2025.12.11 목요일
검색
'2차 피해' 검색결과
기간검색
-
~
검색영역
검색어
-
경찰, 쿠팡 압수수색…'3370만명 개인정보 유출' 규명 [이코노믹데일리] 경찰이 쿠팡 강제 수사에 나선다. 회원 3370만명의 개인정보 유출사고가 발생한 지 한 달 만에 본격적인 압수수색에 나서면서 유출 경로와 관리 부실 여부 규명에 속도를 낸다. 9일 서울경찰청 사이버수사과는 이날 오전 송파구 쿠팡 본사에 총경급 수사과장 포함 17명을 투입해 내부 자료 확보에 돌입했다. 경찰은 서버 로그 기록과 접근 이력 등 디지털 증거를 토대로 유출자를 특정하는 동시에 쿠팡 내부 보안 체계 전반을 함께 들여다보고 있는 것으로 알려졌다. 이번 조사는 쿠팡이 지난달 18일 피해 사실을 신고하면서 착수하게 됐다. 당시 쿠팡이 밝힌 피해 규모는 4500여명 수준이었지만 실제 유출 계정은 3370만개까지 불어났다. 쿠팡은 중국 국적의 전직 직원을 유력 용의자로 지목했다. 경찰은 개인정보가 피싱이나 주거침입 등 2차 범죄에 악용됐는지 여부도 실시간으로 확인 중이다. 경찰과 쿠팡 모두 현재까지는 뚜렷한 2차 피해 정황은 확인되지 않았다고 설명했다. 대규모 유출 여파로 이용자 이탈도 본격화했다. 모바일인덱스에 따르면 5일 기준 쿠팡 DAU(일간 활성 이용자 수)는 1617만명으로 집계돼 역대 최대치를 기록한 1일 대비181만명 넘게 줄었다. 경찰은 "압수수색은 사건을 정확히 파악하기 위한 필수적 절차"라며 "확보된 자료를 바탕으로 유출자와 원인 등 전반적 사실관계를 규명할 것"이라고 밝혔다.2025-12-09 13:19:21
-
쿠팡, '정보 노출→유출'로 정정…"사칭 스미싱·피싱 문자 주의" [이코노믹데일리] 쿠팡이 최근 발생한 개인정보 유출과 관련해 정부 요구에 따라 통지 문구를 정정하고, 스미싱·피싱 등 2차 피해 방지를 위해 이용자 주의를 재차 안내했다. 8일 업계에 따르면 쿠팡은 전날 공지문에서 “새로운 유출 사고는 없었다”며 “앞서 11월 29일부터 안내해 드린 개인정보 유출 사고에 대해 사칭, 피싱 등 추가피해 예방을 위한 주의사항을 안내해 드리는 것”이라고 밝혔다. 쿠팡은 사고 인지 직후 관련 기관에 즉시 신고했으며, 현재 과학기술정보통신부·경찰청·개인정보보호위원회·한국인터넷진흥원·금융감독원 등과 공동 조사에 참여 중이다. 쿠팡은 “현재까지 고객의 카드·계좌번호, 비밀번호, 개인통관부호 등 결제·로그인 관련 정보는 유출되지 않았다”며 “경찰청도 전수조사 결과, 쿠팡에서 유출된 정보를 이용한 2차 피해 의심 사례는 현재까지 확인되지 않았다”고 전했다. 해당 공지문은 쿠팡 홈페이지와 함께 개인정보가 유출된 고객 약 3370만명에게 문자 안내를 별도로 발송했다. 개인정보보호위원회는 지난 3일 쿠팡에 ‘노출’로 표기된 기존 통지를 ‘유출’로 수정하고, 실제 유출 항목을 모두 반영해 재통지할 것을 요구했다. 이는 회사가 비정상 접속으로 고객 정보가 외부로 유출된 정황을 확인하고도 통지 제목에 노출이라는 표현을 사용한 점에 대한 지적에 따른 조치다. 쿠팡은 유출된 항목을 고객 이름, 이메일 주소, 배송지 주소록(연락처·주소·공동현관 출입번호 포함), 일부 주문정보라고 설명했다. 쿠팡은 “이번 사고 발생 직후 비정상 접근 경로를 즉시 차단했으며, 내부 모니터링을 한층 더 강화했다”고 강조했다. 이용자 대상 안내도 강화했다. 쿠팡은 “전화나 문자로 애플리케이션 설치를 요구하지 않는다”며 “사칭 메시지를 통한 스미싱·피싱 시도가 있을 수 있으므로 출처가 확인되지 않는 링크는 클릭하지 말고 즉시 삭제할 것을 권고한다”고 말했다. 의심스러운 연락을 받을 경우 112 또는 금융감독원 신고를 안내하고, 금융거래 안심차단 서비스 활용을 제시했다. 또한 공동주택·공동현관 출입번호 등 민감 정보가 주소록에 저장돼 있는 경우 보안을 위해 변경을 권장한다는 안내도 함께 이뤄졌다.2025-12-08 09:29:05
-
쿠팡發 고객정보 유출 사태...당국, 카드업계로 정조준될까 '전전긍긍' [이코노믹데일리] 쿠팡 개인정보 유출 사태로 금융당국에서 소비자경보·현장점검에 돌입한 가운데 쿠팡에 등록된 카드 상품을 운영하는 여신업계로도 피해가 확산될 수 있다는 우려가 커지고 있다. 현재 쿠팡에서는 카드 번호·CVC 등 결제 정보는 유출되지 않았다고 밝혔으나 당국 검사에서 유출이 확인될 시 카드 부정 사용 등 2차 피해 발생 가능성이 높아진다. 8일 업계에 따르면 쿠팡에서 고객 계정 3370만건이 외부로 유출되는 사고가 발생했으며 같은달 G마켓에서도 간편결제 서비스에 등록된 카드로 상품권 결제가 진행됐다는 신고가 접수됐다. 이에 금융감독원은 결제정보 유출로 인한 금융사고 발생 가능성을 확인하기 위해 현장 점검에 들어갔다. 금감원은 점검 중 결제정보 유출 정황 발견 시 현장 검사로 전환할 방침으로 금융사고 발생 위험이 확인되면 제재까지 내려질 수 있다. 이에 쿠팡 등 온라인쇼핑몰에 등록해 결제하는 신용·체크카드를 운영 중인 카드사의 불안감도 커지는 모양세다. 