머니투데이

박대준 쿠팡 대표가 30일 정부서울청사에서 대국민 사과했다. 박 대표는 "이번 사태로 인해서 피해를 입으신 쿠팡 고객들과 국민들에게 심려를 끼쳐드려 너무 죄송한 말씀과 사과의 말씀을 드린다"며 "정부 합동 조사에 최대한 적극적으로 협조해서 이 사태 빠르게 진정될 수 있도록 최선의 노력을 다하겠다"고 말했다. 이어 "다시 한번 죄송하단 말씀 드린다"고 덧붙였다. 쿠팡은 지난 6월24일부터 3370만개 계정에서 고객명·이메일·주소 등 정보가 유출됐다고 밝혔다. 이에 과학기술정보통신부는 민관합동조사단을 구성해 진상 조사에 나섰다.

국내 이커머스(전자상거래) 1위 쿠팡이 보유한 사실상 모든 고객 개인정보가 유출된 정황이 확인되면서 파장이 커졌다. 쿠팡은 지난 29일 약 3370만 건의 고객 정보가 외부로 무단 조회된 사실을 공식 발표했다. 유출된 정보엔 이름, 이메일, 전화번호, 배송지 주소, 일부 주문 정보 등이 포함됐고, 결제 정보와 비밀번호 등 민감 인증 정보는 유출되지 않았단 게 쿠팡 측의 설명이다. 하지만 정보 유출 규모로는 국내 플랫폼 사업자 중 가장 많아 '역대급 사고'로 기록될 전망이다. 30일 쿠팡에 따르면 이번 고객 개인정보 유출이 사건이 발생한 시점은 올해 6월 24일부터로 파악됐다. 하지만 회사가 이를 실질적으로 인지해 최초 외부에 공개한 시점은 지난 11월 19일로 약 5개월의 시차가 발생했다. 이에 대해 쿠팡의 정보 보안관리가 허술한 측면이 있단 지적이 나온다. 이번 사건을 처음 인지한 시점에 쿠팡은 약 4500건의 고객정보가 제3자 비인가 접근 방식으로 무단 조회됐다고 발표했다. 하지만 후속 추가 조사에서 실제 규모는 약 7500배 확대됐다.

국내 1위 이커머스 업체인 쿠팡에서 대규모 개인정보 유출 사고가 발생했다. 쿠팡 개인정보 유출 피해 규모는 3370만여개 계정이다. 사실상 쿠팡 이용자 대부분은 물론, 전 국민의 65%가 피해를 본 것으로 추정된다. SK텔레콤을 넘어 역대 최대 과징금 처분이 나올지 업계의 관심이 커진다. 30일 과학기술정보통신부와 개인정보보호위원회는 전날 쿠팡 개인정보 유출 피해가 대폭 확대됨에 따라 이날부터 신속하게 민관합동조사단을 구성해 사고 원인 분석에 착수했다고 밝혔다. 쿠팡은 지난 19일 최초 신고 당시 4536개의 고객명, 이메일, 주소 등의 정보가 유출됐다고 했지만 조사 과정에서 추가 피해자가 확대됐다. 현재까지 3370만개 계정에서 개인정보가 유출된 것으로 파악되고 있다. 유료 멤버십인 쿠팡 와우 회원의 경우 가족들이 한 계정을 공유하는 경우가 많아 계정이 아닌, 피해자 숫자는 더 증가할 가능성이 있다. 모바일인덱스에 따르면 쿠팡 모바일 앱 MAU(활성이용자수)는 지난 10월 기준 3438만544명으로 집계된다.

