검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'개인 정보 유출'통합검색 결과 입니다. (81건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

"쿠팡 탈퇴합니다"…이용률 줄어들까

대규모 개인정보 유출 사고가 발생한 쿠팡에 대한 회원 탈퇴와 불매운동 움직임이 나타나고 있다. 하지만 유통업계 사이에서는 쿠팡이 이미 생활 필수 플랫폼으로 자리잡은 만큼, 실제 회원 수 감소로 이어질 가능성은 낮다는 의견이 조심스럽게 나오고 있다. 소비자단체 "강한 분노...구체적인 배상안 즉각 마련하라" 2일 유통업계에 따르면 한국소비자단체협의회는 최근 성명을 내고 “소비자의 개인정보를 핵심 자산으로 활용하며 성장한 기업이 보안 의무를 부차적 과제로 다뤄 소비자의 가장 내밀한 정보인 주소, 연락처, 구매 내역, 공동현관 비밀번호까지 포함된 개인정보가 노출됐다는 사실에 깊은 우려와 강한 분노를 표한다”고 밝혔다. 협의회는 “쿠팡은 이번 소비자 개인정보 유출 사고의 원인과 규모를 투명하게 공개하고 실질적이고 구체적인 배상안을 즉각 마련하라”고 요구했다. 이어 “개인정보 유출로 소비자가 겪게 될 보이스피싱과 스미싱, 피싱, 명의도용 등 광범위한 2차 피해에 대한 우려를 불식시킬 수 있도록 책임 있는 자세로 실질적인 피해구제 대책과 구체적인 배상안을 제시해야 한다”고 강조했다. 이들은 쿠팡에 대한 회원 탈퇴와 불매운동 등을 예고했다. 협의회는 “쿠팡이 이를 받아들이지 않고 각종 로비나 법적 대응 운운하며 시간만 끈다면 소비자와 연대해 회원 탈퇴와 불매 운동을 포함한 소비자가 할 수 있는 모든 수단과 방법을 총 동원해 강력하게 대응할 것”이라고 경고했다. SNS에 쿠팡 탈퇴 인증 게시물 올라오기도 실제 일부 소비자들 사이에서는 쿠팡 회원 탈퇴 및 불매운동에 불이 붙는 분위기다. 각종 SNS에서는 쿠팡 탈퇴를 인증하는 게시물이 다수 올라오고 있다. 집단 소송 카페 역시 빠르게 회원 수가 늘고 있다. 현재 네이버에는 쿠팡 집단 소송을 위한 카페 10여개가 개설된 상태다. 가장 회원 수가 많은 곳은 13만 명을 넘어선다. 회원 수가 10만 명을 넘는 곳도 두 곳이나 더 있다. 법무법인도 집단 소송 채비에 나섰다. 김경호 법률사무소 호인 변호사는 피해자들을 모아 오는 24일 1인당 10만원의 위자료를 내는 손해배상 소송을 제기하겠다고 예고했다. 쿠팡 이용자 14명은 서울중앙지법에 쿠팡을 상대로 1인당 20만원의 위자료를 청구하는 손해배상 소송을 냈다. 해당 소송을 대리하는 법무법인 청은 14명을 대리해 소송을 제기했고 앞으로도 소송인단을 계속 모집한다는 계획이다. 법무법인 지향 역시 지난달 30일 “개인정보 유출로 인해 겪은 정신적 고통과 2차 피해의 정신적 피해에 대한 위자료 30만원을 청구한다”며 홈페이지와 네이버카페를 통해 소송인단을 모집하고 있다. "이탈 쉽지 않을 것...집단 탈퇴 움직임 일시적" 다만 일각에서는 쿠팡 이용률 감소가 즉각적으로 나타나진 않을 것이라는 관측이 나온다. 쿠팡이 생활 필수 플랫폼으로 자리 잡은 만큼 다른 플랫폼으로의 이동이 쉽지 않다는 것이 그 이유로 꼽힌다. 익명을 요구한 업계 관계자는 “이미 소비자들이 로켓배송과 같은 편리한 유통망을 누리고 있어 타 플랫폼으로의 이탈이 쉽지 않을 것”이라며 “집단 탈퇴 등의 움직임이 당장은 있겠지만 일시적일 것”이라고 관측했다. 또 다른 업계 관계자 역시 단기적으로는 회원 감소 등의 영향이 있겠지만 장기적으로는 이용률이 회복될 것으로 내다봤다. 해당 관계자는 “장기적으로 볼 때 쿠팡이 제공하는 배송 서비스를 대체할 수 있는 플랫폼이 아직까지는 국내에는 없는 것이 현실”이라며 “현재 탈퇴한 회원들 역시 추후 쿠팡이 이들을 다시 불러오려는 움직임을 보일 가능성이 있어 되돌아갈 가능성도 있다”고 말했다.

