검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'개인정보'통합검색 결과 입니다. (222건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

쿠팡, 고객정보 유출 용의자 특정…저장장치도 회수

쿠팡이 3천370만개에 달하는 대규모 개인정보를 유출한 용의자를 특정했다. 회사는 범행에 사용된 장치를 모두 회수했으며, 조사 결과 유출된 고객 정보가 외부로 추가 유출되지 않은 것으로 확인됐다. 다만 정부는 아직 조사 중인 사항으로, 확인되지 않은 쿠팡의 일방적인 주장일뿐이라고 반박했다. 쿠팡은 25일 입장문을 통해 "디지털 지문 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했다"며 "유출자를 행위 일체를 자백하고 고객 정보에 접근하기 위한 방식을 구체적으로 진술했다"고 밝혔다. 또 쿠팡은 고객 정보를 접근 및 탈취하는데 사용된 모든 장치와 하드 드라이브를 검증된 절차에 따라 모두 회수해 안전하게 확보했다고 주장했다. 현재까지 조사 결과 유출자는 탈취한 보안 키를 사용해 3천300만 고객 계정의 기본적인 고객 정보에 접근했고 약 3천개 개정의 고객 정보(이름·이메일·전화번호·주소·일부 주문 정보)만 실제 저장했다. 또 여기에 포함된 공동현관 출입번호는 2천609개로, 사태에 대한 언론 보도를 접한 후 저장했던 정보를 모두 삭제했다. 아울러, 고객 정보 중 제3자에 전송된 데이터는 일체 없는 것으로 파악됐다. 쿠팡에 따르면 유출자는 재직 중 취득한 내부 보안 키를 탈취해 고객 개인정보를에 접근했다고 진술했다. 데이터 로그 및 포렌식 조사를 통해 해당 접근은 탈취된 내부 보안 키를 이용했으며 접근된 데이터의 유형도 유출자가 진술될 범위에 한정됐음을 확인했다. 특히 결제 정보, 로그인 관련 정보, 개인통관번호에 대한 접근은 없었다고 설명했다. 유출자를 개인용 데스크톱 PC와 맥북 에어 노트북을 사용해 공격을 시도했고 접근한 정보 중 일부를 해당 기기에 저장했다. 유출자는 해당 데스크톱 PC와 PC에 사용된 4개의 하드 드라이브를 제출했으며 분석 결과 이들 저장장치에서 공격에 사용된 스크립트가 발견됐다. 이번 범행은 유출차 단독으로 저지른 것으로 약 3천개의 고객 정보가 개인 외부로 전송된 적은 없는 것으로 조사됐다. 회사는 "정부 조사에 적극 협조할 것이며 2차 피해를 예방하는데 최선을 다하겠다"며 "이번 사태를 계기로 재발 방지를 위한 모든 방안을 강구할 것"이라고 약속했다. 이번 쿠팡 발표와 관련, 과학기술정보통신부는 민관합동조사단에서 조사 중인 사항을 쿠팡이 일방적으로 대외에 알린 것에 대해 쿠팡에 강력히 항의했다고 밝혔다. 과기정통부는 "현재 민관합동조사단에서 정보유출 종류 및 규모, 유출경위 등에 대해 면밀히 조사 중에 있는 사항"이라면서 "쿠팡이 주장하는 사항은 민관합동조사단에 의해 확인되지 않았다"고 덧붙였다.

2025.12.25 16:25박서린

[속보] 쿠팡 "개인정보 유출자 특정…외부 전송 등 추가 유출 없어"

지난달 대규모 개인정보 유출 사태를 일으킨 쿠팡이 유출자를 특정했다고 25일 밝혔다. 이를 통해 고객 정보 유출에 사용된 모두 장치를 회수했음을 확인했으며 외부 전송 등 추가 유출 사실이 없다고 강조했다.

2025.12.25 15:54박서린

KT알파 기프티쇼, 계정 도용 사고..."외부서 수집된 정보로 결제 진행"

KT알파가 운영하는 모바일 상품권 서비스 기프티쇼에서 계정 도용을 통해 상품권이 무단 결제되는 사고가 발생했다. 회사 측은 내부 시스템에서 개인정보가 유출된 정황은 발견되지 않았다며, 고객 피해 금액 전액을 취소하는 선제적 보상 조치를 완료했다고 밝혔다. 25일 KT알파에 따르면 지난 14일 기프티쇼에서 시스템 해킹이 아닌, 외부에서 불법 수집된 타인의 개인정보를 이용해 로그인을 시도한 뒤 결제를 진행하는 계정 도용 사고가 발생했다. 회사 측은 사고를 인지한 즉시 해당 결제 건을 전액 취소 처리하고 관계 기관에 신고했다. 또한 부정 로그인 차단과 보안 모니터링 강화 등 긴급 보안 조치도 병행했다. KT알파는 이번 사고를 계기로 근본적인 재발 방지를 위한 전사적 대응 체계를 구축하고 있다고 설명했다. 주요 방안으로는 ▲결제 인증 절차 강화 ▲이상 거래 탐지 체계 고도화 ▲고객 대상 보안 안내 확대 등이 포함된다. 회사 관계자는 “고객 보호를 최우선으로 판단해 선제적 환불 조치를 시행했다”며 “현재 관계 기관과 긴밀히 공조해 사고 원인을 면밀히 규명하고 있으며, 재발 방지 대책 마련에 최선을 다하고 있다”고 말했다. 이어 “최근 대형 이커머스 플랫폼을 겨냥한 계정 도용 등 사이버 공격이 빈번해지는 만큼, 이번 사안을 매우 엄중하게 인식하고 있다”며 “사고 예방과 신속한 대응을 위해 보안 체계 구축에 만전을 기할 것”이라고 덧붙였다. KT알파는 고객들에게도 보안 수칙 준수를 당부했다. 외부 사이트에서 유출된 정보가 악용되는 것을 막기 위해 사이트별로 서로 다른 비밀번호를 설정하고, 이를 주기적으로 변경하는 등 개인 보안 관리에 주의를 기울여 줄 것을 권고했다.