카드사는 쿠팡 관련 혜택을 제공하는 카드를 발급하고 있으며 쿠팡 고객들이 카드 정보를 등록해 결제를 진행하는 만큼 결제정보 유출로 인한 피해 발생 시 민원·피해 방지 조치에 인력·자원 부담이 커질 것으로 보고 있다. 특히 KB국민카드는 지난 2023년부터 상업자표시신용카드(PLCC) '쿠팡 와우 카드'를 주력 상품으로 발급하고 있다. 쿠팡·쿠팡 이츠·쿠팡 플레이 등 쿠팡의 전반적인 서비스에서 할인·적립 혜택을 제공하는 카드로 올해까지 200만장 이상 발급됐다. 이 외에도 신한·롯데·우리카드 등 대부분의 카드사가 쿠팡을 포함한 온라인쇼핑몰 및 쿠팡이츠 결제 혜택을 제공하는 카드를 운영하고 있어 결제정보 유출 시 대응에 나서야 할 전망이다. 업계는 고객 보호를 위해 파트너사 플랫폼 내 인증 절차를 강화하는 등 피해 방지 및 대응 방향을 고민하고 있다. 다만 이번 정보 유출 사고가 기업 외부 파트너사에서 발생했으며 해킹이 아닌 내부 정보 접근이 원인이었다는 점에서 카드사가 개입할 수 있는 여지가 없다는 의견도 나온다. 전자지급 서비스에서 보안 책임은 카드사·쇼핑몰·통신망 등으로 나뉘며 이번 사안은 카드사 내부 시스템이 아닌 쇼핑몰 측의 보안 문제로 발생했다. 이에 카드사는 파트너사에서 발생한 정보유출 사고를 카드사 자체적으로 막을 수는 없어 현재 운영 중인 이상거래탐지(FDS) 시스템으로 비정상 결제 발생 시 차단 조치를 취하는 등 2차 피해 방지를 강화하는 게 최선이라는 입장이다. 쿠팡 정보유출 사고 이후 관련 커뮤니티 등에서 해외 결제 시도·스팸 문자·보이스피싱 등 소비자 피해 의심 제보가 이어지며 고객 불안도 확산됐다. 이번 정보유출 사태가 실제 고객 피해로 이어질 시 카드사는 민원 접수·카드 재발급·사용 내역 조사 등 행정·자원 부담이 커질 수 있다. 현재 금융당국은 소비자보호를 재차 강조하며 관련 규제를 강화하고 있어 카드 부정사용 위험에 대한 주목도는 더욱 높아질 전망이다. 지난 9월 카드업계에서도 롯데카드의 297만명 규모 정보유출 사고가 발생하면서 금감원은 금융사의 보안관리 실태를 지적한 바 있다. 또한 최근 금감원에서 보이스피싱·스미싱으로 인한 카드사 고객 피해도 의무 보상 항목에 포함하는 안건도 검토 중인 것으로 알려졌다. 업계 관계자는 "책임 소재와 관계없이 카드 부정사용 의심 정황이 발견되면 카드사로 민원이 접수된다"며 "민원 대응 및 후속 조치 등 행정 절차로 인한 자원 부담, 실제 피해 발생 시 카드 재발급 조치 및 회원 이탈 등이 발생할 수 있어 카드사 입장에서는 남의 일이 아닌 사안"이라고 말했다.2025-12-08 06:08:00
-
내 쇼핑 내역이 보이스피싱 대본으로… AI 만난 개인정보 유출 '공포' [이코노믹데일리] 국내 최대 이커머스 기업 쿠팡에서 발생한 대규모 개인정보 유출 사태의 파장이 일파만파로 커지고 있다. 유출된 정보에 이름, 주소, 전화번호뿐만 아니라 고객의 ‘구매 이력’까지 포함된 것으로 확인되면서 보안 전문가들은 이것이 범죄자들에게 ‘완성형 사기 재료’를 쥐여준 꼴이라고 경고하고 나섰다. 특히 쿠팡 측이 초기 유출 규모를 축소하고 신고를 지연했다는 정황이 드러나면서 정부의 고강도 제재가 예상된다. ◆ 4500명에서 3000만명으로… 쿠팡의 ‘깜깜이’ 대응 이번 사태에서 가장 비판받는 대목은 쿠팡의 안일한 초동 대처다. 1일 관련 업계와 정부 당국에 따르면 쿠팡은 당초 유출 피해 규모를 수천 건 수준으로 당국에 보고했다. 그러나 정밀 조사 결과 실제 유출된 계정 정보는 3370만건에 달하는 것으로 드러났다. 이는 사실상 쿠팡을 이용하는 국민 대부분이 피해 당사자가 될 수 있는 규모다. 늑장 대응도 도마 위에 올랐다. 현행 개인정보보호법에 따르면 개인정보처리자는 유출 사실을 알게 된 후 72시간 이내에 감독 기구인 개인정보보호위원회(개인정보위)와 피해자에게 알려야 한다. 하지만 쿠팡은 이번 침해 사실을 인지하고도 열흘 가까이 지난 시점에야 피해 규모를 수정하고 이용자 통지에 나선 것으로 알려졌다. 보안 업계의 한 관계자는 “초기에 ‘단순 접근 시도’ 정도로 사태를 과소평가했거나 내부적으로 피해 규모조차 제대로 파악하지 못하고 있었던 것으로 보인다”며 “4500명과 3000만명은 천지 차이로 이는 기업의 보안 관제 시스템이 사실상 ‘먹통’이었다는 방증”이라고 강하게 꼬집었다. ◆ ‘구매 이력’ 유출이 왜 위험한가 이번 유출이 기존의 단순 개인정보 유출과 차원이 다른 이유는 바로 ‘구매 이력’ 때문이다. 일반인들이 쉽게 이해할 수 있도록 예를 들어보자. 과거의 보이스피싱이 “서울지검입니다. 귀하의 통장이 범죄에 연루되었습니다”와 같이 불특정 다수에게 그물을 던지는 방식이었다면 구매 이력을 손에 쥔 사기꾼은 ‘작살 낚시(Spear Phishing)’처럼 특정인을 정밀 타격할 수 있다. [범죄 시나리오 예시] > 사기꾼: “안녕하세요, 배송 기사입니다. 어제 주문하신 ‘LG 로봇청소기 R5’ 배송지인 ‘서초동 101동’에 도착했는데 공동현관 비밀번호가 맞지 않아 연락드렸습니다.” 