쿠팡 3370만명이 털렸다
쿠팡 이용객 약 3370만개 고객 계정의 개인정보가 외부에 무단으로 노출돼 파장이 일고 있다.
총 272 건
경찰이 '쿠팡 개인정보 유출 사건'과 관련, 범행에 사용한 IP(인터넷주소)를 확보해 추적에 들어갔다. 2차 피해예방도 병행한다. 정부는 대규모 기업 보안사고가 되풀이되지 않도록 제도개선에도 나선다. 강훈식 대통령실 비서실장은 1일 열린 수석보좌관회의에서 징벌적 손해배상제도를 언급하며 "기업의 책임이 명백한 경우 제도가 실효성 있게 작동할 수 있도록 개선방안을 검토하라"고 지시했다. 전은수 대통령실 부대변인에 따르면 강 실장은 "AI(인공지능) 전환으로 데이터(정보)가 기업 경쟁력의 핵심이 된 시대에 겉으로는 가장 엄격한 보호조치를 내세우면서도 실제 뒷문이 열려 있는 형국"이라며 "근본적인 제도보완, 현장점검체계 재정비, 기업의 보안역량 강화 지원책 등을 신속히 보고해달라"고 과학기술정보통신부와 개인정보보호위원회에 지시했다. 전 부대변인은 "(해당 사안이) 이재명 대통령에게도 보고됐을 것"이라며 "이 대통령이 직접 메시지를 내지 않았으나 내일(2일) 국무회의가 있으니 기다려볼 필요가 있을 것같다"고 말했다.
쿠팡 침해사고로 3370만개 계정 정보가 유출된 가운데, 정부가 쿠팡 서버에서 악성코드는 발견되지 않았으며 다크웹 등 불법 사이트에서 개인정보가 거래되는 정황은 없다고 밝혔다. 다만 경찰 수사 및 민관합동조사 초기인 만큼 향후 상황은 달라질 수 있다. 정부는 중국 국적의 내부자 소행설에 대해서는 "현재 수사 중"이라며 말을 아꼈다. 최우혁 과학기술정보통신부 네트워크정책실장은 30일 정부서울청사에서 열린 긴급 관계부처 대책회의 후 기자들과 만나 중국 국적의 내부자 소행설에 대해 "수사의 영역이라 밝히기는 어렵다"며 "(수사에) 진전이 있으면 투명하게 밝히겠다"고 말했다. 이날 오후 4시 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 관계기관이 참석하는 긴급 대책회의가 정부서울청사에서 열렸다. 회의엔 배 부총리와 윤창렬 국무조정실장, 송경희 개인정보위원장, 김창섭 국정원 3차장, 유재성 경찰청장 직무대행이 참석했다. 김창섭 3차장이 회의에 참석한 것에 대해 최 실장은 "혹시 모를 국가 배후 범죄, 안보적 상황이 있는지 같이 논의한 것"이라고 설명했다.
3370만명에 이르는 쿠팡 고객의 개인정보가 유출된 사건과 관련, 피해자들 일부가 집단으로 손해배상 청구 소송을 제기할 것으로 보인다. 법조계에서는 쿠팡이 최대 3조원대 위자료를 지급하게 될 가능성이 있다는 전망이 나오고 있다. 30일 법조계에 따르면 전날 네이버 등 포털사이트에 복수의 쿠팡 개인정보 유출 피해자 모임 카페가 개설됐다. 가입자들은 빠르게 늘고 있다. 한 카페 개설자는 "대한민국 국민의 절반 이상 개인정보가 노출된 사건인데 가만히 있을 수 없다. 소송해서 쿠팡이 무시하는 소비자들의 힘을 보여주자"고 밝혔다. 김경호 법률사무소 호인 변호사도 전날 자신의 페이스북에 집단 손해배상소송을 진행하겠다고 밝혔다. 김 변호사는 "해킹 기술이 고도화됐다 하더라도 쿠팡이 당시 기술 수준에서 요구되는 접근 통제·접속 기록 보관·암호화 조치 등을 소홀히 했다면 과실이 인정된다"고 주장했다. 실제로 집단 민사 소송이 이뤄진다면 쿠팡이 법과 업계가 요구하는 수준의 안전조치를 했는지 여부가 핵심 쟁점이 될 전망이다.