2025.12.25 12:27안희정

코너 몰린 쿠팡...과징금이냐 영업정지냐

대규모 개인정보 유출에도 진정성 있는 사과가 빠져 괘씸죄까지 더해진 쿠팡에 대한 여론이 갈수록 악화되는 분위기다. 이에 정부는 영업정지 가능성까지 거론했는데, 현실 가능성과 최종 제재 수위에 관심이 쏠린다. 24일 법조계에 따르면 특별검사팀은 전날부터 이틀 연속으로 쿠팡 본사와 쿠팡풀필먼트서비스(CFS) 사무실을 압수수색해 퇴직금 금품 지급 관련 자료를 찾았다. 전날에는 강남에 위치한 '쿠팡 비밀사무실'에 대한 수사도 진행했다. 이틀 전에는 국세청 조사4국과 국제거래조사국이 이례적으로 150여 명에 달하는 대규모 인력을 파견해 특별 세무조사를 펼쳤다. 경찰도 일주일간 쿠팡 본사를 방문해 압수수색을 이어갔다. 여기에 정부는 과학기술정보통신부, 금융위원회, 국가정보원 등 10개 부처가 참여하는 '쿠팡 사태 범부처 TF'를 출범시키고 첫 회의를 열기도 했다. 쿠팡에 고강도 수사가 집중된 배경에는 지난달 발생한 대규모 개인정보 유출 사건 탓이 제일 크다. 맨 처음 쿠팡은 4천500개 계정의 개인정보가 유출됐다고 밝혔으나 자체 조사 결과 3천370만개 계정의 개인정보가 유출된 것으로 드러났다. 이 때 유출되지 않았다고 언급한 공동현관 비밀번호가 현안질의에서 일부 유출된 것으로 나타났다. 쿠팡 이용자 대다수의 개인정보가 털린 상황에서 회사가 책임감 있는 자체 조사와 후속 조치를 내놓지 못하자 배경훈 부총리까지 나서 '영업정지'를 거론하면서, 현실화 가능성에 다양한 의견과 전망이 나오기도 했다. 이에 실질적인 영업정지 처분에 대한 결론은 근 시일 내 나오기는 어렵다는 것이 공정거래위원회(이하 공정위) 입장이다. 공정위가 영업정지 처분을 내리려면 4개 요건이 충족돼야 하는데, 우선 민관합동조사단의 조사 결과부터 나와야 한다. 공정위 관계자는 “영업정지에 대한 요건이 많으니 이걸(민관합동조사단과 공정위 현장조사) 종합적으로 검토해야 한다”고 말했다. 문제는 현재 민관합동조사단은 KT와 LG유플러스, 쿠팡 세 가지 사건을 함께 조사하고 있다는 점이다. 먼저 발생한 통신사 해킹에 대한 조사 결과를 발표해야 해당 인력들이 쿠팡 사건에 투입될 수 있어 조사 속도가 더딜 수밖에 없는 상황이다. 민관합동조사단의 인력은 총 50명 수준으로, 현재 KT와 LG유플러스에 각각 30명·12명이, 쿠팡에 8명이 투입된 것으로 알려졌다. 배경훈 부총리가 KT 조사 결과를 연내 발표하겠다고 말했지만, 올해 남은 7일의 시간에 주말과 성탄절이 끼어있어 연내 추가 조사 인력 투입이 쉽지 않다는 결론이 나온다. 공정위는 조사 결과를 토대로 계정 도용으로 인한 재산상의 손해가 발생했거나 발생할 우려가 있는지, 사업자가 피해 회복 조치를 취하지 않았는지를 검토한 후 시정 조치할 수 있다. 만약 시정 조치만으로 소비자의 피해보상이 어렵다고 판단되면 이 때 공정위가 영업정지 처분을 내릴 수 있다. 이 과정에서 공정위는 유출된 계정 정보의 도용과 재산상의 피해 여부를 유심히 들여다본다는 계획이다. 참고로 경찰은 일주일 간의 압수수색 당시 “2차 피해 여부는 조금 더 지켜봐야할 거 같다”며 가능성을 열어뒀다. 공정위 관계자는 “유출된 정보가 도용됐는지, 그 정보가 도용돼서 소비자에게 재산상 손해가 발생했느냐 아니면 그런 손해가 발생할 우려가 있느냐를 본다”고 설명했다. 조사 결과에 따라 처분 수위가 영업정지와 과징금으로 나뉘는데, 공정위는 아직까지 개인정보 유출로 인한 영업정지 사례는 없다고 밝혔다. 이로 미뤄보아 쿠팡에 대한 영업정지 제재 가능성이 높지 않다는 것을 유추해볼 수 있다. 다만, 쿠팡은 2021년과 지난해 ISMS-P 인증을 두 차례 받았음에도 올해까지 개인정보가 4번이나 유출돼 이전 사태의 시정조치 미흡이 처분 결과에 악영향을 끼칠 가능성이 있다. 범부처 TF는 쿠팡 사태로 유출된 개인정보의 규모와 내용 등을 검토하는 첫 회의에서는 이 같은 상황을 공유하고, 부처별 협조 요청을 서로 나눈것으로 알려졌다. 쿠팡 제재 수위에 관심이 커지는 가운데, 민관협동조사단 조사 시점과 결과에 이목이 더욱 쏠릴 전망이다.

2025.12.24 18:22박서린

쿠팡 주춤한 사이...신세계, '쓱닷컴' 구하기 총력

신세계그룹이 부진한 이커머스 계열사 SSG닷컴(쓱닷컴) 구하기에 총력을 쏟고 있다. '온라인 이마트'라는 정체성을 다시 한 번 내세우며 신선식품을 중심으로 반등을 이루겠다는 의도로 해석된다. 특히 쿠팡의 대규모 개인정보 유출 사태가 장기화될 것으로 관측되는 상황에서 배송 서비스를 강화해 시장 점유율 확대에 나선다는 전략이다. 쿠팡 흔들리자…퀵커머스·새벽배송 강화 24일 업계에 따르면 신세계그룹의 쓱닷컴은 최근 배송 서비스 영역을 강화하고 있다. 쓱닷컴은 현재 주문 당일 또는 원하는 날 받아볼 수 있는 '쓱 주간배송'과, 밤까지 주문하면 다음 날 받아볼 수 있는 '쓱 새벽배송' 등을 운영하고 있다. 쓱 주간배송은 지역에 따라 오후 1~2시까지 주문하면 당일 또는 원하는 날 받아볼 수 있다. 쓱 새벽배송은 주소지에 따라 밤 10~11시까지 주문하면 아침 7시까지 배송된다. 수도권, 충청권(대전·세종·청주·천안·아산), 전국 광역시 및 특례시(부산·대구·광주·울산·전북·창원)에서 이용할 수 있다. 지난 8일부터 19일까지는 기존 4만원 이상 구매 시 적용되는 새벽배송 무료배송 기준을 2만원으로 대폭 낮추는 행사를 진행해 고객 접근성도 높였다. 퀵커머스 영역도 보폭을 넓히고 있다. 지난 9월 이마트 19개 점포를 시작으로 퀵커머스 서비스 '바로퀵'을 선보였고 운영 거점을 단계적으로 확대하고 있다. 바로퀵은 식품·생활용품 등 이마트 매장 상품을 점포 중심으로 반경 3㎞ 이내에서 배달대행사의 이륜차로 도착지까지 1시간 내외로 배송해주는 서비스다. 바로퀵 거점은 이달 기준 전국 60곳으로 늘어났고 운영 상품도 이마트와 협업해 지난 9월 대비 80% 늘어난 1만1천여 개다. 이 같은 배송 강화는 이커머스 절대강자던 쿠팡이 대규모 개인정보 유출 사태로 흔들리면서 떨어져 나온 수요를 차지하기 위한 움직임으로 해석된다. 실제 쓱닷컴 신규 방문자와 가입자도 늘어나는 추세다. 지난 9일부터 14일까지 쓱닷컴 일평균 신규 방문자 수는 지난해 동기 대비 87% 급증했고, 신규 가입 회원 수도 12% 증가했다. 특히 쓱닷컴은 전국 100여 개 이마트를 물류거점으로 활용하고 있어 배송 경쟁력을 갖췄다는 평가다. 이마트 매장에서 직접 출고한 상품을 배송하는 방식이라 제품 신선도와 고객 만족도를 동시에 확보할 수 있다는 것이다. 다음 달 출시 예정인 신규 멤버십 '쓱세븐클럽'의 사전 알림 신청 고객에게 지급한 '장보기 지원금' 사용 데이터를 분석한 결과, 사용객의 약 95%가 식품을 구매했다. 이 중 76%는 신선식품을 장바구니에 담았다. '온라인 이마트' 전략 힘 싣는다 업계에서는 쓱닷컴의 '온라인 이마트' 전략과도 맞물리고 있다고 해석하고 있다. 해당 전략은 이전에 쓱닷컴이 펼치던 것과는 다른 행보다. 당초 신세계그룹은 쓱닷컴을 '프리미엄 플랫폼'으로 정의하고 버티컬 서비스(전문관)를 강화하는 방향성을 정했었다. 하지만 실적은 좀처럼 반등하지 못했다. 쓱닷컴은 2019년 출범 이래 계속 적자를 내고 있다. ▲2020년 469억원 ▲2021년 1천79억원 ▲2022년 1천111억원 ▲2023년 1천30억원 ▲2024년 727억원 등으로 누적 적자만 4천억원을 넘어섰다. 올해 3분기에도 누적 매출은 전년 동기 대비 14.4% 감소한 1조260억원, 영업손실은 440억원 늘어난 914억원으로 집계됐다. 이에 회사는 공식출범 당시 내세웠던 정체성 중 하나인 '온라인 이마트'를 다시 강화하겠다는 의도다. 이를 위해 신세계그룹은 지난 9월 실시한 인사에서 최택원 이마트 영업본부장을 신임 대표로 선임했다. 최 대표는 1996년 신세계에 입사한 뒤 이마트 주재사무소 천진 부장, 경영지원본부 물류담당 상무보를 거쳐 SCM(공급망관리) 3.0 추진담당 상무, 이마트 영업총괄본부장 전무, 트레이더스 본부장 등을 거친 물류·현장 전문가로 꼽힌다. 최 대표가 이마트와 SSG닷컴 간 긴밀한 협업 체계를 구축해 신선식품 등 SSG닷컴의 차별화된 경쟁력을 극대화할 것이란 기대다. 업계 관계자는 “쓱닷컴은 원래 출범 당시부터 '온라인 이마트'를 표방하고 있었다”며 “초기 전략으로 다시 돌아가는 것”이라고 말했다.