2025.12.02 19:24김민아

보안 인증 받은 쿠팡, 과징금 얼마나 나올까

대한민국 국민 65%에 달하는 개인정보 유출 사고가 발생한 쿠팡의 제재 수위에 대한 관심이 모아지고 있다. 보안의 기본이라고 할 수 있는 퇴사자 권한 관리가 유출사고의 원인으로 지목되고 있는 데다, 정부에서도 엄정 제재, 징벌적 손해 배상에 대한 목소리가 높아지고 있기 때문이다. 현행 기준에 따르면 매출액 기준 최대 3%에 달하는 과징금이 부과될 수 있어 쿠팡은 최대 1조원대 과징금 철퇴를 맞을 가능성도 있다. 2일 업계에 따르면 쿠팡은 최근 3천370만개의 개인정보가 유출되는 사고를 겪고 조사에 임하고 있다. 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당) 분석에 따르면 이번 유출사고는 퇴사자 인증키를 퇴사 즉시 수거하지 않고 방치한 데 원인이 있는 것으로 알려졌다. 직원이 퇴사를 하면 회사 내부 데이터나 서버, 네트워크에 접근하지 못하도록 권한을 수거해야 하는데 그렇지 못한 것이 화근이 된 것이다. 다만 현재 회사는 무단 접근 경로를 차단하고 내부 모니터링을 강화하는 조치를 취했다. 개인정보보호위원회(개보위) 등 조사 당국에 따르면 정부는 쿠팡의 대규모 개인정보 유출로 민·관 합동 조사단을 꾸리고 본격적인 조사에 착수한 것으로 알려졌다. 개보위는 보안 조치 의무를 위반한 사실이 확인된 경우에는 엄정한 제재를 적용하겠다고 밝혔다. 이재명 대통령도 이날 쿠팡 개인정보 유출사고와 관련해 "쿠팡 때문에 우리 국민의 걱정이 많다"며 "처음 사건이 발생하고 5개월 동안이나 회사가 유출 자체를 파악하지 못했다는 것이 참으로 놀랍다. 관계 부처는 해외 사례를 참고해 과징금을 강화하고 징벌적 손해배상제도를 현실화하는 등의 대책에 나서달라"고 지시했다. 쿠팡, 최대 1조원 이상 과징금…최대 부과 가능성 낮아 조사 당국과 정부는 쿠팡에 대한 고강도의 제재 수위를 논하는 것으로 알려졌다. 현행법상 개인정보 유출 시 관련 법을 위반한 기업에는 전체 매출액의 3% 이내에서 과징금을 부과할 수 있다. 지난해 쿠팡의 매출액이 41조원이 넘는 만큼 1조원 이상의 과징금이 부과될 수 있다는 계산이 나온다. 다만 과징금 선정 절차는 사고와 관련 없는 매출은 제외하기 때문에 최대 과징금이 부과될 가능성은 낮다. 개보위에 따르면 과징금 선정은 우선 전체 매출액에서 사고와 관련 없는 매출액을 제외한 후, 과징금 선정 기준에 따라 기준금액을 정한다. 특히 기준금액 선정 이후에는 2차례에 걸쳐 조정에 들어간다. 여러 감경 사유를 따져보고 해당 사항이 있는 경우 과징금을 깎아준다. 대표적으로 유효한 정보보호·개인정보보호 관리체계(ISMS-P) 인증을 보유하고 있는 기업의 경우 현행법상 과징금의 최대 50%까지 감경받을 수 있다. 이에 쿠팡은 유효한 정보보호·개인정보보호 관리체계(ISMS-P) 인증을 취득한 기업이기 때문에 과징금을 최대 50% 감경받을 수 있다. 앞서 쿠팡은 지난 2021년 ISMS-P 인증을 획득한 이후 지난해 갱신까지 마친 상태로, 유효한 ISMS-P 인증을 보유하고 있다. 이에 현행법에 따라 과징금 감경 혜택을 받을 수 있는 것이다. 단, 감경 비율은 특정 위반 행위의 내용, 기업의 협조 정도, 시정 노력 등 여러 요소를 종합적으로 고려해 최종 결정된다. 해당 감경 제도로 우리카드는 과거 인천영업센터 가맹점주 개인정보 유용사건으로 부과된 과징금을 50% 감경받아 130억원만 부과된 바 있다. 1차, 2차 조정(감경) 절차 이후에는 중대성 판단을 하게 되는데, 중대성은 매우 중대함, 중대함, 보통, 약함 등 4단계로 구성된다. 가장 높은 '매우 중대함'으로 중대성이 판단된다고 하더라도 기준금액 내에서 과징금이 결정된다. 실제 역대 최대 과징금이 부과된 SK텔레콤 해킹 사태 당시 개보위는 이런 과정을 거쳐 1천348억원의 과징금을 부과했다. SK텔레콤의 무선통신사업 매출 약 13조원을 기준으로 하면 최대 3천831억원의 과징금이 부과될 수 있지만, 기준금액 설정에 따라 제재 수준이 낮아졌다. 그러나 쿠팡의 ▲지난해 매출이 SK텔레콤보다 높은 점 ▲유출 규모가 방대한 점 ▲5개월간 피해 사실을 인지하지 못한 점 등을 고려하면 SK텔레콤보다 높은 역대 최대 규모를 경신할 금액의 과징금이 선정될 가능성이 크다. 개보위 관계자는 "과징금 산정 과정에서 기준금액을 정한 이후 들어가는 감경 절차에 ISMS-P 인증 등이 감경 조항에 포함돼 있다"면서도 "과징금 산정 규모와 관련해서는 예단할 수 없고, 미리 언급할 수 없다"고 일축했다. 염흥열 순천향대 정보보호학과 명예교수는 "현행 과징금 부과 체계는 관련 분야 매출의 3%를 기준으로 산정하지만, 가감하는 조정절차가 있다. 조사 과정에 성실하게 임했는지, 피해자 구제에 적극적으로 했는지 등의 사항을 따져보고 가중하거나 감경해 과징금을 산정한다"며 "다만 정부나 대통령이 얘기하는 징벌적 과징금의 경우는 현재 법 개정 등 논의할 사항이 남아있다. 이번 쿠팡의 경우는 현 절차에 따라 산정되겠지만, 향후에는 개보위 TF에서 논의됐던 과징금 선정 관련 인센티브 제공, 징벌적 과징금 등 가감 조정절차의 방향성에 대해서 인식할 필요는 있다"고 밝혔다.

