이코노믹데일리 - 경제의 새로운 지평을 여는 웹4.0 선도 미디어

이코노믹데일리 - 정확한 뉴스와 깊이 있는 분석

검색

패밀리 사이트: 아주경제; 아주로앤피; 아주일보

회원서비스: 로그인; 회원가입; 지면보기; 네이버블로그

2025.12.13 토요일

비 서울 3˚C

흐림 부산 13˚C

흐림 대구 9˚C

비 인천 3˚C

흐림 광주 6˚C

비 대전 4˚C

흐림 울산 11˚C

흐림 강릉 5˚C

흐림 제주 14˚C

검색결과 총 51건

개보위, 개인정보 유출 2K 게임즈·부산국제금융진흥원에 과징금 3억 부과 [이코노믹데일리] 허술한 보안 관리로 해킹과 랜섬웨어 피해를 입어 이용자 개인정보를 유출하거나 훼손한 기업과 기관이 정부의 제재를 받았다. 개인정보보호위원회(이하 개인정보위)는 지난 10일 제26회 전체회의를 열고 개인정보보호법을 위반한 미국 게임사 2K 게임즈(2K Games)와 부산국제금융진흥원에 총 2억8991만원의 과징금과 1080만원의 과태료를 부과하기로 의결했다고 11일 밝혔다. 2K 게임즈는 안전조치 의무와 유출 통지 및 신고 의무를 위반해 1억9451만원의 과징금과 720만원의 과태료 처분을 받았다. 조사 결과 해커는 2K 게임즈의 헬프데스크 관리자 계정 정보를 탈취해 시스템에 무단 접속했으며 이 과정에서 한국 이용자 1만2906명을 포함한 전 세계 400만명의 이름과 이메일 및 IP 주소 등이 유출된 것으로 드러났다. 개인정보위는 2K 게임즈가 2011년부터 헬프데스크를 운영하면서 관리자 페이지 접속 시 아이디와 비밀번호 외에 별도의 안전한 인증 수단을 적용하지 않은 점을 지적했다. 또한 2K 게임즈는 2022년 9월 28일 유출 사실을 인지하고도 정당한 사유 없이 24시간을 넘겨 10월 8일에야 신고하는 등 대응이 지연된 사실도 확인됐다. 부산국제금융진흥원은 내부 보안 소홀로 랜섬웨어 공격을 허용해 개인정보를 훼손한 혐의로 과징금 9540만원과 과태료 360만 원을 부과받았다. 해커는 지난 6월 진흥원 업무관리시스템에 무차별 대입 공격(Brute Force Attack)을 시도해 로그인에 성공한 뒤 서버 내 파일을 암호화하고 협박 메시지를 남겼다. 이로 인해 임직원 등 177명의 주민등록번호가 포함된 데이터가 복구 불가능한 상태로 훼손됐다. 조사 결과 진흥원은 2020년 4월부터 업무 시스템을 운영하면서 방화벽 같은 필수 보안 장비를 설치하지 않았고 윈도 운영체제 보안 업데이트조차 최신 상태로 유지하지 않은 것으로 밝혀졌다. 특히 민감한 고유식별정보인 주민등록번호를 암호화하지 않고 평문으로 저장해 피해를 키웠다는 비판을 피하기 어렵게 됐다. 이번 처분은 랜섬웨어 감염으로 데이터가 암호화되어 사용할 수 없게 된 경우를 ‘개인정보 훼손’으로 명확히 규정하고 제재했다는 점에서 의미가 크다. 개인정보위는 유출 여부가 불분명하더라도 정상적인 서비스 제공이 불가능해진 상태를 법적 처벌 대상으로 재확인했다. 개인정보위 관계자는 "개인정보 데이터베이스 등 중요 파일은 주기적으로 백업하여 별도 보관해야 하고 관리자 페이지 접속 시에는 OTP 등 2차 인증 수단을 반드시 적용해야 한다"고 강조했다.
2025-12-11 12:07:34
과기정통부, LG유플러스 '서버 무단 폐기' 경찰 수사 의뢰… "해킹 증거 인멸 의혹" [이코노믹데일리] 과학기술정보통신부가 해킹 사고 조사 과정에서 핵심 증거인 서버를 무단으로 폐기한 혐의로 LG유플러스(대표 홍범식)를 경찰에 수사 의뢰했다. 정부가 통신사의 보안 사고와 관련해 증거 인멸 가능성을 의심하고 수사 기관에 직접 고발 조치한 것은 극히 이례적인 일로 파장은 일파만파 커질 전망이다. 10일 과기정통부와 업계에 따르면 정부는 LG유플러스가 해킹 의혹이 제기된 ‘계정 권한 관리 시스템(APPM)’ 서버를 조사 기간 중 물리적으로 폐기하고 운영체제(OS)를 재설치한 행위에 대해 고의적인 증거 인멸 가능성이 있다고 판단해 경찰청 사이버테러대응과에 수사를 의뢰했다. 이번 사태의 핵심은 LG유플러스가 해킹 사실을 인지하고도 고의로 증거를 없앴는지 여부다. 과기정통부 조사 결과에 따르면 정부는 지난 7월 19일 LG유플러스에 해킹 의심 정황을 통보하고 자체 점검을 요청했다. 그러나 LG유플러스는 통보를 받은 지 불과 열흘 뒤인 7월 31일 해당 APPM 서버 1대를 물리적으로 폐기 처분했다. 더욱이 8월 13일 “침해 사고 흔적이 없다”고 정부에 보고하기 바로 하루 전날인 8월 12일에는 남아 있는 APPM 서버의 운영체제(OS)를 재설치한 것으로 드러났다. 보안 전문가들은 서버 OS를 재설치할 경우 기존 로그 데이터와 침해 흔적이 덮어씌워져 디지털 포렌식이 사실상 불가능해진다고 지적한다. 이는 사고 원인을 규명할 ‘스모킹 건’을 기업 스스로 지워버린 행위나 다름없다. 해킹 의혹의 대상인 APPM은 기업 내부의 관리자 계정과 비밀번호를 통합 관리하는 시스템으로 이른바 ‘서버의 마스터키’로 불린다. 미국 유명 해커 매거진 ‘프랙(Phrack)’은 지난 8월 LG유플러스의 APPM 시스템이 뚫려 4만여 개의 계정 정보와 8900여 대의 서버 정보가 유출됐다고 보도한 바 있다. 만약 이 내용이 사실이라면 LG유플러스 내부망 전체가 해커의 손아귀에 놀아났을 가능성이 크다. LG유플러스 측은 “서버 폐기는 1년 전부터 계획된 노후 장비 교체 일정에 따른 것일 뿐 해킹 은폐와는 무관하다”고 해명하고 있다. OS 재설치 역시 보안 업데이트의 일환이었으며 작업 전후 서버 이미징(복제)을 떠서 한국인터넷진흥원(KISA)에 제출했다고 항변했다. 과기정통부 관계자는 "민관합동조사단 조사 과정에서는 관련 서버 등 자료 제출을 요구하게 되는데 LG유플러스가 서버를 제출하지 않았고, 그 과정에서 서버가 폐기된 것으로 확인됐다. 고의성 등 부분이 문제가 될 수 있어서 경찰 수사 의뢰를 하게 된 것"이라고 설명했다.