피해자 입장에서는 내가 실제로 어제 주문한 상품명과 우리 집 주소를 정확히 알고 있는 상대방을 의심하기란 불가능에 가깝다. 이때 범죄자가 “확인을 위해 앱 설치가 필요하다”며 링크를 보내거나 “결제 오류로 환불해 줄 테니 계좌번호를 불러달라”고 요구하면 속수무책으로 당할 수밖에 없다. 보안 업체 에스투더블유(S2W) 관계자는 “다크웹 등에서 거래되는 정보 중 ‘쇼핑 데이터’는 범죄 성공률을 비약적으로 높여주기 때문에 가장 비싸게 팔린다”며 “정확한 물건 이름과 배송 시점을 아는 사기꾼은 더 이상 사기꾼처럼 보이지 않는다”고 설명했다. ◆ “정부, 2차 피해 막아라”… 다크웹 감시·합동 조사 착수 사태의 심각성을 인지한 정부는 즉각 대응에 나섰다. 과학기술정보통신부와 개인정보위, 경찰청 등으로 구성된 민관합동조사단은 쿠팡 본사에 대한 현장 조사에 착수했다. 조사단은 해커가 로그인 없이도 정보에 접근할 수 있었던 ‘인증 시스템 취약점’을 쿠팡이 방치했는지 그리고 유출 통지가 지연된 구체적인 경위를 집중적으로 파악하고 있다. 특히 정부는 유출된 정보가 ‘다크웹(Dark Web)’ 등 음지에서 거래되며 2차 피해를 낳을 가능성을 차단하기 위해 3개월간 집중 모니터링을 실시하기로 했다. 경찰 관계자는 “외부 해킹뿐만 아니라 내부 조력자가 있었을 가능성까지 열어두고 수사 중”이라며 “유출된 정보를 악용한 스미싱 문자나 사칭 전화를 발견하면 즉시 118 센터나 경찰에 신고해달라”고 당부했다. ◆ 전문가 “모르는 번호의 ‘배송·환불’ 연락, 일단 끊어야” 전문가들은 이번 유출이 인공지능(AI) 기술과 결합해 더욱 교묘해질 수 있다고 경고한다. 생성형 AI가 유출된 구매 데이터를 학습해 개인별 맞춤형 사기 대본을 1초 만에 만들어낼 수 있기 때문이다. 보안 전문가는 “쿠팡 고객센터나 배송 기사를 사칭한 연락이 왔을 때 상대방이 내 주문 내역을 정확히 알고 있다고 해서 맹신해선 안 된다”고 강조했다. 이어 “문자 메시지에 포함된 인터넷 주소(URL)는 절대 누르지 말고 배송이나 환불 문제가 생기면 반드시 쿠팡 공식 앱을 열어 직접 확인하는 습관을 들여야 한다”고 조언했다.2025-12-04 06:00:00
-
쿠팡 이어 G마켓도 뚫렸다…60여명 무단결제 사고 발생 [이코노믹데일리] 이커머스 플랫폼에서 보안 사고가 잇따라 발생하고 있다. 쿠팡의 개인정보 유출 사태가 확산되는 가운데 G마켓에서 이용자들이 자신도 모르는 사이 결제가 이뤄졌다는 신고가 금융감독원에 접수된 것으로 확인됐다. 3일 유통업계에 따르면 지난달 29일 G마켓의 간편결제 서비스인 스마일페이에 등록된 카드로 상품권 결제가 진행됐다는 내용의 신고가 60여건 접수됐다. 이번 사고로 발생한 개인별 피해 금액은 20만원 금액 이하 수준으로 파악됐으며, 상품권 구매 방식이라는 공통점이 확인된 상태다. 금융당국은 신고 내용을 토대로 결제 경위, 인증 절차 적정성, 외부 침입 가능성 등을 점검하고 있으며, G마켓 측에도 관련 자료 제출을 요청한 것으로 알려졌다. G마켓은 전날 공지 게시글을 통해 “타사의 개인정보 보안 사고로 도용·피싱 등 2차 피해 위험이 커지고 있다”며 로그인 비밀번호 변경 등을 권고했다. 기프트 상품권 등 환금성 상품을 구매할 때 본인 확인 절차도 강화했다.2025-12-03 17:25:57
-
쿠팡, 개인정보 유출...시간 갈수록 소비자 불안 확산 [이코노믹데일리] 쿠팡의 개인정보 유출 사태가 닷새째 이어지며 소비자 불안이 확산하고 있다. 3일 관련업계에 따르면 쿠팡은 이름·주소·전화번호 등 기본 정보 외 로그인 정보와 결제 정보는 유출되지 않았다고 밝혔지만, 온라인에서는 해외 로그인 시도·비정상 기기 접근·해외 결제 승인 알림을 받았다는 사례가 계속 신고되고 있다. 쿠팡 사태 이후 스미싱 문자·스팸 전화가 급증했다는 피해 제보도 늘고 있으며, 일부 쿠팡 계정이 중국 온라인 플랫폼에서 판매되고 있다는 주장도 나온다. 탈퇴 움직임도 빠르게 확산해 복잡한 탈퇴 절차에 대한 불만이 증가했으며, 집단 소송에 참여하는 네이버 카페만 30여개, 회원 수는 50만명을 넘어섰다. 실제로 이용자들이 쿠팡을 상대로 제기한 손해배상 소송도 시작됐다. 쿠팡은 “결제·로그인 정보는 보호되고 있다”는 입장을 유지하지만, 유출 건수가 처음 공개한 4,500건에서 전체 활성 고객 수를 넘어서는 3,370만 건으로 급증한 점은 추가 유출 가능성에 대한 의구심을 키운다. 특히 초기에 유출 정보 목록에서 빠졌던 ‘공동현관 비밀번호’가 뒤늦게 유출된 사실이 알려져 소비자 신뢰가 더 흔들렸다. 개인통관고유부호를 재발급받으려는 수요가 몰리며 관련 사이트 접속이 지연되는 현상도 발생했다. 보안 전문가들은 “최악의 상황을 대비해 대응해야 한다”며 고객 비밀번호 변경, 2단계 인증 강화 등 적극적인 안내가 부족하다고 지적했다. 반면 쿠팡은 고객 공지 문자에 링크를 삽입하는 등 스미싱 위험을 경시한 태도로 비판을 받았다. 정부는 내년 2월까지 개인정보 불법 유통 모니터링을 강화하겠다고 밝혔고, 개인정보보호위원회와 방송통신위원회 등도 쿠팡에 대해 2차 피해 방지 조치를 요구하고 스미싱 주의를 당부했다. 한편 이커머스 업계 전반에도 여파가 미치고 있다. G마켓에서는 최근 유출된 타사 로그인 정보를 이용한 것으로 보이는 무단 결제가 발생해 금융감독원이 긴급 현장 점검에 착수했다. 유통 업계에서 전자상거래 비중이 커진 상황에서 보안 수준과 책임 범위를 둘러싼 논의가 불가피해졌다는 분석이 나온다.2025-12-03 16:36:21
