머니투데이

과학기술정보통신부는 10일 쿠팡 침해사고에 대한 민관합동조사단(이하 조사단)의 조사 결과를 발표하며, 쿠팡이 이용자 인증 체계와 서명 키 등에 대한 관리가 부실했다고 판단했다. 이에 재발방지 대책을 요구했다. 먼저 문제점으로 꼽은 것은 이용자 인증체계다. 조사단은 공격자가 위·변조한 '전자 출입증'을 사용해 쿠팡 서비스에 무단으로 접속한 것을 확인했고, 정상적인 발급 절차를 거친 '전자 출입증'인지 여부를 검증하는 체계가 부재한 사실을 확인했다. 앞서 쿠팡은 모의해킹을 통해 '전자 출입증' 기반 인증 체계의 취약점 발굴·개선을 추진했지만 발견된 문제에 대해서만 해결책을 모색했다. 정작 쿠팡의 관문서버 이용자 인증 체계 개선 등 전반적인 문제점 검토는 이뤄지지 않았다. 이에 따라 조사단은 쿠팡이 정상 발급절차를 거치지 않은 '전자 출입증'에 대한 탐지 및 차단 체계를 도입하는 한편, 모의해킹에서 발견된 취약점에 대해서는 근본적인 문제개선 방안을 마련해야 한다고 주문했다. 키 관리체계도 문제가 있었다.

쿠팡 개인정보를 유출한 전 직원(이하 공격자)은 지난해 1월 퇴사 전 몇차례 사전 공격 테스트를 해본 뒤 퇴사 후 7개월간 본격적으로 개인정보를 탈취한 것으로 나타났다. 공격자는 재직 당시 발급받은 서명키로 손쉽게 위·변조 '전자출입증'을 발급받았고 특별한 제한 없이 서버에 접속할 수 있었다. 10일 과학기술정보통신부가 발표한 쿠팡 침해사고에 대한 민관합동조사단(이하 조사단) 조사 결과에 따르면 공격자는 지난해 4월14일~11월8일 약 7개월간 쿠팡을 공격했다. 공격자는 재직 당시 시스템 장애 등 백업을 위한 이용자 인증 시스템 설계·개발 업무를 수행한 소프트웨어 개발자(Staff Back-end Engineer)로 확인됐다. 정상적인 절차로 쿠팡 서버에 접속하기 위해서는 아이디와 비밀번호를 입력해 로그인하면서 '전자 출입증'을 발급받아야 한다. 이후 쿠팡의 관문서버에서 전자출입증이 유효한지 여부를 검증하고 이상이 없으면 서비스에 접속할 수 있다. 문제는 관문서버에 전자출입증이 위·변조됐는지 확인하는 절차가 없었다는 점이다.

쿠팡에서 발생한 개인정보 침해사고로 고객들의 개인정보가 총 3367만여건 유출된 것으로 드러났다. 이와 함께 웹크롤링 기법을 사용해 쿠팡의 개인정보 페이지를 1억4000만여회 이상 무단 조회한 사실도 드러났다. 앞서 KISA(한국인터넷진흥원)는 현장조사를 통해 3370만개 계정의 개인정보가 유출됐다고 밝힌 바 있다. 개인정보를 유출한 쿠팡 전 직원(이하 공격자)은 2313개 IP를 이용해 웹크롤링(웹 페이지를 그대로 가져와서 거기서 데이터를 추출해 내는 행위)으로 정보를 무단 수집했다. 10일 과학기술정보통신부는 쿠팡 침해사고에 대한 민관합동조사단(이하 조사단)의 조사 결과를 발표했다. 이에 따르면 공격자는 쿠팡 사이트 내에 △내정보 수정페이지△배송지 목록 페이지△배송지 목록 수정페이지△주문목록 페이지를 수시로 드나들며 1억4000여회 이상 개인정보를 조회한 것으로 드러났다. 구체적으로 성명·이메일이 담긴 △내정보 수정페이지에서는 3367만여건의 개인정보가 유출됐다. 성명, 전화번호, 주소 정보가 담긴 △배송지 목록 페이지는 1억4000만여회 조회됐다.