2025-12-10 16:41:27
쿠팡, '정보 노출→유출'로 정정…"사칭 스미싱·피싱 문자 주의" [이코노믹데일리] 쿠팡이 최근 발생한 개인정보 유출과 관련해 정부 요구에 따라 통지 문구를 정정하고, 스미싱·피싱 등 2차 피해 방지를 위해 이용자 주의를 재차 안내했다. 8일 업계에 따르면 쿠팡은 전날 공지문에서 “새로운 유출 사고는 없었다”며 “앞서 11월 29일부터 안내해 드린 개인정보 유출 사고에 대해 사칭, 피싱 등 추가피해 예방을 위한 주의사항을 안내해 드리는 것”이라고 밝혔다. 쿠팡은 사고 인지 직후 관련 기관에 즉시 신고했으며, 현재 과학기술정보통신부·경찰청·개인정보보호위원회·한국인터넷진흥원·금융감독원 등과 공동 조사에 참여 중이다. 쿠팡은 “현재까지 고객의 카드·계좌번호, 비밀번호, 개인통관부호 등 결제·로그인 관련 정보는 유출되지 않았다”며 “경찰청도 전수조사 결과, 쿠팡에서 유출된 정보를 이용한 2차 피해 의심 사례는 현재까지 확인되지 않았다”고 전했다. 해당 공지문은 쿠팡 홈페이지와 함께 개인정보가 유출된 고객 약 3370만명에게 문자 안내를 별도로 발송했다. 개인정보보호위원회는 지난 3일 쿠팡에 ‘노출’로 표기된 기존 통지를 ‘유출’로 수정하고, 실제 유출 항목을 모두 반영해 재통지할 것을 요구했다. 이는 회사가 비정상 접속으로 고객 정보가 외부로 유출된 정황을 확인하고도 통지 제목에 노출이라는 표현을 사용한 점에 대한 지적에 따른 조치다. 쿠팡은 유출된 항목을 고객 이름, 이메일 주소, 배송지 주소록(연락처·주소·공동현관 출입번호 포함), 일부 주문정보라고 설명했다. 쿠팡은 “이번 사고 발생 직후 비정상 접근 경로를 즉시 차단했으며, 내부 모니터링을 한층 더 강화했다”고 강조했다. 이용자 대상 안내도 강화했다. 쿠팡은 “전화나 문자로 애플리케이션 설치를 요구하지 않는다”며 “사칭 메시지를 통한 스미싱·피싱 시도가 있을 수 있으므로 출처가 확인되지 않는 링크는 클릭하지 말고 즉시 삭제할 것을 권고한다”고 말했다. 의심스러운 연락을 받을 경우 112 또는 금융감독원 신고를 안내하고, 금융거래 안심차단 서비스 활용을 제시했다. 또한 공동주택·공동현관 출입번호 등 민감 정보가 주소록에 저장돼 있는 경우 보안을 위해 변경을 권장한다는 안내도 함께 이뤄졌다.
2025-12-08 09:29:05
과기정통부, IP 카메라 해킹 보안 관리 나선다...통신사 책임 강화 [이코노믹데일리] 인터넷 프로토콜(IP) 카메라 약 12만대를 해킹해 성 착취물을 제작·유통한 범행이 발생하면서 정부가 IP 카메라 해킹 대책 마련에 나섰다. 과학기술정보통신부·개인정보보호위원회·경찰청 등은 'IP 카메라 보안 관리체계 고도화 방안'을 발표하고 IP 카메라의 보안 대책을 해킹까지 확대한다고 7일 밝혔다. 최근 경찰청 국가수사본부는 IP 카메라 약 12만대를 해킹해 만든 영상을 해외 음란사이트를 통해 판매한 4명을 검거했다. 불법 사이트에 판매된 영상 수는 1193개로 해킹 카메라 숫자 대비 적어 확인되지 않은 유출 영상이 더 존재할 것으로 우려된다. 이에 정부는 IP 카메라에 연결된 네트워크 보안의 책임 소재가 명확하지 않고 이용자·제조사에 보안책임이 몰려 있다고 지적했다. 정부의 지난 10월 실태조사에 따르면 해킹 방지 보안 조치를 의무 수행한 IP 카메라 설치업체는 전체의 59%를 기록했다. 정부는 IP 카메라 보안 관리에서 설치업체·통신사의 책임을 강화할 방침이다. 또한 비밀번호를 초기 설정에서 직접 바꾼 이용자는 81%, 최근 6개월 이내 비밀번호를 변경한 이용자는 30.8%로 이용자 보안 인식도 낮은 수준으로 확인됐다. 정부는 목욕탕·숙박업소·수술실이 있는 의료기관 등 IP 카메라 해킹 피해 가능성이 큰 사업장을 대상으로 안전성 확보 의무 조치를 고지하고 대규모 영상 유출이 발생한 사업자는 법 위반 여부를 조사할 예정이다. 요가·필라테스·병원 등 생활 밀접 시설에 IP 카메라를 설치할 시에는 보안인증 제품 사용을 의무화하는 법안 마련을 추진한다. 또한 IP 카메라 제품 설계 단계에서 복잡한 비밀번호 설정 원칙을 적용하는 법령 개정에도 나설 계획이다. 최우혁 과기정통부 네트워크정책실장은 "국내에서 취약한 상태로 운영 중인 IP카메라에 대한 보안 조치가 무엇보다 중요함에 따라 IP 카메라를 이용하는 국민들께서는 꼭 아이디, 비밀번호 변경 등의 보안 조치를 이행해주시길 당부한다"고 전했다.
2025-12-07 16:50:45
쿠팡발 스미싱 공포..."새벽에 나 몰래 로그인?"… 개인정보 유출 확인, '이것'부터 챙겨라 [이코노믹데일리] 쿠팡발 대규모 개인정보 유출 사태가 일파만파 커지면서 소비자들의 불안감이 극에 달하고 있다. 온라인 커뮤니티와 소셜미디어(SNS)에는 "사용하지 않는 새벽 시간대에 로그인 기록이 있다"거나 "갑자기 스미싱 문자가 폭주한다"는 제보가 잇따르고 있다. 이에 정부와 보안 업계는 개인이 직접 유출 여부를 점검하고 2차 피해를 예방할 수 있는 구체적인 행동 요령을 제시했다. 우선 정부가 제공하는 공식 조회 서비스를 활용하는 것이 첫걸음이다. 한국인터넷진흥원(KISA)이 운영하는 '털린 내 정보 찾기 서비스'는 사용자의 아이디와 비밀번호 등 계정 정보가 다크웹과 같은 불법 경로로 유통되고 있는지 확인할 수 있는 유용한 도구다. 다만 이번 쿠팡 사태처럼 이름, 전화번호, 이메일 등 일반 개인정보가 유출된 경우에는 해당 기업이 정부에 신고한 내용을 바탕으로 확인이 진행된다. 따라서 이용자는 기업의 공식 공지 사항이나 유출 확인 페이지를 수시로 체크하고 불확실한 경우 국번 없이 118(KISA 상담센터)로 전화해 문의하는 것이 가장 빠르다. 