-
개인정보위 "쿠팡, '노출' 아닌 '유출'로 정정해 다시 알려라"… 행정지도 착수 [이코노믹데일리] 사상 최대 규모인 3370만명의 개인정보 유출 사고를 일으킨 쿠팡이 사태 초기 피해 사실을 '유출'이 아닌 '노출'로 축소 통지한 것에 대해 정부가 시정을 권고했다. 또한 정부는 이번 사태를 계기로 기업의 책임을 강화하기 위해 징벌적 손해배상제도를 현실화하고 무용론이 제기된 정보보호 인증 체계(ISMS-P)를 전면 개편하기로 했다. 개인정보보호위원회(이하 개인정보위)는 3일 긴급 전체회의를 열고 쿠팡에 개인정보 '노출' 통지를 '유출'로 정정하고 누락된 피해 항목을 포함해 이용자에게 재통지할 것을 권고했다고 밝혔다. 개인정보위 조사 결과 쿠팡은 지난달 18일 비정상적 접속으로 고객 정보가 외부로 빠져나간 사실을 확인했음에도 피해자들에게 보낸 문자메시지와 홈페이지 공지에는 '개인정보 노출'이라는 표현을 사용했다. 법적으로 '노출'은 정보가 누구나 볼 수 있는 상태를 '유출'은 통제권을 상실해 권한 없는 자에게 넘어간 상태를 뜻한다. 업계에서는 쿠팡이 집단소송이나 징벌적 배상 리스크를 줄이기 위해 의도적으로 표현을 순화한 것 아니냐는 비판이 제기돼 왔다. 이에 개인정보위는 이용자의 혼선을 막기 위해 용어를 '유출'로 명확히 수정하고 공동현관 비밀번호 등 당초 공지에서 빠진 항목까지 포함해 다시 알리도록 했다. 또한 홈페이지 초기 화면이나 팝업창에 피해 사실을 일정 기간 이상 게시하고 2차 피해 방지를 위한 전담 대응팀(Help Desk)을 확대 운영할 것을 주문했다. 송경희 개인정보위 위원장은 이날 국회 정무위원회 전체회의에 출석해 "과징금을 강화하고 징벌적 손해배상제도의 실효성을 강구할 수 있는 방안을 찾겠습니다"라고 밝혔다. 이는 전날 이재명 대통령이 "피해 규모가 3400만 건으로 방대한데도 사건이 발생하고 회사가 유출 자체를 파악하지 못했다는 게 참으로 놀랍다"며 관계 부처에 실효적인 대책 마련을 지시한 데 따른 후속 조치다. 송 위원장은 "3370만명의 개인정보가 유출됐고 이름, 이메일 주소, 배송지 정보, 주문정보 등이 유출된 것으로 확인됐다"며 "배송지 주소에는 회원뿐 아니라 가족, 지인, 받는 사람 주소와 일부 공동현관 비밀번호가 포함됐다"고 설명했다. 이어 "사업자가 개인정보 보호에 인적·물적 투자를 하도록 효과적인 유인체계를 만들겠다"고 강조했다. 정부는 이번 사고를 계기로 유명무실하다는 지적을 받아온 '정보보호 및 개인정보보호 관리체계 인증(ISMS-P)' 제도도 대대적으로 손질한다. 쿠팡은 ISMS-P 인증을 유지하고 있었음에도 이번 사고를 막지 못했다. 실제로 2020년 이후 ISMS-P 인증 기업에서 발생한 개인정보 유출 사고는 34건에 달한다. 정부는 향후 인증 심사를 기존 서류 중심에서 '모의 해킹'을 포함한 현장 심사 위주로 전환하고 중대 결함 발견 시 인증을 즉시 취소하는 ‘원스트라이크 아웃’ 제도를 도입할 방침이다. 김승주 고려대 정보보호대학원 교수는 “(정부가) ISMS-P를 현실화시키면서 모의 해킹 위주로 검토하는 것 같다”면서 “ISMS-P 평가자들이 있는데 우선 평가자들을 모아놓고 현장의 (여러) 의견을 들어봐야 한다”고 조언했다. 개인정보위 관계자는 "쿠팡이 개선 권고를 따를지 아니면 그렇지 않을지를 보면 (쿠팡이) 국내 소비자를 어떤 식으로 바라보는지 알 수 있을 것"이라며 "개인정보위로서는 우선 쿠팡에 ‘경고’를 한 셈인데 이번 개선 권고를 이행하지 않으면 나중에 실제 제재 때 영향을 줄 수 있다"고 밝혔다. 한편 쿠팡은 지난달 20일 4536개 계정 유출로 1차 신고를 했으나 이후 정밀 조사 과정에서 피해 규모가 3370만 개로 늘어나 지난달 29일 2차 신고를 접수했다. 현재 민관합동조사단이 정확한 유출 경위와 쿠팡의 보안 조치 위반 여부를 조사 중이다.2025-12-03 15:49:43
-