2025.12.02 18:19김기찬

개인정보 유출 용의자는 중국인?…쿠팡 사태 의혹 짚어보니

쿠팡 대규모 개인정보 유출 사건 유력 용의자로 지목된 전 직원이 중국인이라는 의혹이 제기된 가운데, 경찰은 "수사가 필요하다"는 입장이다. 쿠팡 IT 인력의 절반 이상이 중국인이라는 의혹에 대해 회사 측은 이를 전면 부인했다. 2일 관련업계에 따르면 쿠팡은 지난달 18일 경찰에 개인정보 유출 피해를 확인했다는 신고를 접수했다. 당시 쿠팡은 4천500개의 고객 정보가 유출된 것으로 파악했으나, 후속 조사 결과 약 3천370만개가 무단 유출된 것으로 확인됐다. 이 과정에서 쿠팡이 밝힌 유출 정보는 이름, 이메일 주소, 배송지 주소록(입력한 이름, 전화번호, 주소), 일부 주문정보다. 회사는 어떤한 결제 정보, 신용카드 번호, 로그인 정보도 유출되지 않았다며 이용고객에게 계정 관련 조치를 취할 필요가 없다고 주장했다. 쿠팡 개인정보 유출 사고를 둘러싸고 제기된 의혹과 정부·경찰·회사 측 입장을 문답으로 정리했다. Q. 쿠팡 대규모 개인정보 유출 사건에서 정보가 유출된 기간은 얼마인가? A. 류제명 과학기술정보통신부 2차관: 공격식별 기간은 지난 6월 24일부터 11월 8일까지다. Q. 개인정보 유출 시점과 인지 시점 간 5개월의 간극이 있다. 뒤늦게 파악한 것인가? 개인정보 유출을 은폐한 것인가? A. 쿠팡 : 지난달 18일 약 4천500개 계정의 개인정보 유출 사실을 인지했다. 후속 조사 결과 고객 계정 약 3천370만개가 유출됐다는 것을 확인했다. 경찰: (개인정보 유출 사태 은폐, 축소 의혹과 관련해) 필요하면 수사하겠다. Q. 유출된 것으로 추정되는 3천370만개의 계정은 모두 현재 활동 중인가? A. 박대준 쿠팡 대표: 3천370만개의 계정에는 휴면, 탈퇴 회원 정보도 포함됐다. Q. 이번 사건의 발단이 된 개인정보 유출은 내부 소행인가? A. 쿠팡: 회사 시스템과 내부 네트워크망의 외부 침입 흔적은 없는 것으로 확인했다. 현재까지 조사에 따르면 해외 서버를 통해 무단으로 개인정보에 접근한 것으로 추정하고 있다. Q. 이번 사건의 유력 용의자(공격자)는 중국인인가? A. 류 차관: 현재 언급되는 공격자의 신상에 대한 정보는 경찰 수사로 확인이 필요하다. 확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3천만건의 개인정보 유출을 주장했다. 경찰 : 유력 용의자의 국적 등은 아직 확인할 수 없다. Q. 쿠팡이 받은 개인정보 유출 관련 협박 메일에는 어떤 내용이 담겼나? A. 박 대표: 용의자가 '자기가 이걸 어떻게 입수했고 취약점을 빨리 보완해라. 그렇지 않으면 폭로하겠다'라는 내용으로 메일을 보냈다. 브랜 메티스 쿠팡 정보보호최고책임자(CISO): 데이터를 자기가 취득해서 가지고 있다고 이메일로 이야기했다. 또 이 정보가 악용되지 않을 거라고 했다. Q. 대규모 개인정보를 유출한 직원은 쿠팡에서 인증 업무를 담당하던 담당자인가? A. 박 대표: (개인정보 유출 용의자로 지목된 직원은)인증 업무를 맡은 것이 아니라 인증 시스템을 개발하는 개발자였다. Q. 쿠팡 IT 인력 절반 이상이 중국이라는 의혹은 사실인가? 또 매니저의 90% 이상은 중국인으로 구성돼 있는가? A. 박 대표: 사실이 아니다. 한국인 비율이 압도적으로 많다. Q. 개인정보를 유출한 것으로 추정되는 직원은 개인인가? 팀인가? A. 박 대표: 단수나 복수라고 단정할 수는 없다. 수사 중이라 말할 수 없다. Q. 개인정보 유출 용의자로 지목된 직원은 어떤 방식으로 정보를 유출했나? A. 류 차관: 공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했다. 이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 사용됐다. Q. 이번 사건 용의자로 지목된 퇴직 직원의 권한은 어떻게 했나? A. 박 대표: 용의자 퇴직 후 권한을 말소했다. Q. 개인정보 유출 범위에 결제 정보, 신용카드 번호, 로그인 정보가 포함되지 않은 것이 맞는가? A. 과기정통부: 개인정보 유출 범위는 개인정보보호위원회가 확정한다. 개보위: 아직 쿠팡에서 개인정보가 무단으로 노출됐다는 사실을 신고한 정도로 인지하고 수사 중이다. Q. 결제 정보 등이 유출되지 않았다는데, 카드 정보 등을 바꾸지 않아도 되는가? A. 김승주 고려대 정보보호대학원 교수: 피해가 확산할 수 있기 때문에 결제 카드를 삭제하고, 카드와 쿠팡 로그인 비밀번호를 변경하는 게 좋다. Q. 개인통관고유부호(통관번호)와 공동 현관 출입문 비밀번호는 유출됐나? 쿠팡 : 현재까지 확인된 바로는 통관번호는 노출되지 않았고 공동 현관 출입문 비밀번호는 일부 포함됐다.

2025.12.02 16:37박서린

박대준 쿠팡 "수사선상 오른 중국 직원은 인증 시스템 개발자"

박대준 쿠팡 대표가 가입자 개인정보 유출 사건 관련해 수사 선상에 오른 퇴사한 중국 국적 직원에 대해 "인증 시스템을 만드는 개발자였다"고 설명했다. 박 대표는 2일 국회 과학기술정보방송통신위원회 현안보고에서 신성범 국민의힘 의원의 질문에 이같이 답했다. 박 대표는 개발팀 구성 관련 질의에 “개발 조직은 한 사람이 모든 역할을 맡는 구조가 아니다”라며 “여러 개발자가 팀을 이뤄 기능을 분담하고 있다”고 말했다. 다만 “수사 중인 사안이라 구체적인 역할과 책임 범위에 대해서는 언급하기 어렵다”고 덧붙였다. 이준석 개혁신당 의원은 개인정보 유출자가 조선족인지 중국인인지 물었다. 쿠팡에서 유출된 정보가 보이스피싱에 쓰일 수 있어, 유출자가 정보를 범죄조직에 팔았는지 여부를 알기 위해서 질의한다고 하면서다. 박 대표는 “현재 수사가 진행 중”이라며 말을 아꼈다. 이어 이 의원이 “범죄 조직으로 넘어갔다고 볼만한 피해사례 등 근거가 지금 현재 있느냐”고 묻자 박 대표는 “아직까지는 없는 것으로 파악하고 있다”고 답했다. 브랜 메티스 쿠팡 정보보호최고책임자(CISO) 또한 말을 아끼며 "현재 경찰 조사가 진행 중이기 때문에 답변드릴 수 없는 점 양해해 달라”고 말했다.

2025.12.02 14:33안희정

국회 과방위·정무위, '쿠팡 해킹 사태' 따져 묻는다

국회 과학기술정보방송통신위원회와 정무위원회가 최근 개인정보 3천370만건이 유출된 쿠팡에 대해 긴급 현안질의를 진행한다. 1일 국회에 따르면 과방위는 2일 오전 10시 전체회의를 열고 쿠팡 임원진과 유관 기관을 불러 개인정보 유출 사고 경위를 물을 전망이다. 이 회의에는 과학기술정보통신부, 한국인터넷진흥원(KISA), 박대준 쿠팡 대표, 쿠팡 최고정보보호책임자(CISO) 등이 참석할 예정이다. 3일 오후 2시 정무위도 전체회의를 열고 유관기관 및 쿠팡 관계자들을 불러 현안질의를 한다. 정무위는 개인정보보호위원회, 국무조정실, 금융위원회, 금융감독원, 공정거래위원회 등과 쿠팡 관계자들을 대상으로 질의를 실시한다. 쿠팡은 지난달 18일 약 4천500개 계정의 개인정보가 무단으로 유출된 사실을 인지하고 조사를 진행한 결과, 3천370만개 개인정보가 노출된 것을 확인했다고 같은달 29일 공지했다. 이번 개인정보 유출 사고로 노출된 정보는 이름, 이메일 주소, 배송지 주소록(입력한 이름·전화번호·주소), 일부 주문 정보다. 결제 정보, 신용카드 번호, 로그인 정보는 포함되지 않았다고 쿠팡 측은 주장했다. 회사 측에서 진행한 조사에 따르면 올해 6월 24일부터 해외 서버를 통해 무단으로 개인정보 접근이 발생했다. 쿠팡은 사고를 인지한 즉시 경찰청, KISA, 개인정보보호위원회 등 관련기관에 해당 사실을 신고했다. 이번 사태와 관련해 정부는 지난달 30일 긴급 대책회의를 열었다. 정부는 해킹 피해 확산을 방지하기 위해 민관합동조사단을 가동하고 쿠팡의 안전 조치 의무 위반 여부에 대한 조사에 나섰다. 또 개인정보가 인터넷상에서 유출될 가능성을 열어두고 3개월 간 다크웹(특수 경로로만 접근 가능한 웹사이트)을 포함한 '인터넷상 개인정보 유노출 및 불법유통 모니터링 강화기간'을 운영하기로 했다. 윤한홍 국회 정무위원장실 관계자와 야당 간사인 강민국 국민의힘 의원실 관계자는 “쿠팡 관련 정무위 날짜는 오는 3일 오후 2시로 확정됐다”고 말했다.