쿠팡 측은 현재 "신용카드 번호 등 결제 정보와 비밀번호는 유출되지 않았다"고 선을 그었으나 이름과 배송지 주소, 연락처 등이 빠져나간 만큼 이를 악용한 범죄 가능성은 여전하다. 이 때문에 플랫폼 자체 '로그인 이력' 점검이 무엇보다 중요하다. 해커가 탈취한 정보를 이용해 계정에 접근했는지 파악할 수 있는 가장 확실한 증거가 되기 때문이다. 쿠팡을 비롯해 네이버, 카카오, 구글 등 대다수 플랫폼은 보안센터 메뉴를 통해 최근 로그인 시간, 접속 지역, 사용 기기 목록을 투명하게 공개하고 있다. 만약 본인이 이용하지 않은 시간대에 접속 기록이 있거나 낯선 해외 IP 접속 흔적이 발견된다면 계정 탈취를 강력히 의심해야 한다. 보안 전문가들은 "의심 정황이 포착되는 즉시 비밀번호를 변경하고 OTP(일회용 비밀번호)나 인증 앱을 활용한 '2단계 인증'을 활성화해야 한다"며 "등록된 기기 목록에서 내가 쓰지 않는 기기는 과감히 차단(로그아웃)하는 것이 기본"이라고 조언했다. 스미싱(문자 결제 사기) 문자가 급증하는 현상도 정보 유출의 강력한 간접 신호다. 통상 대형 개인정보 유출 사고가 발생하면 직후 1~3개월간 배송 오류나 환불을 빙자한 스미싱 공격이 폭증하는 경향이 있다. 따라서 모르는 번호로 온 문자의 링크(URL)는 절대 클릭하지 말고 스마트폰 설정에서 '출처를 알 수 없는 앱 설치 차단' 기능을 활성화해 악성 앱 감염을 원천 봉쇄해야 한다. 만약 피해가 현실화됐다면 유형에 따라 신고 창구를 달리해야 신속한 구제를 받을 수 있다. 단순 개인정보 유출 상담이나 신고는 KISA 118 상담센터가 담당한다. 계정 탈취나 스미싱 등 실제 사이버 범죄 피해를 입었다면 경찰청 사이버범죄 신고시스템(ECRM)을 이용해야 하며 계좌가 도용되거나 대출 사기 등 금전적 피해가 발생했다면 금융감독원 불법 금융거래 대응센터에 접수해야 한다. 보안 업계 관계자는 "유출 여부를 100% 완벽하게 차단할 수는 없지만 로그인 기록 점검과 2단계 인증 활성화만으로도 치명적인 피해는 막을 수 있다"며 "소비자 스스로가 보안의 주체가 되어 선제적으로 방어 기제를 구축해야 한다"고 강조했다.
2025-12-06 09:58:30
쿠팡 탈퇴 러시에 매출 '뚝'…소상공인 피해호소 속출 [이코노믹데일리] 쿠팡 개인정보 유출 사태가 장기화되면서 플랫폼에 의존해 온 소상공인들의 매출 감소 우려가 커지고 있다. 소비자들의 구매 중단·탈퇴 움직임이 현실화하며 일부 판매자들은 주문 급감 현상을 호소하고 있다. 4일 온라인 자영업자 커뮤니티에 따르면 일부 판매자들은 개인정보 유출 이후 주문량이 눈에 띄게 줄었다고 토로하고 있다. 어느 판매자는 전체 온라인 매출의 대부분이 쿠팡에서 발생하는데 최근 주문이 상당 폭 감소했다고 밝혔다. 광고가 소진되지 않을 만큼 조회수가 줄었다는 사례도 공유되고 있다. 이는 소비자 이탈 조짐이 입점 판매자의 실적에 영향을 미치기 시작한 것으로 해석된다. 쿠팡은 이름, 이메일, 전화번호, 배송지 주소, 일부 주문 이력 등이 비인가 접근으로 외부에 조회됐다는 사실을 관계 당국에 신고한 상태다. 유출 규모는 약 3400만건으로 파악됐으며, 결제 정보나 로그인 비밀번호 등 인증 정보는 포함되지 않은 것으로 알려졌다. 소비자들 사이에서는 비정상 로그인 알림, 해외 결제 승인 메시지, 스미싱 문자 수신 등 사례가 잇따르며 불안 심리가 커지고 있다. 이에 따라 계정 삭제나 서비스 이용 중단을 선택하는 이용자가 늘어나는 분위기다. 불매 움직임이 확산될 경우 플랫폼 의존도가 높은 소상공인의 매출 감소 폭이 커질 수 있다는 우려도 제기된다. 쿠팡과 거래하는 소상공인은 2023년 기준 약 23만명으로 파악된다. 같은 해 소상공인 거래금액은 약 12조원 규모였으며, 쿠팡 임팩트 리포트에 따르면 입점 판매자의 약 75%가 중소상공인으로 분류됐다. 소상공인 단체는 고객 이탈 현상이 뚜렷해지고 있다며 조속한 대응과 책임 있는 조치가 필요하다는 입장이다.
2025-12-04 09:14:50
G마켓, 도용 의심 사고 피해 고객 '전원 선보상' [이코노믹데일리] G마켓이 최근 발생한 도용 의심 사고와 관련해 피해 고객 전원에게 결제금액을 선제적으로 환불하기로 했다. 고객 불편을 최소화하고 신속한 피해 구제를 추진하겠다는 의지로 풀이된다. G마켓은 지난 29일 일부 계정에서 무단 결제가 발생한 정황이 확인됨에 따라, 해당 고객 전원을 대상으로 즉각적인 보상 절차에 착수했다고 4일 밝혔다. 회사는 보상과 별개로 수사기관과의 공조를 통해 사고 경위를 면밀히 들여다보고 있으며, 경찰과 금융감독원 등 관계기관에 적극 협조해 원인 규명에 나선다는 방침이다. 피해 고객에게는 전액 환불이 이뤄지며, 수사기관 신고 역시 회사 차원에서 지원한다. G마켓은 “도의적 책임을 다하기 위한 선보상 조치”라며 “적극적인 신고와 피해 공유를 통해 도용 범죄 근절에 힘을 보탤 것”이라고 설명했다. 회사 측은 이번 사고가 외부에서 불법 수집된 개인정보를 이용해 계정에 로그인한 뒤 결제를 시도한 전형적인 ‘도용 범죄’일 가능성이 높다고 보고 있다. 여러 온라인 플랫폼에서 동일한 계정과 비밀번호를 사용하는 관행이 악용된 것으로 추정된다는 설명이다. 재발 방지를 위한 보안 강화 조치도 즉시 가동됐다. 우선 최근 한 달간 비밀번호를 변경하지 않은 고객을 대상으로 비밀번호 변경 권고 캠페인이 시행된다. 로그인 화면과 고객센터 공지를 통해 안전한 비밀번호 생성 가이드를 제공하며, 계정 보안을 최신 상태로 유지하도록 안내하고 있다. 또한 로그인 시 2단계 인증 설정을 유도하는 팝업을 도입하는 등 인증 절차를 한층 강화했다. 환금성 상품권 등 일부 민감 상품군에 대해서는 추가 본인확인 절차가 적용될 예정이다. G마켓 관계자는 “고객의 안전한 쇼핑 환경을 최우선 가치로 두고 있다”며 “도용·피싱 등 2차 피해가 재발하지 않도록 보안 체계를 더욱 철저히 점검하고 강화해 나가겠다”고 말했다.