3370만명 개인정보 노출…쿠팡·정부 모두 '감독 공백' 드러났다 [이코노믹데일리] 국내 최대 전자상거래 기업인 쿠팡에서 3370만명에 달하는 고객 개인정보가 외부로 노출된 사실이 확인되면서, 기업의 보안 체계뿐 아니라 정부의 관리·감독 시스템 전반이 다시 도마 위에 올랐다. 정보 유출 시점이 지난 6월로 추정되는데도 5개월 동안 사고 징후가 포착되지 않았다는 점에서, 이번 사태는 단순한 보안 사고를 넘어 전자상거래 생태계 전반의 구조적 문제를 드러냈다는 평가가 나온다. 30일 법조계에 따르면 서울경찰청 사이버수사대는 지난 25일 쿠팡이 제출한 고소장을 접수해 수사에 착수했다. 쿠팡은 처음 4500개 계정의 정보가 노출된 것으로 파악했으나, 추가 조사에서 총 3370만개 계정이 무단 접근된 사실을 뒤늦게 확인했다. 이름, 이메일 주소, 배송지 주소록 등 일상생활과 밀접한 정보가 포함돼 피해 규모는 훨씬 더 클 수 있다는 지적이 제기된다. ◆ 기업의 ‘사고 인지’ 실패가 핵심 법조계에서는 쿠팡이 개인정보보호법상 안전조치 의무를 적절히 이행했는지 여부가 가장 중요한 쟁점이라고 본다. 개인정보보호법은 기업이 개인정보 침해 사고를 예방할 수 있도록 기술적·관리적 조치를 취해야 한다고 규정하고 있다. 특히 대규모 플랫폼 사업자는 침해사고 심각도에 따라 주기적인 위험 분석과 모니터링 체계 구축이 필수적이다. 그러나 유출이 수개월간 이어진 것으로 의심되는 이번 사고는 기본적인 침해 탐지 시스템이 정상적으로 작동하지 않았다는 점을 보여준다. 한 정보보호 전문가는 “이 정도 규모의 기업이라면 비정상적 접근을 즉시 탐지하는 것이 기본인데, 장기간 이상 징후를 발견하지 못했다는 것은 관리적 통제가 사실상 부재했다는 의미”라고 말했다. 또한 정보통신망법은 침해 사고 인지 시 지체 없이 신고하도록 규정하고 있다. 쿠팡은 “지난 18일 침해 사실을 처음 인지했다”고 밝혔지만, 실제 유출 시점과의 괴리가 커 개선 필요성이 제기된다. ◆ 정부 감독도 ‘사후 대응’에 치우쳐 이번 사태는 정부의 감독 체계에도 질문을 던진다. 전자상거래 시장이 급속히 확대됐음에도, 주요 플랫폼 기업을 대상으로 한 정기 점검이나 위험 기반 검사 시스템이 충분하지 않다는 지적이 꾸준히 제기돼 왔다. 대규모 개인정보를 보유한 기업에 대한 안전성 평가가 주로 기업의 자체 보고에 의존하는 구조 역시 문제로 꼽힌다. 정부는 뒤늦게 민관합동조사단을 구성해 사고 원인 조사와 재발 방지 대책 마련에 착수했다. 과학기술정보통신부 관계자는 “사고 경위와 내부 통제 체계를 면밀히 살펴 보고 필요한 조치를 강구하겠다”고 밝혔다. 하지만 사고 인지 이전의 예방적 감독이 얼마나 이뤄졌는지에 대한 의문은 여전히 남는다. ◆ 피해 확산 우려…“생활 정보 유출의 위험 더 커” 피해자들은 실질적 위험을 가장 크게 우려하고 있다. 배송지 정보와 주소록이 포함된 만큼 2차 피해 가능성이 높고, 공동현관 비밀번호 등 생활 패턴이 노출됐을 가능성을 걱정하는 목소리도 나왔다. 전문가들은 “신용카드 정보보다 일상 정보가 유출될 경우 오히려 범죄 악용 가능성이 높다”고 지적한다. 이번 사고는 2011년 싸이월드·네이트 정보 유출과 규모는 비슷하지만, 내부 직원의 개입 가능성이 제기된 만큼 관리 책임은 더 무겁다는 분석도 있다. 기업 내부 관리 체계를 점검할 필요성이 크다는 것이다. ◆ 제도 개선 필요성…“대형 플랫폼은 사실상 공공 인프라 수준 규제가 필요” 업계 일각에서는 이번 사태를 계기로 전자상거래 플랫폼을 단순 민간 기업이 아닌 사실상 국가 기반 인프라 수준으로 분류해 보다 강력한 규제를 적용해야 한다는 목소리가 커지고 있다. 대형 플랫폼이 보유한 정보의 규모와 영향력을 고려하면 기존의 ‘자율 규제 중심’ 모델로는 보안 사고를 예방하기 어렵다는 것이다. 한 정보보안 전문가는 “시장 규모와 영향력 측면에서 쿠팡 같은 기업은 전력·통신망과 유사한 성격을 갖고 있다”며 “정부 차원의 상시적 위험 평가와 정기 점검이 필요하다”고 말했다. 전문가들은 쿠팡의 대응뿐 아니라 정부의 감독 체계를 함께 점검하는 종합적 대책이 필요하다고 지적한다. 개인정보 유출 사고가 반복되는 현실을 고려하면, 기술적 개선과 법적 규제 강화가 동시에 이뤄져야 한다는 것이다.2025-11-30 15:06:23
-
쿠팡, 3370만명 개인정보 유출 확인…정부, 30일부터 민관합동조사단 가동 [이코노믹데일리] 국내 최대 이커머스 기업 쿠팡에서 3370만건에 달하는 개인정보 유출 사고가 발생했다. 당초 알려진 4500여 건에서 무려 7500배 가까이 늘어난 수치로 사실상 쿠팡을 이용한 적이 있는 거의 모든 국민의 정보가 털린 '역대급 보안 참사'다. 정부는 사안의 중대성을 고려해 즉각 민관합동조사단을 꾸리고 고강도 조사에 착수했다. 쿠팡은 29일 공식 발표를 통해 "고객 3370만명의 이름, 이메일, 배송지 주소, 전화번호 등이 포함된 개인정보가 유출된 사실을 확인했다"고 밝혔다. 이는 쿠팡의 지난 3분기 활성 고객 수(2470만명)를 훌쩍 뛰어넘는 규모로 현재 이용 중인 고객뿐만 아니라 휴면 계정이나 탈퇴한 회원의 정보까지 광범위하게 유출된 것으로 추정된다. 이번 사태는 지난 19일 쿠팡이 최초로 당국에 신고했을 당시 4536개 계정 유출로 파악됐던 것과는 차원이 다른 규모다. 조사 결과 해커들은 지난 6월 24일부터 해외 서버를 우회해 쿠팡 내부망에 침투, 장기간에 걸쳐 데이터를 빼돌린 것으로 드러났다. 