2025.12.01 16:32박서린

쿠팡, 3370만 개인정보 유출…내부 직원 소행?

쿠팡 서버에서 3천370만개의 고객 개인정보가 무단으로 유출돼 정부가 조사에 나섰다. 정확한 피해 규모와 정보 유출 경위 등에 대한 조사는 아직 진행 중인데, 회사에서 인증업무를 담당했던 내부 직원이 개인정보를 유출했다는 이야기도 나온다. 쿠팡은 지난 29일 입장문을 내고 개인정보 유출로 노출된 계정이 약 3천370만개라고 정정했다. 이는 당초 언급했던 약 4천500개보다 7천500배 이상 큰 규모다. 이번 사태로 유출된 개인정보는 이름, 이메일 주소, 배송 주소록(입력한 이름·전화번호 주소), 일부 주문 정보다. 쿠팡 측은 결제 정보, 신용카드 번호, 로그인 정보는 포함되지 않았다고 선을 그었다. 특히, 쿠팡은 해외 서버를 통해 올해 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다. 회사는 무단 접근 경로를 차단했으며 개인정보 유출을 인지한 지난달 18일 즉시 경찰청, 한국인터넷진흥원, 개인정보보호위원회 등에 이를 신고했다. 이후 무단 접근 경로를 차단하고 내부 모니터링을 강화했다는 것이 쿠팡 측 설명이다. 이와 관련해 배경훈 부총리는 지난 30일 긴급 대책회의를 열고 “정부는 이번 사고로 인한 국민 여러분의 불편과 심려를 해소할 수 있도록 최선의 노력을 다할 것”이라며 “쿠팡을 사칭하는 전화나 문자 등에 각별히 주의해 2차 피해가 일어나지 않도록 당부드린다”고 강조했다. 이날 배 부총리는 해킹 피해 확산을 방지하기 위해 민관합동조사단을 가동하고 쿠팡의 안전 조치 의무 위반 여부에 대한 조사에 나섰다고 밝혔다. 이번 개인정보 유출 사건으로 쿠팡에서 유출된 고객 계정은 약 3천370만개로, 올해 3분기 실적발표 컨퍼런스콜에서 프로덕트 커머스 부분 활성 고객 수가 2천470만명이라는 점을 감안하면 상당수의 정보가 유출된 것으로 파악된다. 또 정부는 개인정보가 인터넷상에서 유출될 가능성을 염두에 두고 3개월 간 다크웹(특수 경로로만 접근 가능한 웹사이트)을 포함한 '인터넷상 개인정보 유노출 및 불법유통 모니터링 강화 기간'을 운영한다. 과학기술정보통신부 관계자는 “쿠팡 멤버십 회원은 1천200만명 수준이지만, 한 사람이 여러 개 ID를 가지고 쓰는 경우가 있다보니 정확한 유출 규모나 숫자에 대해서는 개인정보보호위원회에서 지금 조사를 진행 중”이라며 “쿠팡과 관련된 정보가 혹시 다크웹에 올라오는지 여부도 집중적으로 보고 있지만, 아직까지 나타난 것은 없다”고 답했다. 이어 “결제 정보 등이 유출되지 않았다는 쿠팡의 주장이 맞는지는 조사를 해봐야하는 상황”이라며 “통관번호 등에 대한 유출 여부는 언급되지 않았지만 꾸려진 민관합동조사단을 통해 조사해나갈 예정”이라고 덧붙였다. 일각에서는 이번 개인정보 유출이 내부 직원 소행이라는 의혹이 제기됐다. 해당 직원이 개인정보를 유출한 뒤 한국을 떠나 중국에 체류 중이고, 협박성 이메일을 보낸 정황이 포착됐다는 것. 개인정보 유출 의혹을 받는 직원은 쿠팡 내부에서 인증 업무를 담당했던 것으로 알려졌다. 이 과정에서 인증토큰 서버인증키와 보안 취약점을 악용했을 가능성이 높다는 데 힘이 실린다. 박대준 쿠팡 대표는 “(직원 국적 등은) 수사 영역이고 수사에 적극 협조 중”이라며 “그 얘기를 하는 것 자체가 수사에 영향을 주는 만큼 말씀드리기 어렵다”고 말했다. 또 “피해자와 피해 범위, 유출 내용을 명확히 확정하는 게 우선”이라며 “그 다음 급한 것은 재발 방지 대책이다. 이런 부분이 확정되면 그 다음 피해에 대한 합리적 방안을 성실히 수행할 수 있을 것”이라고 부연했다.

2025.12.01 14:04박서린

쿠팡, 개인정보 노출 3천370만개 확인..."진심으로 사과"

쿠팡은 개인정보가 노출된 고객 계정이 3천370만개로 확인됐다고 29일 밝혔다. 이는 지난 18일 파악된 4천500개 계정보다 약 7천500배 늘어난 수준이다. 쿠팡에 따르면 노출된 정보는 이름, 이메일 주소, 배송지 주소, 배송지 전화번호 등이다. 결제 정보나 신용카드 번호, 로그인 정보는 노출되지 않았다. 쿠팡은 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다. 현재 접근 경로를 차단하고 내부 모니터링을 강화했다. 또 독립적인 리딩 보안기업 전문가를 영입하고 사법 기관 및 규제 당국과 지속적으로 협력하고 있다. 쿠팡 측은 “결제 정보, 신용카드 번호, 로그인 정보는 노출되지 않았으므로 쿠팡 이용 고객은 계정 관련 조치를 취할 필요가 없다”며 “이번 일로 인해 발생한 모든 우려에 대해 진심으로 사과 드리며, 고객 여러분께서 쿠팡을 사칭하는 전화, 문자 메시지 또는 기타 커뮤니케이션에 주의해달라”고 당부했다.