2025.12.24 16:47김민아

[법과 상식 사이] 로켓 배송 쿠팡, '적시 공시'는 없었다

속도의 상징, 자본시장의 시계를 놓쳐 속도의 상징인 쿠팡이 사고를 알리는 속도에서는 자본시장의 시계를 놓쳤다. 개인정보 유출 사고를 둘러싸고 국내에서는 행정 제재와 소비자 집단소송이 이어지고 있지만 더 큰 파장은 태평양 건너 미국에서 시작됐다. 미국 주주들이 쿠팡 Inc.를 상대로 증권법 위반 소송을 제기했기 때문이다. 쟁점은 쿠팡이 2025년 11월 18일 개인정보 유출 사실을 인지하고도 미국 증권거래위원회(SEC)가 정한 '4 영업일 이내 공시' 의무를 이행하지 않았다는 데 있다. 이 공백 기간 동안 주가는 하락했고 그 손실이 투자자들에게 전가됐다는 주장이다. 공시, 기업 투명성의 척도 이 사건은 우리에게 낯선 질문을 던진다. “공시가 그렇게까지 중요한 문제인가?” 한국에서 개인정보 유출은 주로 과징금이나 행정 제재, 소비자 손해배상의 영역이다. 그러나 미국 자본시장에서 공시는 단순한 알림이 아니다. 기업과 투자자 사이의 신뢰를 측정하고 지탱하는 핵심 척도이다. 기업 내용 공시제도의 본질은 상장회사가 투자 판단에 중대한 정보를 시장에 적시에 공개하도록 강제하는 데 있다. 투자자는 그 정보에 기초해 자유롭게 판단하고 책임을 진다. 공시는 자본시장의 투명성을 확보하고 자기책임의 시장 질서를 가능하게 하는 최소한의 장치다. 사이버 사고, '중대한 경영 사건'으로 격상 왜 보안 사고가 이토록 중요해졌을까. 데이터가 곧 기업 가치로 직결되는 시대이기 때문이다. 이제 사이버보안 사고는 단순한 기술적 결함을 넘어 기업의 신뢰와 지속 가능성을 직접적으로 흔드는 구조적 경영 리스크로 격상되었다. 정보 비대칭이 커질수록 기업 내부의 위험은 외부에서 정확히 평가되기 어려워지고, 그 부담은 결국 왜곡된 투자 판단과 시장 불안정성으로 이어진다. 이러한 인식 속에서 미국 자본시장은 사이버 사고를 점차 투자 판단에 중요한 정보로 다루기 시작했다. 이에 따라, 미국은 2023년부터 중대한 사이버보안 사고를 인수합병이나 파산과 같은 중대한 경영 사건으로 분류하고, 상장사에 대해 사고의 중대성(material)을 인지한 날로부터 4일 이내에 임시보고서(Form 8-K)를 통해 공시하도록 의무화했다. 더 나아가 정기 보고서를 통해 평상시의 보안 전략과 거버넌스 구조까지 투명하게 공개하도록 요구한다. 반면 한국은 사이버보안 사고를 정보통신망법과 개인정보 보호법 중심의 사후 규제 대상으로 다루고 있어, 사이버보안을 기업 가치와 직결된 경영 리스크로 보고 강제 공시와 거버넌스를 강화하는 미국·유럽 자본시장의 흐름과는 차이가 있다. 보안은 IT의 영역이 아닌 '경영 투명성'의 문제 쿠팡 사태는 단순한 개인정보 유출이나 데이터 국외 이전 논란을 넘어선다. 글로벌 플랫폼 기업이 어떤 기준으로 위험을 정의하고, 어떤 속도로 시장과 소통해야 하는가를 묻는 중대한 변곡점이다. 여기서 공시 의무 위반은 단순한 법규 위반에 그치지 않는다. 천문학적인 주주 집단소송과 경영진의 책임 문제로 직결되는 '구조적 경영 리스크' 그 자체다. 이제 사이버보안은 IT 부서의 전유물이 아니다. 이사회와 경영진, 법무 조직이 함께 책임져야 할 경영 투명성의 영역이다. 우리 기업들은 과연 글로벌 자본시장이 요구하는 그 정교한 공시의 속도와 밀도를 감당할 준비가 되어 있는가. '로켓 배송'으로 혁신을 일궈낸 쿠팡이 이제 '적시 공시'의 부재라는 날 선 시험대에 올랐다. 이 사건은 단일 기업의 위기를 넘어 한국 기업들이 글로벌 시장의 규범과 현실을 얼마나 냉정하게 인식하고 있는지를 묻고 있다. 기술의 진보와 법과 책임 사이에서 이제 그 질문을 회피할 수 있는 시간은 끝났다.

2025.12.24 16:35안정민

가톨릭중앙의료원, 복지부 '의료 마이데이터 개인정보관리 전문기관' 지정

가톨릭대학교 가톨릭중앙의료원은 보건복지부로부터 '보건의료 분야 개인정보관리 전문기관(특수전문기관)'으로 지정됐다. 이번 지정은 개인정보관리 전문기관 지정심사 제도가 시행된 이후 보건의료 분야에서 처음으로 이루어진 사례로, 보건의료 데이터와 의료 마이데이터를 안전하고 책임 있게 활용할 수 있는 전문 역량을 국가로부터 공식 인정받았다는데 큰 의미를 지닌다. 의료 마이데이터란 개인정보보호법에 따라 개인이 자신의 의료·건강 정보를 직접 열람하고, 필요할 경우 다른 기관으로 전송하도록 요구할 수 있는 제도다. 예를 들어 여러 병원에 흩어져 있던 진료 기록과 검사 결과를 하나로 모아, 개인 맞춤형 건강관리나 질병 예방 서비스에 활용할 수 있다. 이 과정에서 핵심 역할을 하는 기관이 바로 개인정보관리 전문기관으로, 중계전문기관을 통해 전달받은 의료정보를 안전하게 저장하고, 가공·분석해 맞춤형 디지털 헬스케어 서비스로 제공한다. 의료정보는 매우 민감한 개인정보이기 때문에 해당 기관은 기술 수준, 개인정보 보호 체계, 법·제도 준수 여부, 재정 능력 등을 종합적으로 평가받아야 한다. 가톨릭중앙의료원은 이번 심사에서 보건의료 정보의 특수성을 반영한 개인정보 보호 관리 체계, 데이터 접근을 엄격히 제한하는 기술적·관리적 보호 조치, 대규모 의료 데이터를 안정적으로 운영해 온 풍부한 경험과 전문 인력, 의료·개인정보보호 관련 법령을 충실히 준수한 운영 역량 등을 두루 인정받았다. 이번 지정을 통해 가톨릭중앙의료원은 정보주체(환자)의 동의에 따라 의료 마이데이터를 활용해 보다 정교한 개인 맞춤형 건강관리 서비스를 제공할 수 있게 됐다. 특히 이미 개발·운영 중인 마이데이터 기반 건강관리 서비스 'MyWell+'를 중심으로, 만성질환 예방 및 관련 건강지표 제공 등 실질적인 의료 현장 활용을 단계적으로 확대할 계획이다. 가톨릭중앙의료원 정보융합진흥원장 김대진 교수는 “이번 특수전문기관 지정은 보건의료 데이터 활용이 확대되는 시대에 가톨릭중앙의료원이 개인정보 보호에 대한 국민의 신뢰를 확보한 기관임을 공식적으로 인정받은 것”이라며 “앞으로도 개인정보 보호와 정보주체의 권리를 최우선 가치로 삼아, 의료 현장에서 실제 도움이 되는 마이데이터 기반 디지털 헬스케어 서비스를 지속적으로 발전시켜 나가겠다”고 말했다.