다행히 결제 정보나 비밀번호 등 민감 정보는 유출되지 않은 것으로 파악됐으나 배송지 주소와 연락처 등 실생활과 밀접한 정보가 대거 유출돼 2차 피해 우려가 커지고 있다. 정부는 비상 대응 체계에 돌입했다. 과학기술정보통신부와 개인정보보호위원회는 오는 30일부터 민관합동조사단을 구성해 본격적인 사고 원인 분석과 기술적 취약점 점검에 나선다. 개인정보위는 쿠팡의 안전조치 의무 위반 여부를 집중적으로 들여다보고 있으며 위반 사항이 확인될 경우 관련 법령에 따라 엄정하게 제재할 방침이다. 쿠팡 측은 "무단 접근 경로를 즉시 차단하고 내부 모니터링을 대폭 강화했다"며 "이번 일로 발생한 모든 우려에 대해 진심으로 사과드리며 수사기관 및 규제 당국과 협력해 사태 수습에 만전을 기하겠다"고 고개를 숙였다. 하지만 진짜 문제는 이제부터다. 유출된 정보를 악용한 스미싱(문자 결제 사기)과 보이스피싱 시도가 급증할 것으로 예상되기 때문이다. 과기정통부는 해커들이 '피해 보상', '환불 안내', '유출 사실 조회' 등의 키워드를 미끼로 가짜 사이트 접속을 유도하거나 악성 앱 설치를 권유할 가능성이 매우 높다고 경고했다. 정부 관계자는 "출처가 불분명한 문자 메시지의 URL(인터넷 주소)은 절대 클릭하지 말고 즉시 삭제해야 한다"며 "한국인터넷진흥원(KISA)이 운영하는 '보호나라' 카카오톡 채널의 '스미싱 확인 서비스'를 활용해 악성 여부를 판별하는 것이 좋다"고 당부했다. 만약 악성 앱을 설치했다면 즉시 모바일 백신으로 삭제하고 해당 폰으로 금융 서비스를 이용했을 경우 공인인증서 등을 폐기·재발급받아야 한다. 이번 사고는 기업의 보안 시스템이 뚫렸을 때 그 피해가 얼마나 광범위하게 확산될 수 있는지를 보여주는 사례다. 5개월 가까이 내부망 침입을 인지하지 못한 쿠팡의 보안 관제 능력에 대한 비판과 함께 징벌적 손해배상 등 강력한 책임을 물어야 한다는 여론이 비등해질 것으로 보인다.2025-11-30 00:18:11
-
대형 건설사·공공기관 잇단 산재 보고 위반… 노동부 관리 부실 논란 [이코노믹데일리] 대형 건설사와 중대재해 다발 사업장이 산업재해 보고의무를 위반한 사실이 드러나면서 고용노동부의 관리·감독 부실 논란이 불거졌다. 산업재해 보고 지연이나 은폐는 단순 행정 위반을 넘어 재해자의 요양과 보상을 지연시켜 ‘2차 피해’로 이어질 수 있다는 지적이다. 29일 국회 기후에너지환경노동위원장 안호영 더불어민주당 의원이 고용노동부로부터 제출받은 자료에 따르면, 최근 4년간(2022~2025년 8월) 산업재해 보고의무 위반 적발 건수는 총 2726건으로 집계됐다. 연도별로는 2022년 853건, 2023년 709건, 2024년 779건, 2025년 8월까지 385건으로, 매년 700건 이상이 꾸준히 발생한 셈이다. 업종별로는 제조업이 1130건(41.4%)으로 가장 많았고, 건설업이 940건(34.4%)으로 뒤를 이었다. 특히 중대재해가 발생한 사업장의 보고의무 위반은 2022년 44건에서 2024년 63건으로 1.4배 늘었으며, 이 가운데 58건이 건설업에서 발생했다. 이 중 50건(86.2%)은 하청업체의 위반으로, 원청 관리 부실이 드러난 사례로 지적됐다. 시공능력평가 상위 10대 건설사 중에서도 다수의 위반 사례가 포함됐다. DL이앤씨(2025년 1건), GS건설(2025년 1건), 에스케이에코플랜트(2024년 1건), 롯데건설(2022년 1건) 등이 보고의무를 지키지 않은 것으로 나타났다. 중대재해가 잦은 공공기관의 위반도 급증했다. 중대재해 다발 사업장의 산재 보고 위반은 2022년 2건에서 2024년 19건으로 9.5배 늘었다. 특히 한국철도공사는 2024년에만 14건이 적발돼 공공기관의 안전관리 실태에도 심각한 허점이 드러났다. 이는 단순 미신고가 아닌, 반복적 지연신고와 은폐 정황이 포착된 사례다. 안호영 의원은 “산재 은폐와 보고 지연은 행정 과실이 아니라 노동자의 생존권을 훼손하는 중대한 범죄행위”라며 “대형 건설사와 공공기관까지 위반에 포함된 만큼 고용노동부는 관리 체계를 전면 재점검하고 제도 개선에 나서야 한다”고 강조했다.2025-10-29 07:56:04
-
보안기업 SK쉴더스의 '어이없는 실수'…120개 고객사 보안 뚫렸다 [이코노믹데일리] 대한민국 대표 보안기업인 SK쉴더스가 해커를 유인하기 위해 설치한 시스템의 어이없는 운영 실수로 해킹당해 120개 민간기업과 다수 공공기관의 정보가 유출된 것으로 정부 조사 결과 확인됐다. 보안을 책임지는 기업의 핵심 정보가 유출되면서 해당 고객사들의 보안 시스템을 노린 2차 피해 우려가 커지고 있다. 27일 국회 과학기술정보방송통신위원회 소속 최수진 의원(국민의힘)은 과학기술정보통신부의 SK쉴더스 조사 최신 현황 자료를 공개했다. SK쉴더스는 임직원 7000여 명, 연 매출 2조원에 달하는 국내 최대 보안기업 중 하나로 1200여 개에 달하는 공공·금융·민간 기업의 보안을 책임지고 있다. 그러나 이번 해킹은 기본적인 보안 관리 부실에서 비롯됐다. SK쉴더스는 해커 유인 시스템인 ‘허니팟’을 운영하면서 해당 시스템에 직원 2명의 개인 이메일이 자동 로그인되도록 설정해두는 실수를 저질렀다. 