370만여건) 사고까지 포함하면 최근 5년간 개인정보 유출건수는 1억5593만건으로 늘어난다. 올 10월 대한민국 총인구(5114만여명) 기준으로 1명당 3건 이상의 개인정보 유출사고를 겪은 셈이다. 올해 유난히 피해가 컸다. 올해 개인정보 유출건수는 7516만여건으로 전년(593만여건) 대비 약 13배 급증했다. SK텔레콤에 이어 쿠팡까지 대형 사고가 잇따라 발생한 여파다.

급성장한 이커머스(전자상거래) 플랫폼 쿠팡이 최근 반복된 개인정보 노출·유출사고로 또다시 도마에 올랐다. 연매출이 41조원을 넘길 만큼 가파른 성장세를 보였지만 보안체계는 여전히 글로벌 수준에 미치지 못한다는 지적이 잇따른다. 1일 관련업계에 따르면 쿠팡은 2020년 배달원정보 노출을 시작으로 2021년 고객정보 노출, 2023년 주문자·수취인정보 유출까지 총 3차례 개인정보 사고를 겪었는데 모두 내부 원인으로 발생했다. 이 과정에서 낮은 수위의 제재를 받으면서 과징금·과태료 등이 총 16억원에 그쳤다. 업계에서는 "사고의 성격상 결코 가볍지 않았는데 제재가 단발성에 머물러 구조적 개선으로 이어지지 못했다"는 진단이 나왔다. 보안업계 관계자도 "사실상 쿠팡에 가입된 계정 대부분에서 개인정보가 노출된 셈인데 외부공격이 아니라 내부자의 접근문제에서 발생했다면 이는 회사와 구성원들의 보안의식이 전반적으로 미비했다는 뜻"이라며 "통신업계에서 발생한 초대형 사고와 비교해도 규모가 큰 편인데 쿠팡의 경우 사고인지까지 긴 시간이 걸린 점은 내부 모니터링 체계 자체가 취약했다는 점을 보여준다"고 강조했다.

쿠팡이 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 2차례나 취득하고도 네 번의 개인정보 유출사고가 발생해 정부제도의 실효성 논란이 제기된다. 이에 과학기술정보통신부는 네이버·카카오·쿠팡 등 대형 IT(정보기술)플랫폼사업자를 '고위험산업군'으로 지정해 강화된 ISMS-P 기준을 적용키로 했다. 개인정보보호위원회는 이달 중 구축이 완료되는 포렌식랩을 쿠팡사태 조사에 활용해 원인규명 및 증거확보 역량을 높인다. 1일 정부에 따르면 과기정통부는 IT플랫폼과 통신·인프라사업자 등 고위험산업군에 특화된 ISMS-P 점검항목을 개발하고 있다. 침해사고 발생시 국민생활에 파급력이 큰 ICT(정보통신기술)사업자를 특별관리하겠다는 것이다. IT플랫폼 적용대상을 어떻게 할지 기준을 논의 중이지만 네이버, 카카오, 쿠팡은 포함될 가능성이 높다. 과기정통부 관계자는 "현재 연구반에서 점검항목·방식을 구체화하고 있다"며 "내년 상반기 해당 사업자에 인증기준을 배포해 시행할 예정"이라고 말했다. 개인정보위는 쿠팡 조사에 자체 포렌식랩을 처음으로 활용한다.

경찰이 '쿠팡 개인정보 유출 사건'과 관련, 범행에 사용한 IP(인터넷주소)를 확보해 추적에 들어갔다. 2차 피해예방도 병행한다. 정부는 대규모 기업 보안사고가 되풀이되지 않도록 제도개선에도 나선다. 강훈식 대통령실 비서실장은 1일 열린 수석보좌관회의에서 징벌적 손해배상제도를 언급하며 "기업의 책임이 명백한 경우 제도가 실효성 있게 작동할 수 있도록 개선방안을 검토하라"고 지시했다. 전은수 대통령실 부대변인에 따르면 강 실장은 "AI(인공지능) 전환으로 데이터(정보)가 기업 경쟁력의 핵심이 된 시대에 겉으로는 가장 엄격한 보호조치를 내세우면서도 실제 뒷문이 열려 있는 형국"이라며 "근본적인 제도보완, 현장점검체계 재정비, 기업의 보안역량 강화 지원책 등을 신속히 보고해달라"고 과학기술정보통신부와 개인정보보호위원회에 지시했다. 전 부대변인은 "(해당 사안이) 이재명 대통령에게도 보고됐을 것"이라며 "이 대통령이 직접 메시지를 내지 않았으나 내일(2일) 국무회의가 있으니 기다려볼 필요가 있을 것같다"고 말했다.