2025-12-04 07:28:23
내 쇼핑 내역이 보이스피싱 대본으로… AI 만난 개인정보 유출 '공포' [이코노믹데일리] 국내 최대 이커머스 기업 쿠팡에서 발생한 대규모 개인정보 유출 사태의 파장이 일파만파로 커지고 있다. 유출된 정보에 이름, 주소, 전화번호뿐만 아니라 고객의 ‘구매 이력’까지 포함된 것으로 확인되면서 보안 전문가들은 이것이 범죄자들에게 ‘완성형 사기 재료’를 쥐여준 꼴이라고 경고하고 나섰다. 특히 쿠팡 측이 초기 유출 규모를 축소하고 신고를 지연했다는 정황이 드러나면서 정부의 고강도 제재가 예상된다. ◆ 4500명에서 3000만명으로… 쿠팡의 ‘깜깜이’ 대응 이번 사태에서 가장 비판받는 대목은 쿠팡의 안일한 초동 대처다. 1일 관련 업계와 정부 당국에 따르면 쿠팡은 당초 유출 피해 규모를 수천 건 수준으로 당국에 보고했다. 그러나 정밀 조사 결과 실제 유출된 계정 정보는 3370만건에 달하는 것으로 드러났다. 이는 사실상 쿠팡을 이용하는 국민 대부분이 피해 당사자가 될 수 있는 규모다. 늑장 대응도 도마 위에 올랐다. 현행 개인정보보호법에 따르면 개인정보처리자는 유출 사실을 알게 된 후 72시간 이내에 감독 기구인 개인정보보호위원회(개인정보위)와 피해자에게 알려야 한다. 하지만 쿠팡은 이번 침해 사실을 인지하고도 열흘 가까이 지난 시점에야 피해 규모를 수정하고 이용자 통지에 나선 것으로 알려졌다. 보안 업계의 한 관계자는 “초기에 ‘단순 접근 시도’ 정도로 사태를 과소평가했거나 내부적으로 피해 규모조차 제대로 파악하지 못하고 있었던 것으로 보인다”며 “4500명과 3000만명은 천지 차이로 이는 기업의 보안 관제 시스템이 사실상 ‘먹통’이었다는 방증”이라고 강하게 꼬집었다. ◆ ‘구매 이력’ 유출이 왜 위험한가 이번 유출이 기존의 단순 개인정보 유출과 차원이 다른 이유는 바로 ‘구매 이력’ 때문이다. 일반인들이 쉽게 이해할 수 있도록 예를 들어보자. 과거의 보이스피싱이 “서울지검입니다. 귀하의 통장이 범죄에 연루되었습니다”와 같이 불특정 다수에게 그물을 던지는 방식이었다면 구매 이력을 손에 쥔 사기꾼은 ‘작살 낚시(Spear Phishing)’처럼 특정인을 정밀 타격할 수 있다. [범죄 시나리오 예시] > 사기꾼: “안녕하세요, 배송 기사입니다. 어제 주문하신 ‘LG 로봇청소기 R5’ 배송지인 ‘서초동 101동’에 도착했는데 공동현관 비밀번호가 맞지 않아 연락드렸습니다.” 피해자 입장에서는 내가 실제로 어제 주문한 상품명과 우리 집 주소를 정확히 알고 있는 상대방을 의심하기란 불가능에 가깝다. 이때 범죄자가 “확인을 위해 앱 설치가 필요하다”며 링크를 보내거나 “결제 오류로 환불해 줄 테니 계좌번호를 불러달라”고 요구하면 속수무책으로 당할 수밖에 없다. 보안 업체 에스투더블유(S2W) 관계자는 “다크웹 등에서 거래되는 정보 중 ‘쇼핑 데이터’는 범죄 성공률을 비약적으로 높여주기 때문에 가장 비싸게 팔린다”며 “정확한 물건 이름과 배송 시점을 아는 사기꾼은 더 이상 사기꾼처럼 보이지 않는다”고 설명했다. ◆ “정부, 2차 피해 막아라”… 다크웹 감시·합동 조사 착수 사태의 심각성을 인지한 정부는 즉각 대응에 나섰다. 과학기술정보통신부와 개인정보위, 경찰청 등으로 구성된 민관합동조사단은 쿠팡 본사에 대한 현장 조사에 착수했다. 조사단은 해커가 로그인 없이도 정보에 접근할 수 있었던 ‘인증 시스템 취약점’을 쿠팡이 방치했는지 그리고 유출 통지가 지연된 구체적인 경위를 집중적으로 파악하고 있다. 특히 정부는 유출된 정보가 ‘다크웹(Dark Web)’ 등 음지에서 거래되며 2차 피해를 낳을 가능성을 차단하기 위해 3개월간 집중 모니터링을 실시하기로 했다. 경찰 관계자는 “외부 해킹뿐만 아니라 내부 조력자가 있었을 가능성까지 열어두고 수사 중”이라며 “유출된 정보를 악용한 스미싱 문자나 사칭 전화를 발견하면 즉시 118 센터나 경찰에 신고해달라”고 당부했다. ◆ 전문가 “모르는 번호의 ‘배송·환불’ 연락, 일단 끊어야” 전문가들은 이번 유출이 인공지능(AI) 기술과 결합해 더욱 교묘해질 수 있다고 경고한다. 생성형 AI가 유출된 구매 데이터를 학습해 개인별 맞춤형 사기 대본을 1초 만에 만들어낼 수 있기 때문이다. 보안 전문가는 “쿠팡 고객센터나 배송 기사를 사칭한 연락이 왔을 때 상대방이 내 주문 내역을 정확히 알고 있다고 해서 맹신해선 안 된다”고 강조했다. 이어 “문자 메시지에 포함된 인터넷 주소(URL)는 절대 누르지 말고 배송이나 환불 문제가 생기면 반드시 쿠팡 공식 앱을 열어 직접 확인하는 습관을 들여야 한다”고 조언했다.
2025-12-04 06:00:00
쿠팡 이어 G마켓도 뚫렸다…60여명 무단결제 사고 발생 [이코노믹데일리] 이커머스 플랫폼에서 보안 사고가 잇따라 발생하고 있다. 쿠팡의 개인정보 유출 사태가 확산되는 가운데 G마켓에서 이용자들이 자신도 모르는 사이 결제가 이뤄졌다는 신고가 금융감독원에 접수된 것으로 확인됐다. 3일 유통업계에 따르면 지난달 29일 G마켓의 간편결제 서비스인 스마일페이에 등록된 카드로 상품권 결제가 진행됐다는 내용의 신고가 60여건 접수됐다. 이번 사고로 발생한 개인별 피해 금액은 20만원 금액 이하 수준으로 파악됐으며, 상품권 구매 방식이라는 공통점이 확인된 상태다. 금융당국은 신고 내용을 토대로 결제 경위, 인증 절차 적정성, 외부 침입 가능성 등을 점검하고 있으며, G마켓 측에도 관련 자료 제출을 요청한 것으로 알려졌다. G마켓은 전날 공지 게시글을 통해 “타사의 개인정보 보안 사고로 도용·피싱 등 2차 피해 위험이 커지고 있다”며 로그인 비밀번호 변경 등을 권고했다. 기프트 상품권 등 환금성 상품을 구매할 때 본인 확인 절차도 강화했다.