2025.12.24 14:02조민규

신한카드, 가맹점 대표자 휴대전화번호 19만건 유출

신한카드(사장 박창훈)에서 19만2천건의 가맹점 대표자 휴대전화번호가 유출됐다. 신한카드는 23일 일부 가맹점 대표 휴대전화번호 등 19만천여 건이 유출된 것으로 추정돼 개인정보보호위원회에 신고했다고 밝혔다. 신한카드에 따르면 유출된 정보는 가맹점 대표자의 ▲휴대전화번호 18만1천585건 ▲휴대전화번호, 성명 8천120건 ▲휴대전화번호, 성명, 생년월일, 성별 2천310건 ▲휴대전화번호, 성명, 생년월일 73건 등 총 19만2천88건으로 파악됐다. 다만 롯데카드 해킹 사태 때처럼 외부 공격으로 이번 유출 사고가 발생한 것은 아니다. 내부 직원이 신규 카드 모집 영업을 위해 해당 개인정보들을 유출한 것으로 파악됐다. 현재까지 조사에 따르면 주민등록번호 등을 포함한 개인정보와 카드번호, 계좌번호 등 신용정보는 유출되지 않은 것으로 확인됐다. 또한 가맹점 대표자의 정보 외 일반 고객 정보와도 전혀 관련이 없다. 아울러 일부 내부 직원 신규 카드 모집을 위한 일탈로 이번 유출 사고가 일어난 만큼 유출된 정보가 다른 곳으로 추가 확산될 염려도 없는 것으로 신한카드는 파악하고 있다. 이날 신한카드는 홈페이지에 유출 사실과 사과문을 공지하고 있다. 또한 가맹점 대표자가 보인의 정보가 포함됐는지 여부를 확인할 수 있는 페이지를 운영하고 있다. 개별적으로 해당 가맹점 대표자에게도 유출 사실을 통지한 것으로 알려졌다. 한편 신한카드는 현재까지 유출된 정보로 인한 피해는 없지만, 혹시 피해가 발생할 경우에는 적극적으로 피해 보상에 나설 계획이다. 신한카드는 “이번 일로 심려를 끼친 점에 대해 깊은 사과 말씀을 드리며, 고객 보호와 유사 사례 재발 방지를 위해 최선의 노력을 다할 것”이라면서 “해당 사안이 '목적 외 개인정보 이용'인지, '정보 유출'인지 추가 조사를 통해 확인해야할 필요가 있으나, 적극적인 고객 보호를 위해 '정보 유출'에 준하는 조치를 취하고 있다”고 말했다.

2025.12.23 16:36김기찬

쿠팡 개인정보 유출, 퇴사자 '인증키 탈취'가 원인…정부 "영업정지 검토"

쿠팡 대규모 개인정보 유출 사고는 퇴사자가 재직 중 탈취한 인증키를 악용해 고객을 사칭하면서 발생한 것으로 드러났다. 정부는 쿠팡의 사고 대응과 보안 관리 체계를 문제 삼아 영업정지 가능성까지 검토하기로 했으며, 쿠팡은 내년 상반기 비밀번호 없는 인증 방식인 '패스키' 도입을 추진하겠다고 밝혔다. 브랫 매티스 최고정보보안책임자(CISO)는 17일 국회 과학기술정보방송통신위원회 청문회에서 "권한을 말소했음에도 퇴사자가 무엇을 갖고 있었길래 이런 일이 벌어졌냐"는 질문에 "그 직원은 재직 중에 자신에게 맡겨진 키를 탈취한 것"이라고 답했다. 그는 "퇴사 시 이 직원에 대한 접근은 전부 차단됐다"며 "이후에 전 직원은 자기가 탈취한 키를 사용해 접근 토큰을 생성했다. 그래서 자신을 고객이라고 사칭하고 개인정보에 접근할 수 있었다"고 설명했다. 이번 청문회는 쿠팡의 대규모 개인정보 유출 사태에 대한 진상 규명을 위해 마련된 자리다. 쿠팡은 초기 조사에서 4천500개 계정의 피해를 확인했으나, 이후 조사 과정에서 총 3천370만 건의 개인정보가 유출된 것으로 공식 발표했다. 또 회사는 이름, 이메일 주소, 배송지 주소록, 일부 주문정보만 유출됐다고 밝혔으나, 이달 초 열린 현안질의에서 공동현관 비밀번호도 유출됐다는 사실을 시인했다. 쿠팡 "보상안 마련할 것…내년 상반기 패스키 도입도" 이번 사태와 관련해 쿠팡은 보상방안을 들여다보고 있다고 밝혔다. 해롤드 로저스 쿠팡 대표는 "규제 기관 조사에 응하고 있고 (사태를) 파악 중"이라며 "조사결과와 함께 보상안을 마련해 발표하겠다"고 말했다. 보상과 별개로 대안 마련을 촉구하는 목소리도 나왔다. 매티스 CISO는 "한국에서도 내년 상반기까지 패스키를 도입하겠다"고 강조했다. 그는 "대만에서 패스키를 도입한 것은 3개월 남짓"이라며 "한국에서도 도입하기 위해 노력하고 있지만, 한국은 이용자 수가 많아 배포 과정에서 복잡한 준비가 필요하다"고 부연했다. 패스키는 비밀번호 없이 얼굴, 지문 등 생체인식 이나 핀 등을 활용하는 인증 방식으로, 외부 해킹과 탈취 위험이 적다는 장점이 있다. 또 택배 운송장 등에 실제 주소 대신 가상 주소를 표기하는 '안심주소' 도입 여부에 대해 배경훈 부총리는 "검토해 볼 만한 문제"라고 답변했다. 이번 사태에 대한 회사 측의 조치를 두고 질타도 이어졌다. 한국 쿠팡 모회사 쿠팡Inc가 개인정보 유출 사건을 미국 증권거래위원회에 공시했냐는 질문에 로저스 대표는 미국 개인정보보호법상 공시 의무는 없다고 설명하면서도, 사안의 중대성과 사회적 관심을 고려해 이날 미국 증권거래위원회(SEC)에 관련 내용을 공시했다고 밝혔다. 배 부총리 "쿠팡 영업정지 논의" 쿠팡에 대한 정부 차원의 조치가 필요하다는 의견도 제기됐다. 배 부총리는 쿠팡 영업정지 논의 상황을 두고 "주무 기관인 공정거래위원회에 전달했다"면서 "논의하겠다. 공정위와 현장조사에 나갈 것"이라고 밝혔다. 쿠팡이 보안 측면에서 글로벌 규격을 따르지 않았다는 비판과 함께, 사태의 피해 범위가 늘어날 수 있다는 우려도 관측됐다. 김승주 고려대 정보보호대학원 교수는 "마스터키, 즉 사이닝 키에 접근할 수 있는 구조였다면 개발자가 퇴사하는 즉시 모든 키를 리셋하고 접근 권한을 전면 회수하는 것이 글로벌 규격"이라며 "이런 조치가 제대로 이뤄지지 않을 것으로 보인다"고 추정했다. 그러면서 "문제는 해당 키가 언제부터 탈취됐는지조차 파악되지 않았다는 점"이라며 "현재까지 다른 개발자의 접근 여부도 명확히 밝혀지지 않아 피해 범위는 더 확대될 수 있다"고 우려했다. 중국 이커머스에서 구매한 쿠팡 계정으로 로그인을 시도하자 성공한 영상에 대해서는 "피해 범위가 더 늘어나면 지금 보여 준 화면 속 상황도 가능하다"고 언급했다. 현재 과기정통부는 한국인터넷진흥원(KISA) 등과 민관합동조사단을 꾸려 쿠팡의 보안 취약점과 인증키 탈취 경위 등을 조사하고 있다.