2025.11.29 19:06김민아

"AI 에이전트가 쇼핑 경험 해쳐"…아마존, 퍼플렉시티에 '대리 물건 주문' 중단 요청

아마존이 인공지능(AI) 검색 스타트업 퍼플렉시티에 AI 브라우저 에이전트 '코멧'이 사용자를 대신해 온라인에서 물건을 구매하는 행동을 중단할 것을 요구하는 서한을 보냈다. 4일(현지시간) 블룸버그 등 외신에 따르면 사안에 정통한 관계자들은 아마존이 퍼플렉시티의 AI 에이전트가 사용자 대신 쇼핑할 때 이를 명확히 밝히지 않아 아마존의 서비스 약관을 위반했다고 밝혔다. 아마존은 이를 컴퓨터 사기 행위라고 주장했으며, 해당 기능이 자사 쇼핑 경험을 훼손하고 개인정보 유출 위험을 촉발한다고 지적했다. 반대로 퍼플렉시티는 자사 블로그에서 아마존이 경쟁 AI 쇼핑 에이전트를 보유한 상황에서 더 작은 경쟁사를 괴롭히고 있다고 반박했다. 퍼플렉시티는 “아마존은 사람들이 더 나은 삶을 살도록 돕는 혁신 기업을 위협하려고 한다”며 “사용자가 원하는 에이전트를 선택할 권리가 있어야 한다”고 강조했다. 아마존 약관에는 '데이터 마이닝(데이터 안에서 패턴 혹은 규칙, 관계 등을 찾아 활용할 수 있는 정보를 추출하는 기술), 로봇 및 유사 도구 사용' 금지 조항이 존재한다. 지난해 11월 아마존은 퍼플렉시티에 AI 에이전트의 상품 구매 기능을 협의 전까지 중단하라고 요청했고, 퍼플렉시티는 이에 응했다. 그러나 올해 8월 퍼플렉시티가 새 AI 에이전트 코멧으로 다시 사용자 계정에 로그인해 구매를 시도하자 아마존은 차단을 실시했다. 이후 퍼플렉시티는 이를 우회하는 업데이트를 배포한 한 것으로 알려졌다. 라라 헨드릭스 아마존 대변인은 “외부 에이전트가 고객 대신 상품을 구매한다면 투명하게 운영하고 서비스 제공자의 조건을 존중해야 한다”고 말했다. 그러면서 퍼플렉시티는 아마존의 차단 요청을 무시했으며 코멧이 아마존 이용 경험을 저하시킨다고 비판했다. 이에 퍼플렉시티는 에이전트가 사용자 대리인의 역할을 수행하는 것뿐이라며 사용자와 에이전트를 구분할 필요가 있다고 반박했다. 아라빈드 스리니바스 퍼플렉시티 최고경영자(CEO)는 “에이전트는 사용자와 동일한 권리와 책임을 가져야 한다”며 “아마존이 이를 감시할 권한은 없다”고 덧붙였다. 지난 1년 6개월 동안 퍼플렉시티는 무단 콘텐츠 사용, 불법 스크랩 데이터 활용 등 논란에 휩싸인 바 있다. 이와 관련해 퍼플렉시티는 코멧이 아마존 정보를 훈련이나 스크래핑에 사용하지 않으며 사용자의 구매 명령을 수행하는 것이라고 설명했다.

2025.11.05 09:03박서린

개보위 "로봇청소기 실태점검·SK쉴더스 유출 조사 착수"

개인정보보호위원회(이하 개보위)가 로봇청소기에 부착된 카메라·마이크 등 영상·음성 장비로 인한 개인정보 유출 우려에 대응해 사전 실태점검에 착수했다. 또 최근 침해사고가 발생한 SK쉴더스에 대해서도 개인정보 유출 조사를 진행 중이다. 개보위는 24일 설명자료를 통해 삼성전자, LG전자, 로보락, 에코백스, 샤오미 등 주요 로봇청소기 브랜드 제품을 대상으로 사전 실태점검을 진행 중이라고 밝혔다. 우선 개인정보 처리방침 분석 등을 통해 기초 사실관계를 파악하고, 현장 실사와 사업자 대상 자료 제출 요구를 병행해 정밀 점검하고 있다. 아울러 해당 브랜드 제품을 직접 구매·확보해 기능을 검증하고 있다. 해외 제조사 제품은 개보위가 직접 구매했으며, 국내 제조사 제품은 개보위 내 타 부서가 이미 확보한 장비를 조사에 활용하고 있다고 설명했다. 개보위는 "디지털 증거물에 대한 감식 등을 담당한 포렌식 랩을 연내 구축·운영할 예정"이라며 "나아가 사물인터넷(IoT) 기반 가전, AI 에이전트 등 생활 속 개인정보 수집 기반의 신기술·신서비스에 대한 개인정보 침해 우려를 선제적으로 해소하기 위해 '신서비스·제품 기술분석센터'(가칭) 마련에 관계부처와 적극 협조해 나갈 계획"이라고 밝혔다. 한편 개보위는 해커에 의해 SK쉴더스 업무 자료가 유출돼 다크웹에 게시된 SK쉴더스를 대상으로 개인정보 유출조사에 착수했다. 그간 자료 요구 등을 통해 사실관계를 확인해 왔으며, 22일 오후 11시경 SK쉴더스가 개인정보 유출을 신고함에 따라 즉시 정식 조사로 전환했다. 개보위는 유출 경위·규모와 개인정보보호법 위반 여부를 면밀히 확인할 계획이다.