2025-12-03 17:25:57
쿠팡, 개인정보 유출...시간 갈수록 소비자 불안 확산 [이코노믹데일리] 쿠팡의 개인정보 유출 사태가 닷새째 이어지며 소비자 불안이 확산하고 있다. 3일 관련업계에 따르면 쿠팡은 이름·주소·전화번호 등 기본 정보 외 로그인 정보와 결제 정보는 유출되지 않았다고 밝혔지만, 온라인에서는 해외 로그인 시도·비정상 기기 접근·해외 결제 승인 알림을 받았다는 사례가 계속 신고되고 있다. 쿠팡 사태 이후 스미싱 문자·스팸 전화가 급증했다는 피해 제보도 늘고 있으며, 일부 쿠팡 계정이 중국 온라인 플랫폼에서 판매되고 있다는 주장도 나온다. 탈퇴 움직임도 빠르게 확산해 복잡한 탈퇴 절차에 대한 불만이 증가했으며, 집단 소송에 참여하는 네이버 카페만 30여개, 회원 수는 50만명을 넘어섰다. 실제로 이용자들이 쿠팡을 상대로 제기한 손해배상 소송도 시작됐다. 쿠팡은 “결제·로그인 정보는 보호되고 있다”는 입장을 유지하지만, 유출 건수가 처음 공개한 4,500건에서 전체 활성 고객 수를 넘어서는 3,370만 건으로 급증한 점은 추가 유출 가능성에 대한 의구심을 키운다. 특히 초기에 유출 정보 목록에서 빠졌던 ‘공동현관 비밀번호’가 뒤늦게 유출된 사실이 알려져 소비자 신뢰가 더 흔들렸다. 개인통관고유부호를 재발급받으려는 수요가 몰리며 관련 사이트 접속이 지연되는 현상도 발생했다. 보안 전문가들은 “최악의 상황을 대비해 대응해야 한다”며 고객 비밀번호 변경, 2단계 인증 강화 등 적극적인 안내가 부족하다고 지적했다. 반면 쿠팡은 고객 공지 문자에 링크를 삽입하는 등 스미싱 위험을 경시한 태도로 비판을 받았다. 정부는 내년 2월까지 개인정보 불법 유통 모니터링을 강화하겠다고 밝혔고, 개인정보보호위원회와 방송통신위원회 등도 쿠팡에 대해 2차 피해 방지 조치를 요구하고 스미싱 주의를 당부했다. 한편 이커머스 업계 전반에도 여파가 미치고 있다. G마켓에서는 최근 유출된 타사 로그인 정보를 이용한 것으로 보이는 무단 결제가 발생해 금융감독원이 긴급 현장 점검에 착수했다. 유통 업계에서 전자상거래 비중이 커진 상황에서 보안 수준과 책임 범위를 둘러싼 논의가 불가피해졌다는 분석이 나온다.
2025-12-03 16:36:21
개인정보위 "쿠팡, '노출' 아닌 '유출'로 정정해 다시 알려라"… 행정지도 착수 [이코노믹데일리] 사상 최대 규모인 3370만명의 개인정보 유출 사고를 일으킨 쿠팡이 사태 초기 피해 사실을 '유출'이 아닌 '노출'로 축소 통지한 것에 대해 정부가 시정을 권고했다. 또한 정부는 이번 사태를 계기로 기업의 책임을 강화하기 위해 징벌적 손해배상제도를 현실화하고 무용론이 제기된 정보보호 인증 체계(ISMS-P)를 전면 개편하기로 했다. 개인정보보호위원회(이하 개인정보위)는 3일 긴급 전체회의를 열고 쿠팡에 개인정보 '노출' 통지를 '유출'로 정정하고 누락된 피해 항목을 포함해 이용자에게 재통지할 것을 권고했다고 밝혔다. 개인정보위 조사 결과 쿠팡은 지난달 18일 비정상적 접속으로 고객 정보가 외부로 빠져나간 사실을 확인했음에도 피해자들에게 보낸 문자메시지와 홈페이지 공지에는 '개인정보 노출'이라는 표현을 사용했다. 법적으로 '노출'은 정보가 누구나 볼 수 있는 상태를 '유출'은 통제권을 상실해 권한 없는 자에게 넘어간 상태를 뜻한다. 업계에서는 쿠팡이 집단소송이나 징벌적 배상 리스크를 줄이기 위해 의도적으로 표현을 순화한 것 아니냐는 비판이 제기돼 왔다. 이에 개인정보위는 이용자의 혼선을 막기 위해 용어를 '유출'로 명확히 수정하고 공동현관 비밀번호 등 당초 공지에서 빠진 항목까지 포함해 다시 알리도록 했다. 또한 홈페이지 초기 화면이나 팝업창에 피해 사실을 일정 기간 이상 게시하고 2차 피해 방지를 위한 전담 대응팀(Help Desk)을 확대 운영할 것을 주문했다. 송경희 개인정보위 위원장은 이날 국회 정무위원회 전체회의에 출석해 "과징금을 강화하고 징벌적 손해배상제도의 실효성을 강구할 수 있는 방안을 찾겠습니다"라고 밝혔다. 이는 전날 이재명 대통령이 "피해 규모가 3400만 건으로 방대한데도 사건이 발생하고 회사가 유출 자체를 파악하지 못했다는 게 참으로 놀랍다"며 관계 부처에 실효적인 대책 마련을 지시한 데 따른 후속 조치다. 송 위원장은 "3370만명의 개인정보가 유출됐고 이름, 이메일 주소, 배송지 정보, 주문정보 등이 유출된 것으로 확인됐다"며 "배송지 주소에는 회원뿐 아니라 가족, 지인, 받는 사람 주소와 일부 공동현관 비밀번호가 포함됐다"고 설명했다. 이어 "사업자가 개인정보 보호에 인적·물적 투자를 하도록 효과적인 유인체계를 만들겠다"고 강조했다. 정부는 이번 사고를 계기로 유명무실하다는 지적을 받아온 '정보보호 및 개인정보보호 관리체계 인증(ISMS-P)' 제도도 대대적으로 손질한다. 쿠팡은 ISMS-P 인증을 유지하고 있었음에도 이번 사고를 막지 못했다. 실제로 2020년 이후 ISMS-P 인증 기업에서 발생한 개인정보 유출 사고는 34건에 달한다. 정부는 향후 인증 심사를 기존 서류 중심에서 '모의 해킹'을 포함한 현장 심사 위주로 전환하고 중대 결함 발견 시 인증을 즉시 취소하는 ‘원스트라이크 아웃’ 제도를 도입할 방침이다. 김승주 고려대 정보보호대학원 교수는 “(정부가) ISMS-P를 현실화시키면서 모의 해킹 위주로 검토하는 것 같다”면서 “ISMS-P 평가자들이 있는데 우선 평가자들을 모아놓고 현장의 (여러) 의견을 들어봐야 한다”고 조언했다. 개인정보위 관계자는 "쿠팡이 개선 권고를 따를지 아니면 그렇지 않을지를 보면 (쿠팡이) 국내 소비자를 어떤 식으로 바라보는지 알 수 있을 것"이라며 "개인정보위로서는 우선 쿠팡에 ‘경고’를 한 셈인데 이번 개선 권고를 이행하지 않으면 나중에 실제 제재 때 영향을 줄 수 있다"고 밝혔다. 한편 쿠팡은 지난달 20일 4536개 계정 유출로 1차 신고를 했으나 이후 정밀 조사 과정에서 피해 규모가 3370만 개로 늘어나 지난달 29일 2차 신고를 접수했다. 현재 민관합동조사단이 정확한 유출 경위와 쿠팡의 보안 조치 위반 여부를 조사 중이다.