2025.12.17 19:37박서린

배경훈 부총리 "쿠팡 영업정지, 공정위와 논의 중"

대규모 개인정보 유출 사태를 일으킨 쿠팡을 두고 과학기술정보통신부와 공정거래위원회가 영업정지를 논의하고 있는 것으로 나타났다. 배경훈 부총리는 17일 국회 과학기술정보방송통신위원회 청문회에서 쿠팡 영업 정지 논의 상황을 묻는 박정훈 국민의힘 의원 질의에 "주무 기관인 공정거래위원회에 전달했다"고 말했다. 이어 "일단 민관 합동 조사를 빨리 마무리 짓고 발표하는 것이 먼저 해결해야 할 일"이라며 "공정위도 조사 결과를 갖고 판단할 것"이라고 덧붙였다. 박 의원은 "국민 불안이 높아지는 상황에서 영업 정지를 좀 더 적극적으로 논의할 생각이 없냐"고 추가 질의했다. 배 부총리는 "적극적으로 논의하겠다"며 "공정위와 현장 조사를 나갈 것"이라고 답했다.

2025.12.17 17:31박서린

쿠팡 사태로 커지는 불안감에…배경훈 부총리 "안심주소 검토해 볼 만"

과학기술정보통신부가 택배 운송장 등에 실제 주소 대신 가상 주소를 표기하는 '안심주소' 도입을 검토하자는 제안에 긍정적인 입장을 보였다. 배경훈 부총리가 17일 국회 과학기술정보통신위원회 청문회에서 "안심주소를 연구해 볼 의향이 있냐"고 묻는 이준석 개혁신당 대표의 질문에 "검토해 볼만한 문제"라고 말했다. '안심주소'는 실제 전화번호 대신 임시 가상 전화번호를 부여하는 '안심번호'와 유사한 서비스로 추정된다. 이번에 언급된 '안심주소'는 지난달 29일 쿠팡 대규모 개인정보 유출 사태로 인해 국민 불안이 커지면서 필요성이 대두되고 있다. 당시 쿠팡은 조사 결과, 3천370만개 계정의 개인정보가 유출됐다고 밝히며 유출된 자료는 이름, 이메일 주소, 입력한 이름과 전화번호 및 주소를 포함한 배송지 주소록, 일부 주문 정보라고 주장했다. 특히 어떠한 결제 정보, 신용카드 번호, 로그인 번호는 포함되지 않았다고 강조했으나 이달 초 현안 질의에서 일부 공동현관 비밀번호가 유출됐다는 점을 시인했다.

2025.12.17 15:59박서린

금보원, 개인·신용정보 수탁자 공동 점검 세미나 성료

금융보안원은 지난 12일 여의도 금융투자협회 불스홀에서 전 금융권 위·수탁자가 참여한 '2025년도 개인 (신용)정보 수탁자 공동 점검 세미나'를 성황리에 개최했다고 17일 밝혔다. 이번 세미나는 개인(신용)정보 리스크 관리를 위한 선제적 준비의 일환으로 130명 이상의 금권 위·수탁자 담당자들이 참석해 수탁자 리스크 관리 역량을 강화하고 2026년 공동점검 방향을 공유하기 위해 마련됐다. 앞서 금융보안원은 2017년부터 금융회사 개별로 수행하던 개인(신용)정보 수탁자 점검을 공동점검 방식으로 통합 운영하기 시작했다. 대형보험대리점(GA)에 대해 특별 현장점검을 실시하는 등 개인(신용)정보 리스크 관리를 중요하게 인식한 데 따른 것이다. 이날 김도엽 김&장 법률사무소 변호사는 '개인(신용)정보 최신 이슈 및 법적 의무 사항'을 주제로 발표했다. 그는 최근 법령 개정 동향, 분쟁 및 사고 사례를 공유하며, 신기술 활용 확대로 신규 리스크가 생겨나고 있다고 강조했다. 이어 최찬영 금융보안원 개인정보점검팀장은 '2025년 수탁자 공동 점검 결과와 내년 점검 방향'을 주제로 ▲공동점검 추진 현황 ▲공동점검 종합 및 업종별 결과 ▲공동점검 개선 사항 등에 대해 공유했다. 금융보안원은 향후 수탁자의 사후관리 강화를 위해 현장점검을 내년부터 확대 실시할 방침이다. 아울러 점검 결과를 위수탁 관계에 투명하게 공유해 보안 수준을 높일 계획이다. 또한 수탁자 업종이 다양해지고 업무 외연이 확대되고 있는 만큼 제3자 리스크에 대비해 전담 조직도 신설한다. 위수탁 시 제3자 보안 관리를 체계적으로 수행할 수 있도록 추진할 방침이다. 박상원 금융보안원장은 "개인정보보호의 중요성이 그 어느 때보다 강조되는 현시점에서, 보호 체계의 최종 단계에 있는 수탁자의 보호 역량이 제고될수록 금융권 신뢰도 한층 공고해진다"며 "금융보안원은 수탁자의 개인(신용) 정보 보호 수준이 한층 더 견고하게 확립될 수 있도록 필요한 지원과 관리 기반을 지속적으로 강화해 나가겠다"고 밝혔다.