해커는 이 허점을 파고들어 직원 메일에 저장돼 있던 고객사 관련 정보를 탈취해 다크웹에 유출했다. 과기정통부 조사 결과 해커가 탈취했다고 주장한 24GB에는 못 미치지만 실제 15.1GB의 자료가 유출된 것으로 확인됐다. 유출된 자료에는 SK텔레콤과 15개 금융기관을 포함한 민간기업 120곳의 정보가 담겨 있었다. 일부 공공기관 자료도 함께 포함된 것으로 파악됐다. 문제는 유출된 정보의 민감도다. 최수진 의원에 따르면 유출된 자료에는 SK텔레콤의 솔루션 검증 자료, 고객사의 보안관제시스템 구축 자료는 물론 시범 적용 테스트 결과까지 포함돼 있었다. 이는 고객사 보안 시스템의 구조와 허점을 고스란히 노출한 것으로 해커가 이를 악용할 경우 심각한 2차 피해로 이어질 수 있다. SK쉴더스는 이달 18일에야 이 사실을 한국인터넷진흥원(KISA)에 신고했으며 현재 과기정통부와 함께 현장 조사가 진행 중이다. 최수진 의원은 "금융·공공기관의 보안관제시스템 자료들이 누출된 만큼 추가 피해를 막기 위한 대응이 시급하다"고 강력히 촉구했다.2025-10-27 11:57:39
-
SK쉴더스, 보안회사가 뚫렸다…'셀프조사' 고집하다 2차 피해 우려 키워 [이코노믹데일리] 국내 대표 보안기업 SK쉴더스가 해커로부터 두 차례나 침입 경고를 받고도 일주일 넘게 해킹 사실조차 인지하지 못한 것으로 드러났다. 심지어 다크웹에 내부 자료가 공개된 뒤에야 사태를 파악하고 정부에 늑장 신고했으며 이마저도 후속 기술 지원을 모두 거부한 것으로 확인돼 보안 기업으로서의 자격과 신뢰에 심각한 의문이 제기되고 있다. 20일 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 SK쉴더스는 지난 10일과 13일 해커 조직으로부터 해킹 사실을 알리는 경고성 메일을 연달아 받았다. 하지만 SK쉴더스는 이를 실제 위협으로 판단하지 않고 자체 시스템에 문제가 없다고 오판했다. 결국 SK쉴더스는 17일 다크웹에 자사 관련 정보가 유출된 것을 확인하고 나서야 사태의 심각성을 인지했다. 최초 경고를 받은 지 일주일, 두 번째 경고를 받은 지 나흘이 지난 뒤였다. 늑장 신고는 다음 날인 18일에야 이뤄졌다. 더 큰 문제는 신고 과정에서 드러난 SK쉴더스의 태도다. SK쉴더스는 KISA에 침해사고를 신고하면서 ‘허니팟(해커 유인 시스템) 테스트 중 개인 지메일 자동 로그인 설정으로 발생한 정보 유출’이라고 설명했지만 피해지원과 후속 기술 지원 요청 항목에는 모두 ‘거부’라고 표기했다. 대한민국 사이버 보안의 한 축을 담당하는 기업이 정부의 공식적인 조사와 지원을 스스로 거부한 상식 밖의 대응이다. 이번 사고로 SK쉴더스 기술영업 직원의 지메일 계정 약 24GB가 통째로 해킹당했다. 해당 메일에는 SK텔레콤을 비롯해 금융권, 반도체 기업, 공공기관 등 주요 고객사의 보안 아키텍처, 기술 검토 문서 등 민감한 정보가 다수 포함된 것으로 알려져 2차, 3차 피해 확산 우려가 눈덩이처럼 커지고 있다. 최수진 의원은 “대한민국 대표 보안기업이 해커 경고를 일주일 동안 인지하지 못하고 피해 확산 우려가 큰 상황에서도 기술지원 절차조차 거부한 것은 심각한 문제”라며 “SK쉴더스 해킹으로 통신사, 금융권, 반도체 기업 등에서 2차 피해가 우려된다. 과기부와 KISA는 민간합동조사단을 즉시 구성해 실태 규명 및 후속조치에 나서야 한다”고 강조했다.2025-10-20 13:46:44
-
'KT發 소액결제 공포' 부천·영등포까지 빠르게 확산…'카드 정보 도난' 2차 피해 우려 [이코노믹데일리] 경기도 광명과 서울 금천 지역에 국한된 것으로 보였던 KT 가입자 대상 ‘유령 소액결제’ 피해가 부천, 영등포 등 수도권 다른 지역으로까지 확산되고 있다. 범행 수법이 여전히 오리무중인 가운데, 보안 전문가들은 이번 사태가 단순 소액결제를 넘어 신용카드 정보 도난 등 심각한 2차 피해로 이어질 수 있다고 경고하고 나섰다. 9일 경찰 발표에 따르면, 기존에 피해가 집중됐던 경기 광명시(61건, 3800만원)와 서울 금천구(13건, 780만원) 외에, 경기 부천시에서도 총 5건, 411만원 규모의 유사 피해 신고가 추가로 접수됐다. 피해자들은 지난 1~2일 새벽 시간대 자신도 모르는 사이 모바일 상품권 구매 등으로 수십만 원의 피해를 입었다고 진술했다. 또한 지난달 서울 영등포구에서도 비슷한 사건이 발생해 경찰이 수사를 벌였으나 피의자를 특정하지 못해 종결 처리한 사실도 뒤늦게 확인됐다. 피해가 동시다발적으로 여러 지역에서 발생하고 있다는 정황이 드러나면서 특정 지역의 중계기 해킹 가능성을 넘어 KT 네트워크 전반의 보안 취약점이 공격받았을 수 있다는 우려가 커지고 있다. 사건의 원인을 두고 다양한 추측이 난무하는 가운데 글로벌 사이버 보안 기업 서프샤크의 토마스 스타뮬리스 최고보안책임자(CSO)는 9일 연합뉴스와의 서면 인터뷰에서 “가장 유력한 범죄 원인은 취약한 네트워크 보안”이라고 진단했다. 