2025-12-03 15:49:43
쿠팡 3400만건 개인정보 유출…왜 韓 고객만 [이코노믹데일리] 쿠팡에서 발생한 대규모 개인정보 유출이 현재까지는 한국 고객 정보를 중심으로 확인된 가운데, 해외 고객 정보까지 포함될 경우 각국의 개인정보 규제가 동시에 적용되는 다층적 법적 리스크가 현실화될 수 있다는 분석이 제기된다. 내부 권한 관리 체계와 데이터 저장 구조에 대한 조사가 진행 중이며, 기업 매출액을 기준으로 산정되는 과징금이 최고 수준에 이를 가능성도 부상했다. 사고 규모와 경위를 고려한 규제 강화 우려가 커지면서 전자상거래 플랫폼 전반의 보안 체계 점검 필요성이 커지고 있다. 2일 업계에 따르면 쿠팡은 이름, 이메일, 전화번호, 배송지 주소, 일부 주문 이력 등이 비인가 접근으로 외부에 조회됐다는 사실을 관계 당국에 신고한 상태다. 유출 규모는 약 3400만 건으로 파악됐으며, 결제 정보나 로그인 비밀번호 등 인증 정보는 포함되지 않은 것으로 알려졌다. 비인가 접근은 6월 말 해외 서버를 통해 시작된 것으로 조사됐고, 회사가 내부에서 이상 징후를 인지한 시점은 11월 중순인 것으로 확인됐다. 해외 고객 정보 포함 여부는 조사 중이나, 현재까지 피해가 한국에 한정됐을 가능성이 높다는 분석이 나온다. 유출 혐의가 제기된 전직 중국 국적 직원은 인증 시스템 개발을 담당했던 것으로 전해졌다. 피의자 규모와 관련해 쿠팡은 “단수인지 복수인지 단정할 수 없고, 수사 중이라 밝히기 어렵다”고 설명했다. 사고가 한국 고객에만 집중된 배경으로는 데이터베이스 분리 운영 구조가 지목된다. 글로벌 전자상거래 기업들은 국가별 개인정보보호 규제를 준수하기 위해 고객 데이터를 지역별로 분리 저장하는 방식을 보편적으로 적용해 왔다. 유럽의 일반개인정보보호법(GDPR), 미국과 아시아 국가들의 데이터 국지화 규정은 기업이 각국 이용자 정보를 해당 지역 내부 또는 지정된 리전에 저장하도록 요구한다. 아마존, 알리바바 등 주요 플랫폼 역시 국가별 저장소를 구분해 운영하는 구조를 채택하고 있다. 이 같은 관행을 고려할 때 쿠팡도 한국·대만·일본 등 국가별 데이터를 분리해 관리했을 가능성이 크다는 관측이 나온다. 사건 조사 초기 단계에서 해외 고객 계정이 유출됐다는 정황은 확인되지 않았다. 사고의 핵심 문제로 지적되는 부분은 비인가 접근이 약 5개월 동안 탐지되지 않았다는 점이다. 접근 권한 관리, 인증키 회수, 퇴직자 계정 관리 등 내부 통제 절차에서 구조적 취약점이 드러난 것으로 평가된다. 개발·운영 계정은 일반 계정보다 높은 접근 권한을 보유하는데, 퇴직 이후 인증 수단이 적절히 폐기되지 않았다면 대량 정보 조회가 장기간 가능해진다. 이상 접근 패턴을 식별하는 로그 모니터링 체계가 제 기능을 하지 못한 정황도 확인되며 내부 보안 체계 전반을 재점검해야 한다는 지적이 제기된다. 제재 수위는 최고 단계까지 거론되는 상황이다. 개인정보보호법은 개인정보 유출 시 전체 매출의 최대 3%까지 과징금을 부과할 수 있도록 규정한다. 다만 유출 사안과 무관한 매출액은 산정 기준에서 제외될 수 있다. 쿠팡의 지난해 매출액은 41조원으로, 최대 비율인 3%를 적용할 경우 과징금 규모는 1조2000억원 이상으로 추산된다. 사고 인지·보고 과정, 관리적·기술적 보호조치 의무 준수 여부 등이 함께 판단 기준으로 적용될 전망이다. 과징금 외에도 보안 체계 개선 명령, 점검 이행 의무 강화 등 행정조치가 병행될 수 있다는 분석이 나온다. 해외 고객 정보까지 포함될 경우 규제는 국가별 법제를 따라 복합적으로 작동하게 된다. 대만 개인정보보호법(PDPA), 일본 개인정보보호법(APPI) 등은 유출 시 신고·통지 의무와 별도의 과징금·행정처분 절차를 규정하고 있어, 단일 사고가 복수 국가에서의 제재로 이어질 수 있다. 내부 조직·인력 운영 측면에서도 변화 가능성이 제기된다. 접근 권한 관리, 인증 체계, 내부 통제 절차 강화 필요성이 높아지면서, IT·보안 전문 인력 보강이 불가피하다는 분석이다. 글로벌 기업들은 대규모 유출 사고 이후 정보보호 책임자(CISO) 조직을 확대하고 데이터 거버넌스 및 준법감시 기능을 강화해 왔으며, 쿠팡도 유사한 방향의 조직 개편을 검토할 수 있다는 관측이 나온다. 쿠팡 사건은 과학기술정보통신부·개인정보보호위원회·경찰청·국가정보원 등이 참여하는 민관합동조사단이 가동 중이며, 개인정보위는 접근통제·암호화 등 법정 안전조치 준수 여부를 집중 점검하고 있다. 경찰은 비인가 접근 경위와 함께 내부자 개입 가능성에 무게를 두고 수사를 진행 중이다. 배경훈 부총리 겸 과학기술정보통신부 장관은 “징벌적 손해배상과 과징금 등을 검토해 연내 2차 관계부처 종합 대책을 발표할 수 있게 하겠다”며 “국내외 유사 사례 분석 및 신중하게 비교 검토 중”이라고 말했다.
2025-12-02 16:41:57