2025.12.17 15:24김기찬

[기고] 반복되는 개인정보 유출 사고...무엇이 바뀌어야 할까

최근 쿠팡에서 3천370만 명 규모의 개인정보가 유출된 사실이 알려지면서 사회적 충격을 불러일으켰다. 이름, 전화번호, 배송지, 주문 내역 등 생활의 거의 모든 흔적이 포함된 정보가 장기간 해외 서버를 통해 새나간 것으로 조사됐다. 그러나 대중의 반응은 놀라움보다 피로감에 가깝다. 이는 지난 10여 년간 한국 사회가 동일한 장면을 반복적으로 마주해왔기 때문이다. 2014년에는 KB국민·롯데·NH농협카드 등 주요 카드사에서 1억 건이 넘는 정보가 한 번에 유출되었다. 같은 해 SK텔레콤·KT·LG유플러스 등 통신 3사에서도 1천200만 명의 고객정보가 털렸다. 2023년에는 LG유플러스에서 30만 건의 정보가 새어 나갔고, 2025년에는 SK텔레콤에서 USIM 정보 일부가 해킹으로 유출된 사실이 드러났다. 사건의 주체만 바뀌었을 뿐, 사과문·정부 조사·보안 강화 약속이라는 반복적 시나리오는 거의 달라지지 않았다. 물론 제도적 변화가 없었던 것은 아니다. 카드 3사 사태 이후 '개인정보보호법' 개정을 통해 징벌적 손해배상과 법정손해배상 제도가 도입됐고, 감독당국의 조사·제재 권한도 강화됐다. 그러나 이런 변화에도 불구하고 사고는 끊임없이 반복되고 있다. 과징금은 기업의 매출 규모와 리스크에 비해 여전히 낮게 부과되는 경향이 있으며, 피해자 구제는 느리고 어렵고, 기업의 보안 투자는 여전히 후순위로 밀린다. 법의 문구는 강화됐지만 기업의 행동을 바꿀 만큼 구조적 유인은 충분하지 않았다는 뜻이다. 해외 사례는 한국이 어디로 가야 하는지 방향을 제시한다. 미국 에퀴팩스는 1억4천만 명의 민감 정보 유출 이후 13억 달러가 넘는 비용을 부담하며 기업 전체의 보안 체계를 새로 정비했다. 유럽의 GDPR은 기업 매출의 일정 비율에 해당하는 고액 과징금을 실제로 부과하며, 개인정보보호를 '규정 준수 항목'이 아니라 '경영 리스크 관리의 중심'으로 끌어올렸다. 처벌 수위만의 문제가 아니라, 기업이 스스로 구조를 바꿀 수밖에 없게 만드는 제도 설계의 결과다. 이제 한국도 “사고가 나면 조사하고, 과징금 부과하고, 재발방지 대책 발표하는” 사후 대응 패턴을 넘어서야 한다. 개인정보보호를 사전에 관리하고, 위험을 줄이는 방향으로 제도를 재설계할 필요가 있는 것이다. 그 방향은 최소한 다음 네 가지 축으로 정리할 수 있다. 첫째, 준비된 조직만이 위험에 대응할 수 있다. 취약점 관리, 인증 체계, 접근 통제 등 기본적 보안 수준이 갖춰져 있어야 하며 이를 객관적으로 평가·보고하도록 하는 사전적 규율이 필요하다. 서류상의 보안 규정이 아니라, 실제 시스템과 운영 절차가 주기적으로 검증되는 구조여야 한다. 둘째, 기업의 보안 수준을 경제적 요소와 직접 연결해야 한다. 기업의 보안 수준을 보험료·감사 비용·인증 혜택 등과 연동해, 예방적 투자가 이익이 되는 구조로 바꿔야 한다. 위험을 줄이면 비용이 내려가고, 위험을 방치하면 비용이 올라가는 방향으로 설계해야 기업이 자발적으로 보안 투자를 확대하게 된다. 셋째, 경영진 책임이 명확히 부과되는 거버넌스가 필요하다. 책임이 현장에서 분산되는 한 기업은 보안 투자를 항상 후순위로 둘 것이다. 개인정보보호를 단순히 IT 부서의 업무로 두지 않고, 이사회와 최고경영진의 책임과 평가 항목에 포함해야 한다. 그래야만 보안이 비용이 아니라 경영과제의 일부로 다뤄진다. 넷째, 사고 은폐나 늑장 신고에 대해 더 강력한 제재를 적용해야 한다. 정보공개와 초기 대응 속도가 곧 피해 규모를 결정하기 때문이다. 늑장 신고가 오히려 더 큰 규제 리스크를 초래한다는 인식이 자리 잡도록, 신고 지연과 은폐에 대해서는 별도의 가중 처벌 체계를 마련할 필요가 있다. 이번 논란이 보여주는 바는 분명하다. 개인정보유출 문제에서 징벌적 배상은 절대 무시할 수 없는 핵심 장치다. 기업이 최소한의 책임 의식을 갖도록 하는 강한 억제력으로 작동하기 때문이다. 그러나 그것만으로 사고의 반복을 막을 수는 없다. 징벌적 배상과 더불어, 사전에 위험을 낮추기 위한 보안 투자와 거버넌스 강화가 함께 이뤄져야 한다. 위험 수준에 따라 보험료·감사·인증 비용이 달라지는 구조를 설계해 기업이 예방적 조치를 경제적 이득으로 인식하게 만드는 것이 중요하다. 결국 지속 가능한 개인정보보호의 해답은 사후 처벌과 사전 예방이 균형을 이루는 구조를 구축하는 데 있다.

2025.12.17 14:57김봉규

로저스 쿠팡 대표 "개인정보 유출, 미국 SEC 공시 사항 아냐"

대규모 개인정보 유출 사고가 미국 증권거래위원회(SEC) 공시 대상이 아니라고 쿠팡이 해명했다. 신성범 국민의힘 의원은 17일 국회 과학기술정보방송통신위원회 청문회에서 쿠팡 모회사인 쿠팡Inc가 이번 대규모 개인정보 유출 사건에 대해 SEC에 공시했는지 여부에 대해 질의했다. 해롤드 로저스 쿠팡 대표는 "현재 유출된 데이터의 유형을 보았을 때 민감성을 고려하면 미국의 개인정보보호법 하에서는 신고를 해야하는 것이 아니다"라며 "그래서 공시할 의무 없다"고 답했다. 이어 "하지만 이 문제가 지속적으로 관심을 받고 있는 상황을 감안해 오늘 자사가 SEC를 대상으로 이번 사안에 대해 공시했다"고 덧붙였다.

2025.12.17 12:27박서린

박대준 청문회 불참 질타에…쿠팡 "노력하겠다"

국회 과학기술방송통신위원회 청문회에 불출석한 박대준 쿠팡 전 대표와 관련해, 쿠팡 측이 출석을 설득하겠다는 입장을 밝혔다. 청문회 도중 최민희 과방위원장은 박 전 대표의 출석 필요성을 거듭 강조하며 회사 측에 적극적인 조치를 요구했다. 최민희 과방위 위원장은 17일 열린 청문회에서 "정파적으로 가냐 아니냐의 경계는 박 전 대표가 나와야 한다"고 말했다. 그러면서 "박 대표가 출석을 거부했고 일방적으로 등장한 정치인을 증인으로 등장시키는 것은 이치에 맞지 않기 때문에 박 대표에게 빨리 연락해서 출석하도록 노력하라"고 요청했다. 이는 김병기 더불어민주당 원내대표가 올해 10월 국정감사를 한달 앞둔 시점에서 박 전 대표를 만나 인사 청탁을 시도한 정황이 확인됐다는 보도가 나온데 따른 질책이다. 민병기 쿠팡 대외협력 총괄은 "노력하겠다"고 말하며 잠시 청문회장을 비웠다. 이날 최 위원장은 "세 명의 증인이 모두 청문회가 끝날 때까지 참석하지 않으면 국정조사와 고발을 추진하겠다"며 "여야 간사가 합의해달라"고 요청하기도 했다. 앞서 쿠팡의 실질적인 책임자라고 여겨지는 김범석 쿠팡 Inc 의장과 쿠팡 전직 대표인 박대준과 강한승은 "쿠팡을 대표해 증언할 위치가 아니다"라는 이유로 청문회에 참석할 수 없다는 의사를 밝혔다. 박 전 대표의 소재지를 파악하고 있냐는 최 위원장의 질타에 민 총괄은 "주소는 알고 있다. 회사를 통해 파악해 보고하겠다는 뜻"이라고 답했다. 이에 최 위원장은 박 전 대표의 주소지에 사람을 보내겠다고 덧붙였다.