대규모 개인정보 유출 사태와 관련해 박대준 쿠팡 대표가 고객과 국민에게 사과하며 정부 합동 조사에 적극적으로 협조하겠다는 입장을 밝혔다. 박 대표는 30일 공식입장문을 통해 "올해 6월 24일 시작된 쿠팡의 최근 사고에 유감을 표명한다"며 "국민 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과드린다"고 했다. 그러면서 "공지된 바와 같이, 올해 6월부터 최근까지 고객 정보에 대한 무단 접근이 발생했다"면서 "무단 접근된 고객정보는 이름, 고객 이메일, 전화번호, 배송지 주소, 그리고 특정 주문 정보로 제한되었고 결제 정보, 신용카드 정보, 고객 로그인 정보는 포함되지 않았다"고 설명했다. 박 대표는 "모든 고객 정보를 보호하는 것은 쿠팡의 가장 중요한 우선순위"라고 강조하면서 "종합적인 데이터 보호·보안 조치와 프로세스를 유지하고 있다"고 전했다. 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 경찰청 등 민관합동조사단과 긴밀히 협력하여 추가적인 피해 예방을 위해 최선을 다하겠다는 의지도 피력했다.
박대준 쿠팡 대표가 30일 정부서울청사에서 대국민 사과했다. 박 대표는 "이번 사태로 인해서 피해를 입으신 쿠팡 고객들과 국민들에게 심려를 끼쳐드려 너무 죄송한 말씀과 사과의 말씀을 드린다"며 "정부 합동 조사에 최대한 적극적으로 협조해서 이 사태 빠르게 진정될 수 있도록 최선의 노력을 다하겠다"고 말했다. 이어 "다시 한번 죄송하단 말씀 드린다"고 덧붙였다. 쿠팡은 지난 6월24일부터 3370만개 계정에서 고객명·이메일·주소 등 정보가 유출됐다고 밝혔다. 이에 과학기술정보통신부는 민관합동조사단을 구성해 진상 조사에 나섰다.
국내 이커머스(전자상거래) 1위 쿠팡이 보유한 사실상 모든 고객 개인정보가 유출된 정황이 확인되면서 파장이 커졌다. 쿠팡은 지난 29일 약 3370만 건의 고객 정보가 외부로 무단 조회된 사실을 공식 발표했다. 유출된 정보엔 이름, 이메일, 전화번호, 배송지 주소, 일부 주문 정보 등이 포함됐고, 결제 정보와 비밀번호 등 민감 인증 정보는 유출되지 않았단 게 쿠팡 측의 설명이다. 하지만 정보 유출 규모로는 국내 플랫폼 사업자 중 가장 많아 '역대급 사고'로 기록될 전망이다. 30일 쿠팡에 따르면 이번 고객 개인정보 유출이 사건이 발생한 시점은 올해 6월 24일부터로 파악됐다. 하지만 회사가 이를 실질적으로 인지해 최초 외부에 공개한 시점은 지난 11월 19일로 약 5개월의 시차가 발생했다. 이에 대해 쿠팡의 정보 보안관리가 허술한 측면이 있단 지적이 나온다. 이번 사건을 처음 인지한 시점에 쿠팡은 약 4500건의 고객정보가 제3자 비인가 접근 방식으로 무단 조회됐다고 발표했다. 하지만 후속 추가 조사에서 실제 규모는 약 7500배 확대됐다.