"3000만명 털릴 동안 몰랐다"… 인증키 도난당한 쿠팡, 국회서 뭇매 [이코노믹데일리] 단일 기업 기준 사상 최대 규모인 3300만건의 개인정보 유출 사고를 일으킨 쿠팡이 해커의 공격에 5개월 가까이 무방비로 노출됐던 것으로 정부 조사 결과 드러났다. 국회에서는 쿠팡이 사태 초기 개인정보 ‘유출’을 ‘노출’로 축소 표현해 책임을 회피하려 했다는 질타가 쏟아졌고, 박대준 쿠팡 대표는 이에 대해 공식 사과했다. 과학기술정보통신부와 국회 과학기술정보방송통신위원회(과방위)에 따르면 류제명 과기정통부 2차관은 2일 열린 국회 과방위 긴급 현안 질의에서 이번 사고의 기술적 원인과 경과를 보고했다. 과기정통부 분석 결과 해커의 공격이 식별된 기간은 지난 6월 24일부터 11월 8일까지로 약 5개월에 달했다. 류 차관은 “지난해 7월부터 올해 11월까지 전수 로그 분석을 한 결과 3천만 개 이상 계정에서 개인 정보가 유출됐다”며 “공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했다”고 밝혔다. 특히 이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 탈취되어 사용된 것으로 확인됐다. 이는 해커가 아이디나 비밀번호 없이도 마치 정상적인 시스템 권한을 가진 것처럼 서버를 드나들 수 있었다는 의미로 쿠팡의 보안 관리 체계에 치명적인 구멍이 뚫려 있었음을 시사한다. 이날 국회에서는 쿠팡의 부적절한 대응 태도에 대한 성토가 이어졌다. 특히 쿠팡이 사고 사실을 공지하면서 법적 용어인 ‘유출’ 대신 ‘노출’이라는 표현을 사용한 것이 도마 위에 올랐다. 정보보호 업계에서는 이를 두고 미국 증시에 상장된 모회사 쿠팡Inc가 직면할 수 있는 집단소송이나 징벌적 배상 리스크를 줄이기 위한 꼼수로 해석했다. ‘유출’은 통제권을 상실한 상태를, ‘노출’은 누구나 접근 가능한 상태를 의미해 법적 책임의 무게가 다를 수 있기 때문이다. 이훈기 더불어민주당 의원은 박대준 대표를 향해 “쿠팡이 사고 후 가입자들에게 보낸 문자에서 ‘유출’이 아니라 ‘노출’이라는 표현을 썼다”며 “이건 국민을 기만하는 것이다. 왜 이렇게 표현했느냐 과징금 등을 피하려 한 것이냐”고 강하게 질타했다. 이에 대해 증인으로 출석한 박대준 쿠팡 대표는 “어떤 책임을 모면하려는 의미는 아니었다”며 “의원님 지적처럼 다른 의도는 없었다”고 해명했다. 그러나 이 의원이 재차 추궁하자 박 대표는 “저희가 생각이 부족했던 것 같다”며 고개를 숙였다. 실질적 오너인 김범석 쿠팡Inc 의장의 책임론도 불거졌다. 김 의장은 한국 쿠팡 지분 100%를 보유한 모회사의 최대 주주이자 의결권 74.3%를 가진 실력자다. 그러나 이번 사태와 관련해 별다른 입장을 내놓지 않고 있다. 이 의원이 “김범석 의장이 직접 사과할 의향은 없느냐”고 묻자 박 대표는 “한국 법인에서 발생한 일이고 제 책임하에 있기 때문에 제가 다시 한번 사과 말씀 드린다”며 김 의장을 대신해 방어막을 쳤다. 이번 사건의 유력한 용의자로 거론되는 전직 중국인 직원에 대한 언급도 나왔다. 류 차관은 “현재 언급되는 공격자의 신상에 대한 정보는 경찰 수사로 확인이 필요하다”면서도 “확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3천만 건의 개인정보 유출을 주장했다”고 전했다. 현재 경찰과 민관합동조사단은 내부자 공모 가능성까지 열어두고 수사를 진행 중이다. 당초 쿠팡은 지난달 4536개 계정에서 정보가 유출됐다고 당국에 신고했으나 정부의 조사 과정에서 피해 규모가 3379만개 계정으로 눈덩이처럼 불어났다. 과기정통부는 민관합동조사단을 통해 사고 원인을 정밀 분석하고 있으며 향후 유사 사례 방지를 위한 대책 마련에 착수했다.
2025-12-02 11:27:39
쿠팡發 개인정보 유출…이커머스 전반 '보안 셧다운' 비상 [이코노믹데일리] 쿠팡에서 3000만건이 넘는 대형 개인정보 유출 사고가 발생하면서 이커머스 업계 전반에 비상이 걸렸다. 쿠팡이 매년 800억~900억원 규모의 정보보호 투자를 이어왔음에도 이번 사고가 발생한 데다, 내부 인증토큰·서명키 등이 전직 직원에게서 악용된 정황이 드러나면서 업계는 단순 해킹이 아닌 ‘내부 통제 실패’가 핵심 원인이라는 데 무게를 두고 있다. 1일 관련업계에 따르면 지난 2023년 개정된 개인정보보호법에 따라 개인정보 유출 시 매출의 최대 3%까지 과징금이 부과될 수 있는 상황에서 쿠팡의 제재 규모는 최대 1조원대에 이를 수 있다는 전망이 제기되고 있다. 쿠팡의 올해 3분기 누적 매출은 36조3000억원으로, 성장사업을 제외한 이커머스 중심 매출 약 31조원을 기준으로 하면 과징금 상한은 약 1조2000억원 수준이다. 이번에 유출된 정보는 이름, 전화번호, 이메일, 주소뿐 아니라 일부 주문 내역까지 포함된 것으로 확인됐다. 일반적 통신사 정보 유출보다 생활과 밀접한 배송지 정보까지 빠져나간 만큼 스미싱·피싱 등 2차 범죄에 악용될 가능성이 크다는 지적이 나온다. 특히 유출 정보 규모가 당초 신고한 4536건에서 조사 과정에서 3379만개 계정으로 급증한 점도 충격을 키우고 있다. 이커머스 업체들은 주말 동안 긴급 점검에 나섰다. G마켓은 자체 긴급 보안점검을 완료했으며 후속 조치를 논의 중이라고 밝혔다. SSG닷컴과 롯데온도 내부 통제 강화와 추가 점검 계획을 마련 중이다. 11번가는 24시간 보안관제 체계를 운영 중이라며 서버·DB 접속 이력을 재점검할 계획이라고 밝혔다. 컬리는 “결제 승인에 필요한 최소한의 마스킹 정보만 보관하고 있다”며 사고 재발을 막기 위한 선제적 내부통제를 진행하고 있다. 업계 내에서는 최근 국내 기업과 해외 플랫폼 간 합작이 늘어나는 점도 보안 리스크를 키울 수 있다고 지적한다. 지마켓과 알리바바의 합작법인 설립 사례처럼 데이터 흐름이 해외로 확장되는 구조가 강화되면서 소비자 정보가 국외로 이전될 가능성이 커졌다는 우려다. 