개인정보 분쟁조정위원회는 전체회의를 열고 쿠팡을 상대로 신청한 집단 분쟁조정 2건에 대한 개시를 의결했다고 9일 밝혔다. 지난해 12월11일 고모씨 등 50명이 먼저 냈고, 같은 달 23일 김모씨 등 1626명이 추가 제출해 총 1676명이 참여한 조정건다. 여기에 조모씨 등 866명이 일반 분쟁조정을 신청해 쿠팡을 상대로 한 개인·집단 분쟁 조정신청자는 총 2542명이다. 다만 개인정보보호위원회가 쿠팡의 개인정보 유출사건에 대해 조사를 진행하고 있는 만큼 분쟁조정위 운영세칙에 따라 개인정보위의 처분절차가 종료될 때까지 조정을 일시 정지하기로 했다. 이에 따라 집단 분쟁조정 개시 공고와 당사자 추가 참가 모집도 개인정보위의 조사 처분 결과가 나온 뒤에 진행된다. 강영수 분쟁조정위원장은 "개인정보 보호의 중요성을 엄중히 인식하고 실질적으로 피해를 구제할 수 있도록 최선을 다하겠다"고 밝혔다. 한편 일시정지 기간 중이라도 쿠팡 관련 분쟁의 조정을 희망하는 경우 분쟁조정위 홈페이지나 서면, 우편 등을 통해 신청할 수 있다.

케빈 워시 미국 연방준비제도(Fed·연준) 의장 지명자가 쿠팡 사외이사로 재직하는 동안 현금 급여 없이 오직 주식으로만 보수를 받았던 것으로 9일 확인됐다. 워시 전 의장은 연준 의장으로 인준될 경우 120억원 넘을 것으로 추산되는 쿠팡 보유주식을 전량 매도할 예정이다. 다만 지분 청산 이후에도 하버드 동문인 김범석 의장 등과의 인적 네트워크가 실질적으로 단절될지 지켜봐야 한다는 시각도 있다. 9일 쿠팡의 주주총회 안건서 등을 종합하면, 워시 지명자는 쿠팡 상장 이듬해인 2022년 3월말 기준 처음으로 쿠팡 주식 32만662주를 보유하며 지분 보유 사실을 공개했다. 워시 지명자 보유분은 2025년 6월 말 기준으론 47만주까지 늘어났다. 지난 6일(현지시간) 쿠팡의 미국 뉴욕증시 마감가(주당 17. 72달러)를 대입하면 832만8400달러(121억원)에 해당한다. 쿠팡에 재직하며 연차별 RSU(제한주식단위) 방식으로 늘린 쿠팡 주식과 기존 보유분 물량을 합산한 것이다. 쿠팡 공시문건에 따르면 워시 지명자는 2022년부터 2024년까지 모두 RSU 방식으로 보수를 지급받았으며 규모는 97만4968달러였다.

쿠팡 사건을 무혐의 처분하도록 외압을 행사했다는 의혹을 받는 엄희준 광주고검 검사가 상설특검(특별검사 안권섭) 조사에 앞서 외압 행사 사실이 없다고 했다. 사건을 처음 폭로한 문지석 부장검사에 대한 무고죄 수사도 신속히 진행해달라고 촉구했다. 엄 검사는 9일 오전 9시50분 서울 서초구 상설특검 사무실에 피의자 조사 출석 전에 취재진을 만나 "쿠팡 불기소 처분에 대해 전혀 강요하거나 관련 보고서를 누락한 사실이 없다"고 밝혔다. 엄 검사가 상설특검 조사를 받는 건 이번이 두 번째다. 엄 검사는 "당시 쿠팡 근로자들은 내일 결근해도 되고, 오늘은 쿠팡에 속하다가 내일은 다른 기업에 가도 불이익이 없는 분들"이라며 "근무하는 장소, 시간도 임의로 선택할 수 있고, 보수도 하루 단위로 지급되기 때문에 이런 근무 형태를 종합적으로 고려해서 일용직이라고 판단했다"고 말했다. '쿠팡 불기소 처분 과정에서 청탁이나 쿠팡과의 소통이 있었냐'는 질문엔 "전혀 없었다"며 "쿠팡과의 유착을 특검에서 조사하는 것으로 아는데 모든 것을 공개하고 보여줄 수 있다"고 강조했다.