경찰이 3000만명이 넘는 고객들의 개인정보가 유출된 쿠팡 사건 수사에 본격 착수했다. 쿠팡에서 일했던 중국인 직원이 유출자로 지목된 만큼 수사가 빠르게 진척되기 어렵다는 전망이 나온다. 실제 유출 규모가 쿠팡 최초 공지보다 7500배 가까이 불어난 경위 역시 수사 대상이다. 30일 경찰에 따르면 서울경찰청 사이버수사대는 쿠팡으로부터 고객 개인정보 유출 사태와 관련한 고소장을 접수해 수사에 착수했다. 고소장에는 정보통신망법상 통신망 침입 혐의가 명시됐다. 쿠팡은 지난 29일 3370만여개 고객 계정의 개인정보가 무단 유출된 사실을 확인했다고 밝혔다. 유출 정보는 고객 이름과 전화번호, 이메일 주소, 배송주소록, 주문 정보 등이다. 카드 등 결제정보와 비밀번호 등 로그인 관련 정보는 유출되지 않았다. 무단 유출은 올해 6월24일부터 시작됐다. ━중국인 전 직원 유출자 지목…'수사 난항' 우려 나온다━머니투데이 취재를 종합하면 정보 유출자는 중국 국적의 전 직원으로 확인됐다. 해당 직원은 현재 쿠팡에 소속되지 않은 상태로 한국을 떠나 중국에 체류 중인 것으로 알려졌다.

국내 이커머스(전자상거래) 1위 업체 쿠팡 고객 3370만명의 개인정보가 유출돼 파문이 커진 가운데 경영진이 긴급 대책 회의를 진행한 것으로 알려졌다. 30일 관련 업계에 따르면 쿠팡은 이날 오전부터 박대준 대표를 비롯한 회사 최고 경영진이 모여 이번 정보 유출 사건과 관련한 긴급 대응책을 논의 중이다. 이 자리에서 쿠팡 측은 이번 사태와 관련한 공식적인 대국민사과와 보상책 등을 중점적으로 논의할 것으로 예상된다. 쿠팡 관계자는 "(대국민사과 등) 이번 정보 유출 사건에 대한 후속 조치를 예단하기 이르지만 앞서 정보 유출된 업체들도 경영진이 공식 사과를 했던 점을 고려하면, 회사 측도 필요하다고 판단되면 제안을 할 것"이라고 설명했다. 지난 4월 19일 해킹 공격으로 가입자 유심 정보 유출 사고가 발생한 SK텔레콤은 일주일 만에 대표와 임직원이 공개 석상에서 대국민 사과했고, 사고 발생 19일 만인 5월 7일 최태원 SK그룹 회장이 공개 사과한 바 있다. 이외 다른 기업의 전례를 고려하면 쿠팡도 가급적 신속하게 대국민사과와 후속 대책을 발표할 것으로 예상된다.

3370만여명의 개인정보를 유출한 쿠팡이 정부로부터 두 차례나 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 받은 것으로 확인됐다. 2021년과 지난해 ISMS-P를 취득 및 갱신하고도 총 4차례 개인정보 유출 사고를 낸 것인데 가장 심각한 이번 유출 사고는 갱신 인증 후 발생했다. 30일 국회 정무위원회 소속 한창민 사회민주당 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면 쿠팡은 로켓배송·쿠팡이츠 등 자사 서비스 전체에 대해 2021년 ISMS-P를 취득한 뒤 지난해 3월 갱신 인증을 받았다. ISMS-P는 개보위와 과학기술정보통신부가 공동으로 운영하는 국내 유일의 국가 인증 개인정보보호 관리체계 인증이다. 2018년 과기부의 정보보호 관리체계 인증(ISMS)과 개보위의 '개인정보보호 관리체계 인증(PIMS)'이 통합된 것으로 전년도 정보통신서비스 부문 매출 100억원 이상 기업은 인증 의무 대상으로 분류된다. 문제는 해당 인증을 전후로 쿠팡의 개인정보 유출이 더욱 심각해지고 빈번해졌단 점이다.