알리익스프레스·테무·쉬인 등 중국계 이커머스의 국내 확장도 데이터 관리 문제를 둘러싼 불안 요인을 키우고 있다. 정부와 국회도 대응에 착수했다. 국회 과학기술정보방송통신위원회는 오는 2일 전체회의를 열고 쿠팡 대표 및 정보보안 담당자 등을 상대로 사고 경위와 재발 방지 대책을 질의한다. 정무위원회도 3일 현안질의를 진행해 개인정보보호위원회, 금융당국, 공정거래위원회 등을 대상으로 관련 대책을 점검할 예정이다. 과기정통부는 민관합동조사단을 꾸려 원인 분석에 들어갔다. 소비자단체의 움직임도 거세다. 한국소비자단체협의회는 성명을 통해 “주소, 연락처, 공동현관 비밀번호까지 포함된 민감 정보가 노출됐다”며 “쿠팡이 즉각적인 배상안과 피해구제책을 마련하지 않을 경우 회원 탈퇴·불매운동 등 전면 대응에 나서겠다”고 밝혔다. 정부에는 강력한 행정처분을, 국회에는 집단소송제·징벌적 손해배상 등 ‘소비자 3법’ 처리를 촉구했다. 업계 관계자는 “상당 규모의 투자에도 불구하고 내부 통제의 허점이 드러난 사건”이라며 “정보보호 체계를 근본적으로 재검토하는 계기가 될 것”이라고 말했다.
2025-12-01 16:37:26
3370만명 개인정보 노출…쿠팡·정부 모두 '감독 공백' 드러났다 [이코노믹데일리] 국내 최대 전자상거래 기업인 쿠팡에서 3370만명에 달하는 고객 개인정보가 외부로 노출된 사실이 확인되면서, 기업의 보안 체계뿐 아니라 정부의 관리·감독 시스템 전반이 다시 도마 위에 올랐다. 정보 유출 시점이 지난 6월로 추정되는데도 5개월 동안 사고 징후가 포착되지 않았다는 점에서, 이번 사태는 단순한 보안 사고를 넘어 전자상거래 생태계 전반의 구조적 문제를 드러냈다는 평가가 나온다. 30일 법조계에 따르면 서울경찰청 사이버수사대는 지난 25일 쿠팡이 제출한 고소장을 접수해 수사에 착수했다. 쿠팡은 처음 4500개 계정의 정보가 노출된 것으로 파악했으나, 추가 조사에서 총 3370만개 계정이 무단 접근된 사실을 뒤늦게 확인했다. 이름, 이메일 주소, 배송지 주소록 등 일상생활과 밀접한 정보가 포함돼 피해 규모는 훨씬 더 클 수 있다는 지적이 제기된다. ◆ 기업의 ‘사고 인지’ 실패가 핵심 법조계에서는 쿠팡이 개인정보보호법상 안전조치 의무를 적절히 이행했는지 여부가 가장 중요한 쟁점이라고 본다. 개인정보보호법은 기업이 개인정보 침해 사고를 예방할 수 있도록 기술적·관리적 조치를 취해야 한다고 규정하고 있다. 특히 대규모 플랫폼 사업자는 침해사고 심각도에 따라 주기적인 위험 분석과 모니터링 체계 구축이 필수적이다. 그러나 유출이 수개월간 이어진 것으로 의심되는 이번 사고는 기본적인 침해 탐지 시스템이 정상적으로 작동하지 않았다는 점을 보여준다. 한 정보보호 전문가는 “이 정도 규모의 기업이라면 비정상적 접근을 즉시 탐지하는 것이 기본인데, 장기간 이상 징후를 발견하지 못했다는 것은 관리적 통제가 사실상 부재했다는 의미”라고 말했다. 또한 정보통신망법은 침해 사고 인지 시 지체 없이 신고하도록 규정하고 있다. 쿠팡은 “지난 18일 침해 사실을 처음 인지했다”고 밝혔지만, 실제 유출 시점과의 괴리가 커 개선 필요성이 제기된다. ◆ 정부 감독도 ‘사후 대응’에 치우쳐 이번 사태는 정부의 감독 체계에도 질문을 던진다. 전자상거래 시장이 급속히 확대됐음에도, 주요 플랫폼 기업을 대상으로 한 정기 점검이나 위험 기반 검사 시스템이 충분하지 않다는 지적이 꾸준히 제기돼 왔다. 대규모 개인정보를 보유한 기업에 대한 안전성 평가가 주로 기업의 자체 보고에 의존하는 구조 역시 문제로 꼽힌다. 정부는 뒤늦게 민관합동조사단을 구성해 사고 원인 조사와 재발 방지 대책 마련에 착수했다. 과학기술정보통신부 관계자는 “사고 경위와 내부 통제 체계를 면밀히 살펴 보고 필요한 조치를 강구하겠다”고 밝혔다. 하지만 사고 인지 이전의 예방적 감독이 얼마나 이뤄졌는지에 대한 의문은 여전히 남는다. ◆ 피해 확산 우려…“생활 정보 유출의 위험 더 커” 피해자들은 실질적 위험을 가장 크게 우려하고 있다. 배송지 정보와 주소록이 포함된 만큼 2차 피해 가능성이 높고, 공동현관 비밀번호 등 생활 패턴이 노출됐을 가능성을 걱정하는 목소리도 나왔다. 전문가들은 “신용카드 정보보다 일상 정보가 유출될 경우 오히려 범죄 악용 가능성이 높다”고 지적한다. 이번 사고는 2011년 싸이월드·네이트 정보 유출과 규모는 비슷하지만, 내부 직원의 개입 가능성이 제기된 만큼 관리 책임은 더 무겁다는 분석도 있다. 기업 내부 관리 체계를 점검할 필요성이 크다는 것이다. ◆ 제도 개선 필요성…“대형 플랫폼은 사실상 공공 인프라 수준 규제가 필요” 업계 일각에서는 이번 사태를 계기로 전자상거래 플랫폼을 단순 민간 기업이 아닌 사실상 국가 기반 인프라 수준으로 분류해 보다 강력한 규제를 적용해야 한다는 목소리가 커지고 있다. 대형 플랫폼이 보유한 정보의 규모와 영향력을 고려하면 기존의 ‘자율 규제 중심’ 모델로는 보안 사고를 예방하기 어렵다는 것이다. 한 정보보안 전문가는 “시장 규모와 영향력 측면에서 쿠팡 같은 기업은 전력·통신망과 유사한 성격을 갖고 있다”며 “정부 차원의 상시적 위험 평가와 정기 점검이 필요하다”고 말했다. 전문가들은 쿠팡의 대응뿐 아니라 정부의 감독 체계를 함께 점검하는 종합적 대책이 필요하다고 지적한다. 개인정보 유출 사고가 반복되는 현실을 고려하면, 기술적 개선과 법적 규제 강화가 동시에 이뤄져야 한다는 것이다.
2025-11-30 15:06:23

12 3 4

많이 본 뉴스

영상

Youtube 바로가기

오피니언

[데스크 칼럼] 로비를 금지한 나라, 왜 로비는 더 불투명해졌나

[데스크 칼럼] 로비를 금지한 나라, 왜 로비는 더 불투명해졌나