쿠팡 고객정보 유출사건에 대한 정부의 고강도 합동조사가 70일째 이어지지만 사건의 내막과 실체는 베일에 싸여 있다. 정보유출 규모가 3000만명 이상이란 정부 관계자들의 말만 전해졌을 뿐이다. 앞서 정보유출 사태가 발생한 SK텔레콤, KT 등은 정부가 2차 피해를 막고 허위정보 차단을 위해 중간조사 결과를 발표했단 점에서 이례적 행보다. 업계 안팎에선 이번 사태가 장기화하면 한미 통상갈등으로 번질 가능성도 있기 때문에 정부가 조속히 조사결과를 발표하는 등 부작용을 최소화해야 한단 지적이 나온다. 8일 관련업계에 따르면 쿠팡이 지난 5일 "지난해 11월 발생한 개인정보 유출사건에서 16만5000여건 계정의 추가유출이 확인됐다"고 밝힌 것은 개인정보보호위원회의 권고에 따른 통지절차로 알려졌다. 이는 지난해 11월에 발생한 개인정보 유출사건 조사과정에서 새롭게 확인된 내용이다. 그럼에도 개보위는 직접 발표 대신 쿠팡 측의 안내문 공지형태를 선택했다. 업계에선 사건 당사자인 쿠팡보다 정부가 조사 관련 내용을 직접 발표하는 게 낫다는 의견이 나온다.

쿠팡 고객 정보유출 사건에 대한 정부의 고강도 합동조사가 70일째 이어졌지만 사건의 내막과 실체는 베일에 쌓여 있다. 정보유출 규모가 3000만명 이상이란 정부 관계자들의 말만 전해졌을 뿐이다. 앞서 정보유출 사태가 발생한 SKT, KT 등은 정부가 2차 피해를 막고, 허위 정보 차단을 위해 중간 조사 결과를 발표했단 점에서 이례적인 행보다. 일각에선 이번 사태가 장기화하면서 한미 통상 갈등으로 번질 가능성도 제기된다. 이 때문에 업계와 정치권에선 정부가 조속히 조사 결과를 발표해 부작용을 최소화해야 한단 의견이 나온다. 7일 관련 업계에 따르면 쿠팡이 지난 5일 "지난해 11월 발생한 개인정보 유출 사건에서 16만5000여건 계정의 추가 유출이 확인됐다"고 밝힌 것은 개인정보위원회의 권고에 따른 통지 절차로 알려졌다. 이는 지난해 11월 발생한 개인정보 유출 사건의 조사 과정에서 새롭게 확인된 내용이다. 그럼에도 개보위는 직접 발표 대신 쿠팡 측의 안내문 공지 형태를 선택했다. 업계에선 사건 당사자인 쿠팡보단 정부가 조사 관련 내용을 직접 발표하는 게 낫다는 의견이 나온다.

쿠팡 개인정보 유출 사태 피해자들이 6일(현지시간) 쿠팡 미국 본사와 김범서 쿠팡 이사회 의장을 상대로 미국 법원에 징벌적 손해배상을 청구하는 집단소송을 제기했다. 미국 뉴욕 동부연방법원에 따르면 미국 국적자인 이모씨와 박모씨를 대표 원고로 한 개인정보 유출 피해자들은 이날 쿠팡 모회사인 쿠팡아이엔씨(Inc. )와 김범석 의장을 상대로 집단소송 소장을 제출했다. 쿠팡아이엔씨는 쿠팡 한국 법인 지분 100%를 보유한 모회사다. 소장에 따르면 이씨 등은 김 의장과 쿠팡아이엔씨가 △개인정보보호 의무 위반 △업무 과실 △묵시적 계약 위반 △부당 이득 △뉴욕주 소비자보호법 위반 등으로 손해를 끼쳤다고 주장했다. 연락처와 주소, 결제 정보, 개인통관고유부호 등 민감한 개인정보가 유출돼 신원 도용 및 금융 사기의 실질적 위험에 처했다는 주장이다. 이씨 등은 신용정보를 점검하는 서비스에 가입하고 카드와 계좌를 재발급받는 등 직접적인 금전적 손해도 발생했다고 주장했다. 이씨 등은 구체적인 손해배상 청구 금액은 명시하지 않았지만 손해액이 500만달러(약 73억원)를 초과해 연방 집단소송 공정법 요건을 충족한다고 보고 쿠팡의 영업활동과 실제 피해 발생지인 뉴욕 동부 연방법원을 관할 법원으로 명시했다.