쿠팡 개인정보 노출 사고와 관련한 안내 문자 발송이 이용자마다 시점이 달라 혼선이 빚어지고 있다. 일부 이용자는 이미 사과·안내 메시지를 받았지만 또 다른 이용자는 아직 문자 통지를 받지 못해 문의가 잇따르고 있다. 쿠팡 측은 안내 대상이 약 3500만 명 규모에 달하는 만큼 발송 과정에서 불가피하게 시간 차가 발생하고 있다고 30일 설명했다. 현행 개인정보보호법은 기업이 유출 사실을 인지한 뒤 72시간 이내에 이용자에게 통지하도록 규정하고 있어 쿠팡은 이 법적 기한에 맞춰 문자를 순차 발송 중이다. 이에 쿠팡은 지난 29일부터 안내 문자를 통해 고객 이름, 이메일 주소, 배송지 주소록, 주문정보 등이 노출됐다고 밝히며 "카드정보 등 결제정보와 비밀번호 등 로그인 정보는 유출되지 않았다"고 강조했다. 또 비인가 조회로 사고가 발생한 것으로 파악된다며 관계 기관과 조사를 진행 중이라고 전했다. 앞서 쿠팡은 자체 조사 결과 6월 24일부터 해외 서버를 통한 장기간의 비정상적 접근이 있었던 것으로 추정하고 있다고 발표했다.

주진우 국민의힘 의원이 쿠팡에서 개인정보를 유출한 전(前) 직원이 중국인이었음을 거론하며 "처벌이 미약하니 중국인 범죄의 풍선효과가 일어나고 있다"고 밝혔다. 주 의원은 30일 SNS(소셜미디어)를 통해 "이재명 정부는 중국인 범죄에 잘못된 시그널을 주고 있다"며 이같이 밝혔다. 주 의원은 "3370만개 개인정보를 유출한 쿠팡 직원은 중국인이었다. 이미 중국으로 떠났다"며 "고객 이름, 전자우편 주소, 배송지 주소록, 주문 정보까지 다 털렸다. 중국 범죄조직에 넘어갔을 생각을 하니 끔찍하다"고 했다. 이어 "기껏 대책이 쿠팡을 사칭한 전화에 조심하라는 것이다. 국민이 알아서 범죄를 피하라는 것인가"라고 했다. 주 의원은 "중국인이 버젓이 아파트 주차장에서 쇠망치로 머리를 내려쳐 납치, 살해하려 하고 해킹을 통해 KT 소액 결제를 한다"며 "항의의 의미로 오성홍기 찢었다고 우리 국민을 수사할 때인가"라고 덧붙였다. 머니투데이 취재를 종합하면 개인정보를 유출한 쿠팡 직원은 중국인으로, 이미 쿠팡에서 퇴사한 뒤 중국으로 돌아갔다.

쿠팡 이용자 정보 유출 규모가 초기 파악치보다 크게 확대된 것으로 확인됐다. 지난 18일 최초 인지 당시 약 4500개 계정 정보가 노출된 것으로 알려졌으나 이후 조사 과정에서 유출 계정 수가 이보다 훨씬 많은 수준으로 나타났다. 유출 대상도 와우회원에 한정되지 않고 쿠팡에서 상품을 구매한 일반 회원까지 포함된 것으로 파악돼 소비자들의 불안이 커지고 있다. 30일 쿠팡에 따르면 자사 점검 결과 지난 6월 24일 이후 해외 IP를 통한 장기간의 비정상적 접근이 있었던 것으로 추정하고 있다. 회사는 해당 접근을 차단한 뒤 내부 모니터링을 강화하고 외부 보안 전문업체를 투입해 대응 체계를 보완했다고 설명했다. 서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아 개인 정보 유출 사태에 대한 수사에 착수한 상황이다. 개인정보를 외부에 노출한 직원의 국적은 중국으로 확인됐다. 해당 직원은 쿠팡에 소속되지 않은 상태로 현재 중국에 체류 중인 것으로 알려졌다. 사건의 핵심 관련자가 국외에 있는 만큼 향후 조사와 책임 규명이 쉽지 않을 것이라는 전망도 나온다.