그는 “사용자의 WIFI 라우터나 KT의 네트워크 장비에 패치되지 않은 취약점이 존재했을 가능성이 높다”며 해커가 이를 통해 사용자의 인터넷 트래픽을 도청하는 ‘스니핑(Sniffing)’ 공격을 감행했을 수 있다고 지적했다. 이 경우 해커는 온라인 결제 과정에서 신용카드 번호, 유효기간, CVV(보안코드)까지 탈취할 수 있어 심각한 2차 피해로 이어질 수 있다. 피해가 소액에 집중된 이유에 대해서는 “큰 금액의 거래는 은행과 사용자가 즉시 인지할 수 있기 때문”이라고 분석했다. 또한 여러 지역에서 동시 다발적으로 피해가 발생한 것은 “해당 지역의 네트워크 장비들이 동일한 보안 취약점을 가지고 있었을 가능성을 의미한다”고 덧붙였다. 사태가 확산되자 시민단체의 목소리도 높아지고 있다. 서울YMCA는 KT와 정부에 △해킹 사실 및 대응 방안의 투명한 안내 △소액결제 차단 기능 일괄 제공 △피해 고객 전담 콜센터 개설 △민관합동조사단 구성 등을 강력히 요구했다. 사건을 수사 중인 경기남부경찰청은 현재 통신사와 결제대행업체 등으로부터 관련 자료를 넘겨받아 범행 경로를 파악하는 데 주력하고 있다. KT 역시 피해 신고 고객에 대한 사전 조치와 함께 상품권 업종의 결제 한도를 일시 축소하는 등 대응에 나섰지만 근본적인 원인이 밝혀지지 않는 한 이용자들의 불안감은 계속될 수밖에 없는 상황이다.2025-09-09 11:42:28
-
롯데카드 해킹사고 발생...금감원, 2차 피해 방지 조사 착수 [이코노믹데일리] 금융감독원이 최근 롯데카드에서 발생한 해킹 사고를 보고받았다는 사실이 뒤늦게 알려졌다. 2일 카드업계에 따르면 롯데카드는 지난달 26일 서버 점검 과정에서 특정 서버의 악성 코드를 확인하고 이후 전체 서버를 대상으로 정밀 조사를 진행했다. 조사 결과 3개 서버에서 2종의 악성 코드와 5종의 웹 셸이 발견돼 즉시 삭제했으며, 이후 같은달 31일 온라인 결제 서버에서 외부 공격자가 자료 유출을 시도한 흔적을 발견하고 이날 금감원에 신고했다. 웹 셸은 해커가 원격으로 웹 서버를 제어할 수 있도록 하는 웹 서버에 특화된 악성 코드다. 롯데카드 관계자는 "자료 유출 시도 흔적을 발견하고 외부 조사 업체를 통해 정밀 조사를 진행했다"며 "현재까지 고객 정보 등 주요 정보의 외부 유출이나 랜섬웨어와 같은 심각한 악성코드 감염은 확인되지 않았다"고 말했다.2025-09-02 09:39:48
-
KISA, 스미싱 99.9% 잡는 '엑스레이' 시스템 가동…피해 원천 차단 [이코노믹데일리] 날로 교묘해지는 스미싱 사기를 원천 차단하기 위해 한국인터넷진흥원(KISA)이 ‘악성문자 엑스레이(X-ray)’ 시스템을 본격 가동한다. 시범 운영 결과 99.9%의 탐지 정확도를 기록한 이 시스템은 악성 URL이 포함된 문자메시지가 이용자에게 도달하기 전에 차단하는 새로운 방어 체계다. 31일 KISA에 따르면 스미싱 탐지 건수는 2022년 약 3만7000 건에서 지난해 50만 건, 올해는 219만 건을 넘어서며 폭발적으로 증가하고 있다. 기존의 공공기관 사칭, 택배, 청첩장 위장 수법을 넘어, 전화를 유도해 악성 앱 설치를 유도하거나 정부 기관을 사칭한 검색 결과로 이용자를 속이는 등 수법도 고도화되는 추세다. ‘엑스레이’ 시스템은 이러한 진화된 스미싱에 대응하기 위한 선제적 조치다. 기업이 대량 문자 발송을 요청하면 문자중계사가 먼저 KISA의 엑스레이 시스템에 URL의 악성 여부 판독을 의뢰한다. KISA가 악성으로 판단하면 문자 발송 자체가 거부되고 정상 문자로 확인될 때만 발송이 이뤄지는 방식이다. 이 과정에서 문자 내용은 수집하지 않고 URL만 분석해 통신 비밀과 개인정보를 보호한다. 시범 운영에 참여한 문자판매사 SMTNT의 김문식 대표는 “URL이 포함된 문자 9000만 건 중 스미싱이 포함된 악성문자를 99.9% 잡아냈다”며 “엑스레이는 URL 악성 여부를 판단하고 발송을 중지해 수신자 피해를 원천적으로 막는다”고 밝혔다. 특히 이 시스템은 단순 차단을 넘어 2차 피해 예방에도 효과적이다. 공격자가 탈취한 계정으로 스미싱 문자를 재유포하려는 시도를 사전에 막아 기업과 이용자를 동시에 보호할 수 있다. 김은성 KISA 스미싱대응팀장은 “최근 스미싱은 악성 앱 설치 후 보이스피싱으로 이어지는 등 피해가 커지고 있다”며 “신규 생성 도메인을 집중 모니터링하는 등 고도화되는 위협에 적극적으로 대응하고 있다”고 설명했다. KISA는 엑스레이 시스템을 통해 적발된 스미싱 유포 시도를 경찰에 수사 의뢰하는 등 관계 기관과의 공조도 강화할 방침이다.2025-08-31 13:34:48
많이 본 뉴스
영상
Youtube 바로가기
![[광고국 칼럼] 26년 미디어 시장의 경고, 변화를 거부하는 언론이 가장 큰 리스크다](https://image.ajunews.com/content/image/2025/12/11/20251211173526637059_518_323.jpg)