2025.10.24 17:38김기찬

개보위, '취준생 730만명 정보 유출' 인크루트에 과징금 4.6억원

인크루트가 올해 초 해킹으로 전체 회원 약 730만명의 개인정보가 유출된 사건과 관련 4억6천만원이 넘는 과징금 제재를 받았다. 개인정보보호위원회는 23일 전체회의에서 개인정보보호 법규를 위반한 인크루트에 대해 4억6천300만원의 과징금을 부과했다고 밝혔다. 이와 함께 전문 개인정보보호책임자(CPO) 신규 지정, 정보주체에 대한 피해회복 지원 등 재발방지를 위한 시정조치도 의결했다. 앞서 인크루트는 지난 2월 해킹으로 인해 회원 약 730만명의 개인정보가 유출되는 사고가 일어났다. 조사 결과 인크루트는 '개인정보 보호법'에 따른 안전조치 의무를 소홀히 한 것으로 확인됐다. 인크루트는 3만5천건이 넘는 개인정보가 유출돼 2023년 7월에도 개보위의 제재처분을 받은 바 있다. 개보위에 따르면 신원미상의 해커는 올해 1월 인터넷망에 접속한 인크루트 직원의 업무용 PC를에 악성코드를 감염시켰다. 이후 해커는 개인정보취급자의 데이터베이스(DB) 접속계정을 탈취해 내부시스템에 침투했으며 전체회원 727만5천843명의 개인정보와 이력서·자기소개서·자격증사본 등 회원 개인저장파일 5만4천475건 등 총 438GB에 달하는 취업 관련 정보를 1달여에 걸쳐 유출시켰다. 조사 결과 업무 시간 외 비정상적인 DB 접속기록이 존재했고, 내부자료를 외부로 유출하면서 비정상적인 대용량 트래픽이 발생했다. 그럼에도 인크루트는 이상행위에 대한 대응을 소홀히 해 약 2달이 지난 후 해커의 협박메일을 수신하고 나서야 유출 사실을 인지한 것으로 드러났다. 게다가 민감정보를 포함한 다량의 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자의 컴퓨터에 대한 인터넷망 차단조치를 하지 않은 것으로 파악됐다. 이에 개보위는 개인정보 유출이 반복되는 상황을 심각하게 인식해 반복적 위반에 대해 법을 엄격히 적용했다. 과징금 4억6천300만원을 부과하고 이를 홈페이지에 공표할 것을 명령했다. 또한 구체적인 재발방지 계획을 마련해 60일 이내에 개보위에 보고할 것을 시정명령했다. 개보위는 “유출사고가 반복되는 기업 등 개인정보 보호에 현저히 소홀한 기업에 대해서는 징벌적 효과를 갖는 과징금 제도 개선안을 마련하고 있으며 이를 통해 제재의 실효성을 더욱 강화할 계획”이라고 말했다. 이번 사안에 대해 인크루트는 “이번 사태를 엄중히 받아들이고 앞으로 고객의 개인정보 보호를 위해 최선을 다할 것”이라고 밝혔다.

2025.10.23 14:44박서린

건보공단서 대부업체에 직장가입자 수백명 정보 유출돼

국민건강보험공단에서 5년간 개인정보 노출로 국민 수백 명이 피해를 본 것으로 나타났다. 김윤 더불어민주당 의원이 건보공단으로부터 제출받은 '최근 5년간 무단열람, 유출 등 개인정보 관련 사건 발생 현황'에 따르면, 2021년~2025년 확인된 개인정보 보호 위반 사건은 32건으로, 피해자는 441명으로 확인됐다. 건보공단 직원 일탈로 발생한 사건이 22건으로 가장 많았다. 이에 따른 피해자 수는 247명. 심지어 대부업체에 119명의 직장가입자 정보를 넘기거나 친인척 요구로 타인의 정보를 들여다보다 적발된 사례도 있었다. 이 밖에도 '관리 소홀' 사유는 6건으로 피해자는 없었다. '업무상과실'로 발생한 사건 3건으로 12명의 피해자가 발생했다. 특히 지난달 1일 건보공단 장기요양기관 포털의 '전산오류'로 182명의 개인정보가 유출되기도 했다. 이렇게 유출된 개인정보에는 ▲성명 ▲생년월일 ▲전화번호 ▲직장 정보 ▲진료 내역 ▲소득 ▲자격 정보 등이 포함돼 있었다. 하지만 건보공단의 개인정보 관리 수준 평가에 높은 점수를 받은 것으로 확인됐다. 건보공단은 2021년 직장가입자 119명의 직장 정보가 대부업자에게 유출됐지만 개인정보보호위원회가 시행하는 '공공기관 개인정보 관리수준 진단'에서 양호 등급을 받았다. 2022년에는 최고 수준인 S등급을, 2023년 A등급, 2024년 다시 S 등급을 받았다. 연도별 개인정보 관련 사건은 ▲2021년 6건 ▲2022년 4건 ▲2023년 4건 ▲2024년 6건 등이다. 올해는 10월까지 이미 12건의 위반 사고가 터졌다. 관련해 개인정보 보호법은 1천 명 이상의 유출이 아닐 시 개인정보보호위원회 신고나 대외 고지나 의무가 발생하지 않는다. 김윤 의원은 “임직원 개인 일탈로 개인정보가 반복적으로 유출된 것은 건보공단이 사태의 심각성을 간과한 채 방치해온 결과”라며 “건보공단은 개인정보 보호 체계를 강화하고 재발 방지에 만전을 기해야 한다”라고 지적했다.

2025.10.13 09:23김양균

"다수 자산운용사 해킹"…개보위, 조사 착수

올해 가장 왕성한 활동을 보이고 있는 랜섬웨어 그룹 '킬린(Qilin)이 국내 다수의 자산운용사를 해킹해 내부 데이터를 탈취했다고 공개한 가운데 개인정보보호위원회(개보위)가 본격적인 조사에 착수했다.(☞ 세계적 해킹그룹 국내 금융사 2곳 해킹..."고객 명단에 유명 정치인 포함") 개보위는 최근 다수의 자산운용사로부터 개인정보 유출 신고를 접수받아 조사에 착수했다고 24일 밝혔다. 개보위에 따르면 킬린의 공격을 받은 자산운용사들은 전산설비 서비스 등을 제공하는 업체인 '지제이텍'에서 제공하는 파일서버 서비스를 이용하는 것으로 알려졌다. 이에 다수의 자산운용사가 개보위에 유출 정황을 인지하고 신고한 것으로 보인다. 개보위는 지제이텍을 중심으로 구체적인 유출 경위 및 피해 규모, 안전조치 의무 준수 여부 등을 확인할 예정이다. 아울러 개보위는 "최근 랜섬웨어를 이용한 개인정보 유출 사고가 늘고 있는 만큼 각 사업자들은 운영 중인 서비스에 대한 취약점 점검 및 보안 업데이트 실시, 회원 데이터베이스 등 주요 파일을 별도 백업·보관하는 등 각별한 주의가 필요하다"고 강조했다.