대규모 참사나 사회적으로 주목을 받는 이슈가 발생했을 때를 노린 해커들의 공격이 기승을 부리는 경우가 잦다. 29일 쿠팡에서 3370만명에 이르는 대규모 개인정보 유출 사태로 다수 소비자들이 뒤숭숭한 상황을 틈타 추가 공격을 가할 수 있다는 우려가 제기된다. 지난 29일 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원(KISA)은 '쿠팡 침해사고 2차 피해 방지를 위한 대국민 보안공지'를 통해 "쿠팡 해킹 피해를 악용한 스미싱(SMS·문자메시지를 이용한 개인정보 탈취공격) 유포 및 보이스피싱 등을 통한 개인정보 탈취 및 금전탈취 시도가 우려된다"며 "피해로 연계되지 않도록 사용자 주의가 필요하다"고 당부했다. 또 △'피해보상' '피해사실 조회' '환불' 등 키워드의 문자 메시지를 살포하면서 피싱 사이트로의 접속을 유도하거나 △사용자들이 포털 사이트에서 '피해사실 조회' 등 키워드로 검색할 때 피싱사이트를 상단에 노출하도록 한다거나 △정보유출 대상자 통보를 사칭해 해커들이 사용자 스마트폰이나 PC를 원격제어할 수 있는 프로그램을 깔도록 유도하는 행위가 있을 수 있으니 주의하라고 권고했다.

쿠팡에서 3370만명에 이르는 대규모 고객 정보 유출이 발생한 가운데 2차 피해를 막기 위한 국민들의 주의가 요구된다. 29일 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원(KISA) 등에 따르면 쿠팡 해킹 피해를 악용한 스미싱(문자메시지를 이용한 개인정보 탈취) 유포, 보이스 피싱 등을 통한 개인정보 탈취 및 금전 탈취 시도가 우려된다. '피해보상' '피해사실 조회' '환불' 등 키워드를 활용해서 피해기업을 사칭하는 스미싱 문자를 유포하거나 피해보상 안내를 빙자한 보이스피싱 등 피싱(개인정보 탈취) 시도가 예상된다. 스미싱의 경우 '긴급 앱 업데이트'나 '피해보상 신청' '환불' 등 메시지로 문자 메시지 내에 URL(인터넷주소) 링크를 삽입한 공격이 있을 수 있다. 국민들이 '피해사실 조회' 등 정보를 검색하기 위해 포털사이트에 검색어를 입력할 때 자칫 피싱 사이트가 검색결과 상단에 노출되거나 광고로 노출되는 경우도 있다. 이 경우 해당 사이트에 접속해 자신의 정보를 입력하면 고스란히 개인정보가 유출될 수 있다.

과학기술정보통신부(이하 과기정통부)와 개인정보보호위원회(이하 개인정보위)가 29일 쿠팡 침해사고 피해 규모가 대폭 확대됨에 따라 민관합동조사단을 구성해 사고 원인 분석에 착수했다고 밝혔다. 쿠팡은 지난 19일 최초 신고 당시 4536개의 고객명, 이메일, 주소 등의 정보가 유출됐다고 밝혔다. 그러나 조사과정에서 3000만개 이상 계정에서 개인정보가 유출된 것으로 판단되고 있다. 이에 과기정통부는 대규모 유출 및 추가 국민 피해 발생 우려 등 사안의 중대성을 고려해 오는 30일 민관합동조사단을 구성하고, 사고 원인 분석 및 재발방지 대책을 마련할 계획이다. 개인정보위는 쿠팡으로부터 두 차례에 걸쳐 유출 신고(11월20 1차, 11월29 2차)를 접수받아, 지난 21일부터 조사를 진행 중이다. 국민 다수의 연락처, 주소 등이 포함돼 있어 신속한 조사를 거쳐 보호법상 안전조치의무 위반시 엄정 제재할 방침이다. 과기정통부와 개인정보위는 유출정보 등을 악용해 스미싱 등 2차 피해가 일어나는 것을 방지하기 위해 주의가 필요하다고 당부했다.