2025.12.17 11:21박서린

김범석 없는 쿠팡 청문회 D-1...반쪽짜리 되나

개인정보 유출 사태와 관련해 국회 과학기술정보방송통신위원회가 17일 쿠팡 청문회를 열지만, 김범석 쿠팡 Inc 의장이 불출석 의사를 밝히면서 반쪽 청문회가 될 수 있다는 지적이 나온다. 추가 증인 채택에도 불구하고 실질적 책임자로 지목된 핵심 의사결정 주체가 빠지면서 '쿠팡 없는 쿠팡 청문회'라는 비판도 제기된다. 국회 과방위는 16일 전체회의에서 김명규 쿠팡이츠서비스 대표를 청문회 추가 증인으로 채택했다. 이와 함께 전경수 쿠팡 서비스정책 실장과 노재국 쿠팡 물류정책 실장, 이영목 쿠팡 커뮤니케이션 총괄 부사장을 참고인으로 의결했다. 이는 김 의장과 쿠팡 전직 경영진들이 청문회 출석을 거부한 데 따른 것이다. 과방위는 지난 9일 전체회의에서 김 의장을 포함해 박대준, 강한승 쿠팡 전 대표, 브랫 메티스 쿠팡 최고정보보안책임자(CISO), 민병기 쿠팡 대외협력 총괄 부사장, 조용우 쿠팡 국회 정부 담당 부사장 등 6명을 증인으로 채택한 바 있다. 이와 관련해 김 의장과 박·강 전 대표는 각각 “공식적인 비즈니스 일정”, “대표직에서 물러나 회사를 대표해 증언할 위치가 아니다”라는 점을 이유로 들어 청문회 불참 의사를 밝혔다. 유출된 정보, 4.5천개→3.3천만개…경찰 "2차 피해 가능성 배재 않아" 이번 청문회는 쿠팡의 대규모 개인정보 유출 사태에 대한 진상 규명을 위해 마련된 자리다. 쿠팡은 지난달 18일 약 4천500개의 개인정보가 무단으로 유출된 사실을 인지하고 조사를 진행한 결과, 약 3천370만개의 계정이 피해를 입은 것으로 나타났다고 밝혔다. 사태를 인지한 즉시 쿠팡은 관련 기관인 경찰청, 한국인터넷진흥원(KISA), 개인정보보호위원회 등 관련 기관에 신고를 진행했다. 이 때 쿠팡은 이름, 이메일 주소, 배송주 주소록, 일부 주문정보만 유출됐을 뿐 어떠한 결제 정보, 신용카드 번호, 로그인 정보는 포함되지 않았다고 주장했다. 그러나 이달 열린 과방위와 정무위 현안질의에서 쿠팡은 일부 공동현관 비밀번호가 유출된 사실을 인정했다. 이후 쿠팡은 2차 공지에서 해당 사안에 대한 정정과 "경찰청의 전수조사를 통해 2차 피해 의심 사례는 발견되지 않았다"고 강조했다. 이같은 쿠팡의 주장에도 압수수색 6일차에 접어든 전날 경찰은 2차 피해 가능성을 열어뒀다. 경찰은 "2차 피해는 현재 상황에서 확인이 어렵다"며 "유출된 자료도 원본 그대로 범죄에 악용될 수도 있을 것이고 가공돼 화용될 수도 있을 것"이라고 진단했다. 오는 17일 오전 10시 개최될 청문회에서는 이날 추가 채택한 증인 및 참고인과 지난 10일 한국 쿠팡 임시 대표로 임명된 해롤드 로저스가 출석한다. 청문회 현장에서는 로저스 임시 대표를 향한 경영 책임과 의사결정 구조에 대한 질책이 오갈 것으로 예상된다. 또 경찰이 압수수색을 일주일간 압수수색을 이어간 만큼 수사 상황에 대한 질문과 함께 총체적인 관리 부실도 도마 위에 오를 전망이다. 쿠팡 청문회, 어떤 질문 오가나 이외에도 청문회에 추가 채택된 증인과 참고인은 각각 서비스 정책과 물류 운영, 대외 커뮤케이션을 담당하고 있는 인물들로, 쿠팡 탈퇴 절차의 복잡성과 근로자 인명 피해, 피해 수습 없이 대관에 집중하고 있는 것에 대한 집중 질타가 이뤄질 것으로 추정된다. 청문회 불출석을 알린 김 의장 등에 대해서는 과방위 차원에서의 고발과 국정조사를 예고했다. 최근 과방위 소속 더불어민주당 의원들은 성명을 통해 “3천370만명의 개인정보가 유출된 초대형 사고 앞에서 쿠팡의 실질 책임자들이 국회의 증인 출석 요구를 거부한 것은 명백한 국회증언감정법 위반”이라며 “쿠팡의 핵심 증인 3인에 대한 고발 조치를 포함한 법적 대응을 검토, 추진하겠다”고 말했다. 현행법상 정당한 이유 없이 출석하지 않은 증인 등은 3년 이하의 징역 또는 1천만원 이상 3천만원 이하 벌금에 처하도록 규정하고 있다. 과방위 소속 의원실 한 관계자는 “쿠팡에서 자료 요청에 대한 어떠한 답변도 주지 않고 있다”며 “1차 청문회와 비슷한 양상으로 흘러갈 거 같다. 쿠팡 쪽 대관에서는 실무 자료를 갖고 있는 내부 전산 담당 직원이나 실무진에서 자료를 안 줘서 미안하다는 말만 하고 있다”고 말했다. 이어 “민주당에서는 고발 이야기가 나왔는데, 이번 사건은 국민 피해도 크고 사안을 중요성을 인식해 국민의힘에서도 이를 막지는 않는 분위기”라며 “국민의힘 의원들 중에서는 국정조사와 고발이 필요하다는 인식을 갖고 있는 분들도 꽤 있다”고 덧붙였다.

2025.12.16 18:03박서린

'쿠팡 사태' 후 더 교묘해졌다…연말 배송 조회 노린 스미싱 '빨간불'

연말 쇼핑 시즌을 앞두고 배송 조회를 노린 사이버 공격이 전 세계적으로 급증하고 있는 것으로 나타나 각별한 주의가 필요할 것으로 보인다. 16일 노드VPN의 '스레트 프로텍션 프로(Threat Protection Pro™)' 분석에 따르면, 지난 한 달간 우편·배송 서비스를 사칭한 악성 웹사이트가 전월 대비 86% 증가한 것으로 나타났다. 사이버 범죄자들은 배송 수요가 집중되는 시기를 노려 사칭 방식과 공격 수법을 더욱 정교하게 발전시키고 있다. 최근에는 AI를 활용해 실제 배송 안내 메시지와 거의 구분되지 않는 문구를 자동 생성하는 사례가 늘어나면서 소비자가 위협을 식별하기 더욱 어려워지고 있다. 노드VPN이 수집한 글로벌 브랜드 사칭 데이터를 보면 DHL이 가장 많이 사칭된 브랜드로 나타났다. 관련 악성 사이트는 불과 한 달 만에 206% 증가했다. 이어 DPD 그룹을 사칭한 사이트는 16% 증가했으며, 미국 우정공사(USPS)는 850%로 가장 가파른 증가율을 기록했다. 이러한 사이트는 ▲관세 미납 ▲주소 오류 ▲배송 보류 등 긴급 상황을 위장해 소비자의 불안감을 자극하고 링크 클릭을 유도하는 방식으로 진화하고 있다. 문자 기반 피싱인 '스미싱(Smishing)'도 빠르게 확산되는 모습이다. 노드VPN 조사에서 응답자의 38%가 배송 사기를 경험했다고 답했으며, 대부분 문자메시지를 통해 피해가 발생한 것으로 나타났다. 문자메시지는 이메일보다 열람률이 월등히 높아 사이버범죄자에게 유리한 공격 경로로 작용하고 있다. 미국 연방거래위원회(FTC) 자료에 따르면 문자 사기 피해 규모는 꾸준히 증가해 2024년 피해액은 총 4억7천만 달러로 집계됐다. 이는 2020년 대비 5배 이상 급증한 수치다. 한국 역시 글로벌 추세에서 예외가 아니다. 최근 약 3천370만 명의 개인정보가 유출된 쿠팡 사례는 ▲이름 ▲주소 ▲전화번호 등 실사용 정보를 기반으로 더욱 정교한 스미싱(Smishing)·피싱(Phishing) 공격이 구성될 수 있음을 보여준다. 특히 한국은 문자메시지와 메신저 기반 배송 알림 이용률이 높아 사칭 공격에 취약하다. 실제로 국내에서 유통되는 스미싱(Smishing) 메시지도 한국어 표현과 이용 행태에 맞게 빠르게 현지화되고 있다. 이에 노드VPN은 배송 알림을 받았을 때 메시지에 포함된 링크를 클릭하기보다 배송사의 공식 웹사이트나 앱에서 주문 정보를 직접 조회하는 것이 가장 안전하다고 조언했다. 최근 발신 번호나 URL을 실제와 유사하게 조작하는 스푸핑(Spoofing) 기법이 증가하고 있어 단순한 발신자 정보만으로 진위를 판별하기 어렵다는 점도 강조했다. 노드VPN 최고기술책임자(CTO) 마리우스 브리에디스는 "연말 쇼핑 성수기에 스미싱(Smishing)과 스푸핑(Spoofing) 기반의 배송 사기가 급증하는 가운데, 최근 쿠팡에서 수천만 명의 개인정보가 유출된 사례는 기본 정보만으로도 정교한 피싱이 가능해졌다는 사실을 다시 한 번 보여준다"며 "의심스러운 메시지의 링크를 클릭하지 않는 것은 물론 ▲강력한 비밀번호 설정 ▲2단계 인증 사용 ▲VPN 활용 등 기본적인 보안 수칙을 지키는 것이 무엇보다 중요하다"고 말했다.