2025.09.24 17:54김기찬

금융사 IT 인력 살펴봤더니…

6개 금융업권(은행·카드·생명보험·손해보험·증권·저축은행)의 IT 인력이 최근 5년간 평균 10%대에 머물고 있는 것으로 나타났다. 국민의힘 강민국 의원이 금융감독원을 통해 받은 '국내 주요 금융업권 IT 인력 현황'에 따르면 올해 8월말 기준 6개 금융업권의 전체 임·직원 대비 IT 인력이 차지한 비중은 평균 11% 수준이었다. 최근 롯데카드의 대규모 정보 유출을 비롯해 랜섬웨어 해킹 등 사이버 공격이 지속되고 있음에도 불구하고 IT 인력은 크게 늘지 않은 것으로 조사됐다. 2021년 9%였던 IT인력 비중은 ▲2022년(9%) ▲2023년 10% ▲2024년 11%로 답보상태였다. 최근 빈번하게 발생하고 있는 금융업권 해킹과 전산장애 등 사이버 보안 위협이 지속적으로 증가하는 금융시장 현실에도 불구하고, 국내 금융업권의 IT 인력 비중과 신규 채용 규모가 정체되어 있는 것으로 조사됐다. 특히 카드업권 IT 인력 비중에 다른 업권보다 높은 가운데 롯데카드의 IT 임원 인력은 고작 3명 뿐인 것으로 나타났다. 카드업권 중 IT 인력 비중은 20% 수준이었으며, 가장 많은 인력을 보유한 곳은 현대카드로 전체 임직원 2천204명 대비 IT 인력이 616명으로 28%로 집계됐다. 카드업권에 이어 ▲생명보험 15%(IT 3천362명/전체 2만3천166명) ▲증권 11%(IT 4천293명/전체 3만8천701명) ▲저축은행 11%(IT 1천31명/전체 9천456명) ▲은행 10%(IT 1만1천553명/전체 11만654명) ▲손해보험 9%(IT 3천177명/전체 3만3천824명) 순으로 집계됐다. 생명보험업권 중 IT 인력 비중은 AIA생명보험이 34%(IT 236명/전체 691명)로 가장 높았으며, DB생명보험이 6%(IT 36명/전체 597명)로 가장 낮았다. 증권업권 중 IT 인력 비중은 토스증권이 61%(IT 265명/전체 437명)로 가장 높았으며, 코리아에셋투자증권이 2%(IT 5명/전체 207명)로 가장 낮았다. 저축은행업권 중 IT인력 비중은 하나저축은행이 22%(IT 36명/전체 161명)로 가장 높았으며, 안양저축은행이 2%(IT 1명/전체 46명)로 가장 낮았다. 은행업권 중 IT 인력 비중은 카카오뱅크가 50%(IT 869명/전체 1천740명)로 가장 높았으며, 기업은행이 6%(IT 806명/전체 1만3천482명)로 가장 낮았다. 특히 은행업권의 경우 인터넷전문은행 3사(케이뱅크·카카오뱅크·토스뱅크)가 비대면 업무라는 특수성으로 다른 은행들에 비해 월등히 IT인력 비중이 높았다. 케이뱅크와 토스뱅크는 모두 각각 49% 수준이었다. 손해보헌업권 중 IT인력 비중은 카카오페이손해보험이 48%(IT 121명/전체 251명), 흥국화재가 5%(IT 54명/전체 1천37명)로 가장 낮았다. 강민국 의원은 “디지털·인공지능(AI) 경제의 확산에 따라 전 산업군에서 IT 인력 수요가 급증하고 있으나 금융업권 IT 인력 비중은 10% 수준"이라며 "'전자금융거래법'의 하위 규정에 대폭 강화된 IT 인력 확보 수준을 명문화시키고, 정보유출 등 중대한 금융 IT사고 발생 시 징벌적 과징금 부과 등의 제도개선 방안을 마련하는 것이 필요하다”고 말했다.

2025.09.22 10:24손희연

국민건강보험 공단 개인정보 노출 사고…개보위, 확인 착수

국민건강보험공단에서 기관별 종사자 및 수급자 182명의 개인정보 유출 사고가 발생한 가운데 개인정보보호위원회(개보위)가 사실관계 확인에 착수했다. 개보위는 9일 국민건강보험공단에서 발생한 개인정보 유출 사고와 관련해 개인정보 유출 경위, 정보주체 통지의무 이행 등 관련 사실관계 확인에 착수했다고 10일 밝혔다. 앞서 전날 국회 보건복지위원회 김선민 조국혁신당 의원실이 공단에서 받은 자료에 따르면 이달 1일 시스템 오류로 장기요양기관 대표자, 종사자, 수급자 등 총 182명의 개인정보가 노출됐다. 노출된 개인정보는 이름, 생년월일, 연락처 등 2~5종이다. 국민건강보험공단에 따르면 접속자 폭증으로 인해 일부 서버에서 과부하가 발생했고 이같은 오류가 일어난 것으로 확인됐다. 이와 관련해 공단은 9일 개인정보 노출로 심려를 끼쳐드린 점을 사과드린다”며 “재발 방지를 위한 개선 대책을 마련하겠다”고 밝힌 바 있다. 개보위는 사실 관계를 확인하고 개인정보보호법 위반 소지가 발견되면 본격적인 조사에 착수할 예정이다.

2025.09.10 21:30김기찬

"대기업 노린 랜섬웨어 늘었다…24시간 내에 신고해야"

"데이터를 암호화하고 이를 인질로 금전 등을 요구하는 랜섬웨어(Ransomware)공격이 과거에는 영세 중소기업이나 지역 제조업체를 대상으로 이뤄졌다면, 최근에는 대기업이나 중견기업 등 이용자 규모가 100만~200만명이 넘는 기업을 대상으로 이뤄지고 있다" 박용규 한국인터넷진흥원(KISA) 위협분석단장은 1일 최근 랜섬웨어 공격 동향에 대해 이같이 밝혔다. 박 단장은 최근 KISA에서 운영하고 있는 침해신고와 유출신고의 차이에 대해 소개하며 최근 침해사고 건수가 전년 동기 대비 15% 늘었고, 침해사고 유형별로 보면 절반 이상이 랜섬웨어 등 서버 해킹 형식으로 공격이 진행됐다고 밝혔다. 이처럼 랜섬웨어 등 침해사고가 빈번해짐에 따라 지난해 정보통신망법이 개정됐고, 침해사고를 미신고하거나 뒤늦게 신고하는 문제점을 개선하기 위해 침해사고의 신고 기준이 명확해졌다고 설명했다. 기존에는 침해사고가 발생하면 '즉시' 신고하도록 규정돼 있었으나, 즉시의 기준이 모호했던 만큼 '24시간 이내 최초 신고', '24시간 이내 보완신고' 등으로 구체화했다. 박 단장은 "침해사고와 유출신고는 비슷하면서도 다른데, 해킹이나 디도스 공격에 의해 침해사고가 발생된 경우에는 24시간 이내에 KISA에 신고해야 하는 의무"라며 "침해사고 외에도 개인정보 유출까지 확인된 경우에는 24시간 이내에 KISA에 신고하고 72시간 이내에 개인정보 유출신고를 해야 한다"고 강조했다. 그는 이어 "침해사고는 발생하지 않았지만 개인정보만 유출된 경우에는 72시간 이내에 개인정보 유출 신고만 하면 된다"면서 "KISA는 신고가 접수되면 사고 증적 확보, 침해사고 분석, 대응 및 조치는 물론 재발방지 등의 조치까지 진행한다"고 설명했다. 아울러 박 단장의 설명에 따르면 KISA는 중소기업이나 영세한 기업들의 경우 침해사고가 발생해도 대기업 대비 보안 역량이 떨어지기 때문에 사전에 다크웹이나 위협헌팅 프로그램을 통해 침해사고 현황을 면밀히 모니터링하고 있다. 자체탐지를 통해 침해사고가 확인되면 피해 기업에 KISA를 통한 신고를 안내한다. 박 단장은 "KISA가 이같은 노력을 하고 있지만 침해사고를 당한 기업 입장에서는 대외 이미지가 나빠질 것을 우려해 여전히 신고를 꺼려하는 경우가 많다"며 "기업이 신고를 하지 않으면 KISA 측에서 강제로 신고할 수 있는 법적 강제성도 없는 구조적인 문제도 해결이 되지 않고 있는데, 침해사고 발생 시 빠르게 신고하고 조치받을 수 있어야 한다"고 당부했다. 한편 침해사고에는 데이터를 탈취해 포럼 등을 통한 판매는 물론 탈취한 데이터를 암호화하는 식의 랜섬웨어까지 유형이 다양하다. 하지만 디페이스(홈페이지 위·변조) 공격 등 데이터 탈취가 목적이 아니라 자신의 해킹 실력을 과시하기 위한 침해사고 등은 KISA의 대응 체계에서 사전에 탐지되지 않을 가능성도 있다. 박 단장은 이같은 기자의 질문에 "기본적으로 KISA가 어떤 다크웹에 접속해서 유출 사실을 확인하게 되면 KISA도 침해 행위를 한 것으로 법적 판단이 이뤄질 수 있다"며 "그래서 여러 업무를 하고 있는 국내외 업체들과 인텔리전스 체계를 운영하고 있고, 각 국에서 확보되지 않은 다양한 정보들이 있을 수 있기 때문에 최대한 여러 국가 및 기관·기업과의 네트워킹을 통해 사전에 정보를 수입하고 있다"고 설명했다.