국내 1위 이커머스 업체인 쿠팡에서 대규모 개인정보 유출 사고가 발생했다. 쿠팡 개인정보 유출 피해 규모는 3370만여개 계정이다. 사실상 쿠팡 이용자 대부분은 물론, 전 국민의 65%가 피해를 본 것으로 추정된다. SK텔레콤을 넘어 역대 최대 과징금 처분이 나올지 업계의 관심이 커진다. 30일 과학기술정보통신부와 개인정보보호위원회는 전날 쿠팡 개인정보 유출 피해가 대폭 확대됨에 따라 이날부터 신속하게 민관합동조사단을 구성해 사고 원인 분석에 착수했다고 밝혔다. 쿠팡은 지난 19일 최초 신고 당시 4536개의 고객명, 이메일, 주소 등의 정보가 유출됐다고 했지만 조사 과정에서 추가 피해자가 확대됐다. 현재까지 3370만개 계정에서 개인정보가 유출된 것으로 파악되고 있다. 유료 멤버십인 쿠팡 와우 회원의 경우 가족들이 한 계정을 공유하는 경우가 많아 계정이 아닌, 피해자 숫자는 더 증가할 가능성이 있다. 모바일인덱스에 따르면 쿠팡 모바일 앱 MAU(활성이용자수)는 지난 10월 기준 3438만544명으로 집계된다.
경찰이 3000만명이 넘는 고객들의 개인정보가 유출된 쿠팡 사건 수사에 본격 착수했다. 쿠팡에서 일했던 중국인 직원이 유출자로 지목된 만큼 수사가 빠르게 진척되기 어렵다는 전망이 나온다. 실제 유출 규모가 쿠팡 최초 공지보다 7500배 가까이 불어난 경위 역시 수사 대상이다. 30일 경찰에 따르면 서울경찰청 사이버수사대는 쿠팡으로부터 고객 개인정보 유출 사태와 관련한 고소장을 접수해 수사에 착수했다. 고소장에는 정보통신망법상 통신망 침입 혐의가 명시됐다. 쿠팡은 지난 29일 3370만여개 고객 계정의 개인정보가 무단 유출된 사실을 확인했다고 밝혔다. 유출 정보는 고객 이름과 전화번호, 이메일 주소, 배송주소록, 주문 정보 등이다. 카드 등 결제정보와 비밀번호 등 로그인 관련 정보는 유출되지 않았다. 무단 유출은 올해 6월24일부터 시작됐다. ━중국인 전 직원 유출자 지목…'수사 난항' 우려 나온다━머니투데이 취재를 종합하면 정보 유출자는 중국 국적의 전 직원으로 확인됐다. 해당 직원은 현재 쿠팡에 소속되지 않은 상태로 한국을 떠나 중국에 체류 중인 것으로 알려졌다.
국내 이커머스(전자상거래) 1위 업체 쿠팡 고객 3370만명의 개인정보가 유출돼 파문이 커진 가운데 경영진이 긴급 대책 회의를 진행한 것으로 알려졌다. 30일 관련 업계에 따르면 쿠팡은 이날 오전부터 박대준 대표를 비롯한 회사 최고 경영진이 모여 이번 정보 유출 사건과 관련한 긴급 대응책을 논의 중이다. 이 자리에서 쿠팡 측은 이번 사태와 관련한 공식적인 대국민사과와 보상책 등을 중점적으로 논의할 것으로 예상된다. 쿠팡 관계자는 "(대국민사과 등) 이번 정보 유출 사건에 대한 후속 조치를 예단하기 이르지만 앞서 정보 유출된 업체들도 경영진이 공식 사과를 했던 점을 고려하면, 회사 측도 필요하다고 판단되면 제안을 할 것"이라고 설명했다. 지난 4월 19일 해킹 공격으로 가입자 유심 정보 유출 사고가 발생한 SK텔레콤은 일주일 만에 대표와 임직원이 공개 석상에서 대국민 사과했고, 사고 발생 19일 만인 5월 7일 최태원 SK그룹 회장이 공개 사과한 바 있다. 이외 다른 기업의 전례를 고려하면 쿠팡도 가급적 신속하게 대국민사과와 후속 대책을 발표할 것으로 예상된다.