2025.12.16 14:22장유미

과방위, 김명규 쿠팡이츠 대표 추가 증인으로 채택

국회 과학기술정보방송통신위원회가 쿠팡 개인정보 유출 사태와 관련한 청문회 증인으로 김명규 쿠팡이츠서비스 대표를 추가로 채택했다. 쿠팡이츠 앱을 통한 개인정보 유출 여부와 함께 배달 서비스 운영 구조 전반을 점검하기 위한 취지다. 16일 국회 과방위는 전체회의를 열고 김명규 쿠팡이츠서비스 대표를 청문회 증인으로, 전경수 쿠팡 서비스정책실장과 노재국 쿠팡 물류정책실장, 이영목 쿠팡 커뮤니케이션 총괄 부사장을 참고인으로 채택했다. 이들은 각각 서비스 정책과 물류 운영, 대외 커뮤니케이션 측면에서 이번 사태와 관련한 회사 내부 대응 과정과 관리 체계에 대해 설명할 것으로 예상된다. 과방위는 개인정보 유출 경위와 관리 책임, 재발 방지 대책 등을 중심으로 오는 17일 청문회를 열 예정이다. 당초 증인으로 채택됐던 김범석 쿠팡 Inc 의장과 강한승 전 대표, 박대준 전 대표는 불출석 사유서를 제출했다. 김범석 의장은 '해외 거주', 강한승 전 대표는 '현재 책임 위치가 아님', 박대준 전 대표는 '건강상의 이유'를 각각 불출석 사유로 들었다. 그러나 과방위는 이 같은 사유를 받아들이기 어렵다며 고발을 예고했다.

2025.12.16 10:51안희정

경찰 "쿠팡 2차 피해 확인 어려워…압수수색 60% 진행"

대규모 개인정보 유출 사태가 발생한 쿠팡을 수사하는 경찰이 정보 유출로 인한 2차 피해를 단정하기 어렵다고 언급했다. 6일째 계속되는 쿠팡 본사 압수수색은 15일이나 16일 중 마무리될 전망이다. 박정보 서울경찰청장은 15일 서울 종로구 서울경찰청에서 열린 정례 기자간담회에서 “현재로서는 2차 피해가 있다 없다 단정하기는 어렵다”며 이같이 밝혔다. 그는 “2차 피해는 현재 상황에서는 확인이 어려운 상태”라며 “유출된 자료도 원본 그대로 범죄에 악용될 수도 있을 것이고 가공돼서 활용될 수도 있을 것”이라고 덧붙였다. 이는 경찰이 개인정보 유출에 따른 2차 피해 가능성을 열어둔 것으로, 앞서 쿠팡이 말한 “2차 피해 의심 사례가 없다”는 주장과는 입장이 일치하지 않는다. 쿠팡은 지난 7일 개인정보 유출 피해를 본 회원들에게 “경찰에서 전수조사한 결과 쿠팡에서 유출된 정보를 이용한 2차 피해 의심 사례는 발견되지 않았다”고 공지한 바 있다. 현재 쿠팡 회원들 사이에서는 쿠팡에서만 사용하는 카드의 해외 부정 사용이 의심된다는 주장이 제기되고 있다. 쿠팡에 대한 경찰의 압수수색은 이날을 포함해 6일 동안 계속되고 있으며 경찰은 압수수색이 60% 가량 진행된 것으로 보고 있다. 압수수색 종료 시점은 15일에서 16일 사이다. 박 청장은 “워낙 원본데이터가 방대하다보니 쿠팡 측 시스템 엔지니어한테 물어보면서 하면서도 선별압수 해야 한다”며 “(데이터를) 직접 조회하고 검색하고 추출하는 과정이 간단하지 않다보니 시간이 요소됐다. 오늘이나 내일 중 압수수색이 마무리될 것”이라고 말했다. 또 “압수물을 분석해봐야 유출 경로나 침입자 등 확인이 가능할 것”이라며 “분석을 통해 확인하고 쿠팡 측에도 개인정보보호와 관련해 잘못된 부분이 있는지 들여다볼 생각”이라고 답했다.

2025.12.15 14:21박서린

김범석 쿠팡Inc 의장, 국회 청문회 불출석 사유서 제출

쿠팡 개인정보 유출 사태 관련 청문회를 앞두고 국회가 증인으로 채택한 김범석 쿠팡 Inc 의장 및 전 경영진이 모두 불출석 의사를 밝혔다. 최민희 국회 과학기술정보방송통신위원회 위원장은 이를 받아들이지 않겠다며 후속 대응을 예고했다. 14일 관련업계에 따르면 오는 17일로 예정된 쿠팡 개인정보 유출 청문회에 증인으로 출석 요구를 받은 김범석 쿠팡 Inc 의장과 강한승 전 쿠팡 대표, 박대준 전 쿠팡 대표가 이날 일제히 불출석 사유서를 제출했다. 김범석 의장은 '해외 거주', 강한승 전 대표는 '현재 책임 위치 아님', 박대준 전 대표는 '건강상의 이유'를 사유로 들었다. 그러나 과방위는 이를 받아들이지 않기로 했다. 최민희 과방위원장은 이날 자신의 페이스북을 통해 “3천370만 명의 개인정보가 유출된 국가적 재난 수준의 사건 앞에서 경영 책임자들이 일제히 불출석을 선언한 것은 납득할 수 없다”며 “과방위원장으로서 불허한다”고 밝혔다. 이어 “국회와 국민을 무시하는 행위”라며 강도 높게 비판했다. 최 위원장은 김범석 의장의 '해외 거주' 사유에 대해 “한국에서 사업을 영위하며 국민 정보를 처리하는 기업의 실질적 책임자가 출석을 회피할 근거가 되지 않는다”고 지적했다. 강한승 전 대표에 대해서는 “보고·의사결정 핵심축에 있었던 인사로, 직책을 이미 내려놓았다고 책임이 사라지는 것은 아니다”라고 말했다. 박대준 전 대표의 '건강 문제'에 대해서도 “최근까지 국회에 출석해 책임을 다하겠다고 밝힌 만큼 납득하기 어렵다”고 덧붙였다. 과방위는 3명에 대한 동행명령장 발부 등 후속조치를 포함한 대응 방안을 검토한다는 방침이다. 아울러 플랫폼 기업 경영진의 반복적인 책임 회피를 차단하기 위해 ▲경영진 책임 강화 ▲국회 출석 의무 제도 보완 ▲해외 체류 경영진 대응체계 마련 등에 관한 입법도 추진하겠다고 밝혔다.

2025.12.14 19:27안희정

Prev 1 2 3 4 5 6 7 8 9 10 Next