쿠팡 침해사고로 3370만개 계정 정보가 유출된 가운데, 정부가 쿠팡 서버에서 악성코드는 발견되지 않았으며 다크웹 등 불법 사이트에서 개인정보가 거래되는 정황은 없다고 밝혔다. 다만 경찰 수사 및 민관합동조사 초기인 만큼 향후 상황은 달라질 수 있다. 정부는 중국 국적의 내부자 소행설에 대해서는 "현재 수사 중"이라며 말을 아꼈다. 최우혁 과학기술정보통신부 네트워크정책실장은 30일 정부서울청사에서 열린 긴급 관계부처 대책회의 후 기자들과 만나 중국 국적의 내부자 소행설에 대해 "수사의 영역이라 밝히기는 어렵다"며 "(수사에) 진전이 있으면 투명하게 밝히겠다"고 말했다. 이날 오후 4시 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 관계기관이 참석하는 긴급 대책회의가 정부서울청사에서 열렸다. 회의엔 배 부총리와 윤창렬 국무조정실장, 송경희 개인정보위원장, 김창섭 국정원 3차장, 유재성 경찰청장 직무대행이 참석했다. 김창섭 3차장이 회의에 참석한 것에 대해 최 실장은 "혹시 모를 국가 배후 범죄, 안보적 상황이 있는지 같이 논의한 것"이라고 설명했다.

3370만명에 이르는 쿠팡 고객의 개인정보가 유출된 사건과 관련, 피해자들 일부가 집단으로 손해배상 청구 소송을 제기할 것으로 보인다. 법조계에서는 쿠팡이 최대 3조원대 위자료를 지급하게 될 가능성이 있다는 전망이 나오고 있다. 30일 법조계에 따르면 전날 네이버 등 포털사이트에 복수의 쿠팡 개인정보 유출 피해자 모임 카페가 개설됐다. 가입자들은 빠르게 늘고 있다. 한 카페 개설자는 "대한민국 국민의 절반 이상 개인정보가 노출된 사건인데 가만히 있을 수 없다. 소송해서 쿠팡이 무시하는 소비자들의 힘을 보여주자"고 밝혔다. 김경호 법률사무소 호인 변호사도 전날 자신의 페이스북에 집단 손해배상소송을 진행하겠다고 밝혔다. 김 변호사는 "해킹 기술이 고도화됐다 하더라도 쿠팡이 당시 기술 수준에서 요구되는 접근 통제·접속 기록 보관·암호화 조치 등을 소홀히 했다면 과실이 인정된다"고 주장했다. 실제로 집단 민사 소송이 이뤄진다면 쿠팡이 법과 업계가 요구하는 수준의 안전조치를 했는지 여부가 핵심 쟁점이 될 전망이다.

대규모 개인정보 유출 사태와 관련해 박대준 쿠팡 대표가 고객과 국민에게 사과하며 정부 합동 조사에 적극적으로 협조하겠다는 입장을 밝혔다. 박 대표는 30일 공식입장문을 통해 "올해 6월 24일 시작된 쿠팡의 최근 사고에 유감을 표명한다"며 "국민 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과드린다"고 했다. 그러면서 "공지된 바와 같이, 올해 6월부터 최근까지 고객 정보에 대한 무단 접근이 발생했다"면서 "무단 접근된 고객정보는 이름, 고객 이메일, 전화번호, 배송지 주소, 그리고 특정 주문 정보로 제한되었고 결제 정보, 신용카드 정보, 고객 로그인 정보는 포함되지 않았다"고 설명했다. 박 대표는 "모든 고객 정보를 보호하는 것은 쿠팡의 가장 중요한 우선순위"라고 강조하면서 "종합적인 데이터 보호·보안 조치와 프로세스를 유지하고 있다"고 전했다. 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 경찰청 등 민관합동조사단과 긴밀히 협력하여 추가적인 피해 예방을 위해 최선을 다하겠다는 의지도 피력했다.