쿠팡 개인정보 유출 사태 피해자들이 6일(현지시간) 쿠팡 미국 본사를 상대로 현지 법원에 징벌적 손해배상을 청구하는 집단소송을 제기했다. 7일 뉴시스에 따르면 법무법인 대륜의 미국 협력 로펌 SJKP는 이날 미국 뉴욕 동부 연방지방법원 앞에서 기자회견을 열고 쿠팡Inc와 김범석 의장을 공동 피고로 집단소송 소장을 제출했다고 밝혔다. 쿠팡Inc는 쿠팡 한국법인 지분 100%를 보유한 모회사다. SJKP는 정보유출 사건이 한국에서 벌어졌더라도 보안 정책과 사고 대응 등 주요 의사결정은 미국 본사 경영진에 의해 이뤄졌기 때문에 피해자들이 쿠팡 본사에 손해배상을 요구할 수 있다고 봤다. 또 "김범석 의장은 정보보호 인력과 예산 편성, 집행 등 최종 권한을 행사한 인물임에도 보안 위험을 방치하거나 중대한 과실로 묵인했다"고 주장했다. 대표원고는 미국 뉴욕시에 거주하는 정보유출 피해자 A씨가 맡았다. A씨는 미국 시민권자이며 한국, 미국에서 쿠팡을 이용한 고객이다. 연락처, 주소, 결제 정보, 개인통관고유부호 등이 유출된 것으로 전해졌다.

해롤드 로저스 한국 쿠팡 임시대표가 '국회 위증 혐의'와 관련해 약 14시간에 걸친 2차 경찰 조사를 받고 귀가했다. '산재 은폐 의혹' 조사를 위한 3차 소환 가능성도 제기된다. 7일 머니투데이 취재를 종합하면 로저스 대표는 전날 오후 1시30분쯤 서울 마포구 서울청 마포청사에 출석해 이날 오전 3시25분쯤까지 약 14시간에 걸친 고강도 조사를 받고 귀가했다. 조사를 마치고 나온 로저스 대표는 '개인정보 유출 용의자와 접촉한 게 국정원 지시가 맞는지' '위증 혐의를 인정하는지' '추가로 유출된 정보 16만5000건에 대한 입장' 등 취재진 질문에는 응답하지 않았다. 경찰은 이번 조사에서 로저스 대표가 지난해 12월 국회 쿠팡 사태 연석 청문회에서 주장한 내용의 근거를 따져본 것으로 보인다. 로저스 대표는 청문회에서 '셀프조사'에 국가정보원 지시가 있다고 주장했다. 또 쿠팡은 개인정보 유출 용의자와 만나 자백을 얻고 유출에 사용된 장치를 모두 회수했다고 셀프 조사 결과를 밝혔다. 반면 국정원은 쿠팡 측에 어떤 지시도 하지 않았다고 선을 그었다.

미국 하원 법사위원회가 해롤드 로저스 쿠팡 한국법인 임시대표를 불러 증언을 듣겠다며 5일(현지시간) 소환장을 보낸 데 해외 매체의 관심도 높다. 블룸버그, 홍콩 사우스차이나모닝포스트(SCMP) 등은 이 사실을 보도하며 "쿠팡의 워싱턴 로비가 성공했다", "쿠팡 분쟁으로 한미 무역 관계에 새로운 균열이 드러났다"고 평가했다. 이날 블룸버그통신은 하원 법사위의 로저스 대표 출석요구와 함께 돈 바이어 민주당 하원의원이 최근 회기 중 "쿠팡이 미국 기업이라는 이유로 불공평한 대우를 받는 것은 아닌지 우려된다"라고 발언한 사실을 전했다. 그러면서 "쿠팡의 워싱턴 로비 공세가 얼마나 성공적이었는지를 보여준다"고 표현했다. 쿠팡은 지난해 워싱턴 정계를 상대로 한 활동을 강화한 걸로 전해진다. 블룸버그는 이에 대해 "쿠팡은 지난 2년간 로비 활동에 최소 550만달러(80억원)를 지출했다"고 전했다. 블룸버그에 따르면 로저스 대표에게 소환장을 보낸 짐 조던 하원 법사위원회 위원장의 전직 최고 보좌관, 마코 루비오 미국 국무장관의 전 비서실장 등이 쿠팡 측 로비스트로 이름을 올렸다.