3370만여명의 개인정보를 유출한 쿠팡이 정부로부터 두 차례나 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 받은 것으로 확인됐다. 2021년과 지난해 ISMS-P를 취득 및 갱신하고도 총 4차례 개인정보 유출 사고를 낸 것인데 가장 심각한 이번 유출 사고는 갱신 인증 후 발생했다. 30일 국회 정무위원회 소속 한창민 사회민주당 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면 쿠팡은 로켓배송·쿠팡이츠 등 자사 서비스 전체에 대해 2021년 ISMS-P를 취득한 뒤 지난해 3월 갱신 인증을 받았다. ISMS-P는 개보위와 과학기술정보통신부가 공동으로 운영하는 국내 유일의 국가 인증 개인정보보호 관리체계 인증이다. 2018년 과기부의 정보보호 관리체계 인증(ISMS)과 개보위의 '개인정보보호 관리체계 인증(PIMS)'이 통합된 것으로 전년도 정보통신서비스 부문 매출 100억원 이상 기업은 인증 의무 대상으로 분류된다. 문제는 해당 인증을 전후로 쿠팡의 개인정보 유출이 더욱 심각해지고 빈번해졌단 점이다.
쿠팡 개인정보 노출 사고와 관련한 안내 문자 발송이 이용자마다 시점이 달라 혼선이 빚어지고 있다. 일부 이용자는 이미 사과·안내 메시지를 받았지만 또 다른 이용자는 아직 문자 통지를 받지 못해 문의가 잇따르고 있다. 쿠팡 측은 안내 대상이 약 3500만 명 규모에 달하는 만큼 발송 과정에서 불가피하게 시간 차가 발생하고 있다고 30일 설명했다. 현행 개인정보보호법은 기업이 유출 사실을 인지한 뒤 72시간 이내에 이용자에게 통지하도록 규정하고 있어 쿠팡은 이 법적 기한에 맞춰 문자를 순차 발송 중이다. 이에 쿠팡은 지난 29일부터 안내 문자를 통해 고객 이름, 이메일 주소, 배송지 주소록, 주문정보 등이 노출됐다고 밝히며 "카드정보 등 결제정보와 비밀번호 등 로그인 정보는 유출되지 않았다"고 강조했다. 또 비인가 조회로 사고가 발생한 것으로 파악된다며 관계 기관과 조사를 진행 중이라고 전했다. 앞서 쿠팡은 자체 조사 결과 6월 24일부터 해외 서버를 통한 장기간의 비정상적 접근이 있었던 것으로 추정하고 있다고 발표했다.
주진우 국민의힘 의원이 쿠팡에서 개인정보를 유출한 전(前) 직원이 중국인이었음을 거론하며 "처벌이 미약하니 중국인 범죄의 풍선효과가 일어나고 있다"고 밝혔다. 주 의원은 30일 SNS(소셜미디어)를 통해 "이재명 정부는 중국인 범죄에 잘못된 시그널을 주고 있다"며 이같이 밝혔다. 주 의원은 "3370만개 개인정보를 유출한 쿠팡 직원은 중국인이었다. 이미 중국으로 떠났다"며 "고객 이름, 전자우편 주소, 배송지 주소록, 주문 정보까지 다 털렸다. 중국 범죄조직에 넘어갔을 생각을 하니 끔찍하다"고 했다. 이어 "기껏 대책이 쿠팡을 사칭한 전화에 조심하라는 것이다. 국민이 알아서 범죄를 피하라는 것인가"라고 했다. 주 의원은 "중국인이 버젓이 아파트 주차장에서 쇠망치로 머리를 내려쳐 납치, 살해하려 하고 해킹을 통해 KT 소액 결제를 한다"며 "항의의 의미로 오성홍기 찢었다고 우리 국민을 수사할 때인가"라고 덧붙였다. 머니투데이 취재를 종합하면 개인정보를 유출한 쿠팡 직원은 중국인으로, 이미 쿠팡에서 퇴사한 뒤 중국으로 돌아갔다.