2025.09.01 11:00김기찬

개보위, SKT 제재안 27일 상정…과징금 얼마나?

개인정보보호위원회(위원장 고학수)는 대규모 고객 유심(USIM) 정보 유출 사고가 발생한 SK텔레콤(SKT)에 대한 제재안을 오는 27일 전체회의에 상정하기로 했다고 21일 밝혔다. 전체회의는 비공개로 열린다. 이날 결론이 나면 개인정보위는 별도 브리핑을 통해 결과를 설명할 예정이다. 앞서 개보위는 지난 4월 SKT로부터 개인정보 유출 신고를 받은 뒤 조사에 착수한 바 있다. 이후 4개월여 조사를 거쳐 이번 전체회의가 열리는 것이다. 조사 과정동안 개보위는 SKT가 개인정보를 유출한 이후 고객 통지를 제대로 했는지, 외부 침입 차단 등 안전조치 의무를 준수했는지 등을 중점적으로 점검했다. 개보위는 대부분의 조사 절차를 마치고 지난달 말 SKT에 처분 사전통지를 했다. '개인정보보호위원회의 조사 및 처분에 관한 규정'에 따르면 예정된 처분에 대해 개보위 조사관은 사전통시서를 당사자에 통지해야한다. 사전통지서에는 처분 원인 및 내용, 적용 법령, 의견 제출 기한 등이 포함된 것으로 알려졌다. 고학수 개보위 위원장은 이달 초 열린 '생성형 인공지능 프라이버시 오픈 세미나'에서 SKT 제재와 관련해 "법과 원칙에 따라 엄정하게 처분할 것"이라고 언급한 바 있다. 개인정보보호 당국이 엄정 처분을 예고한 만큼 제재 수위에 대한 관심은 더욱 높아지는 모양새다. 개인정보보호법에 따르면 과징금은 매출액 3% 이내에서 부과할 수 있다. 고시 기준에 따라 가중·감경 사유들을 전반적으로 고려 후 개인정보위 전체회의를 열어 제재 수준을 정하게 된다. SKT의 지난해 매출액은 17조9406억원이다. 이 중 무선통신사업 매출액은 약 12조7700억원으로, 최대 3%에 해당하는 약 3800억원대의 과징금이 부과될 것이라는 관측도 나온다. 다만 SKT가 개인정보 유출 사실을 자발적으로 신고하고 피해자 구제와 재발 방지 대책도 내놨던 만큼 감경 사유로 적용돼 과징금 수위는 이보다 낮아질 가능성도 크다. 지난달 과학기술정보통신부(과기정통부)가 발표한 SKT 침해사고 최종 조사결과에 따르면 총 28대가 공격을 받았고, 악성코드 33종이 발견돼 조치가 완료됐다. 유출된 정보는 9.82GB(기가바이트) 규모의 유심 정보 25종과 가입자 식별번호(IMSI) 기준 2천696만건이다. 과기정통부는 SKT 해킹 사태가 SKT의 계정정보 관리 부실과 2022년 2월 있었던 침해사고에 대한 대응 미흡 등에 원인이 있다고 봤다. 아울러 계정 비밀번호 관리 강화, 주요 정보 암호화, 정보보호관리체계(거버넌스) 강화, 정보보호 인력 및 예산 확대 등의 재발방지 대책을 마련할 것을 강조했다.

2025.08.21 13:58김기찬

데이터법정책학회, 해킹-개인정보 유출 법적 이슈 살피는 세미나 연다

한국데이터법정책학회는 오는 21일 웨스틴조선호텔에서 해킹과 개인정보 유출에 따른 정보통신망법, 개인정보보호법, 민법, 행정법 등의 분야에 대한 법적 이슈과 과제를 살피는 세미나를 개최한다. 이경호 고려대 정보보호대학원 교수와 같은 대학원 박종수 교수가 해킹의 기술적 이슈와 법적 이슈에 대한 세미나 발제를 맡았다. 발제에 이어지는 토론에는 손승우 부회장을 좌장으로 정원준 한국법제연구원 AI법제팀장, 법무법인 지평의 신용우 변호사, 김화 이화여대 법학전문대학원 교수, 김장 법률사무소의 박종국 변호사, 김태오 창원대 법학과 교수, 김기범 성균관대학교 과학수사학과 교수가 참여한다. 이성엽 회장은 “최근 급증하고 있는 해킹으로 인한 개인정보 유출로 인해 다양한 기술적, 법적 이슈가 제기되고 있는 상황에서 대안을 제시하는 의미 있는 세미나가 될 것”이라고 말했다.

2025.08.14 14:39박수형

美 데이팅앱 티, 해킹으로 7만여 사용자 사진 유출

남성과의 데이트 경험을 익명으로 공유할 수 있는 여성 전용 앱 '티(Tea)'가 해킹 공격을 받아 약 7만2천장의 사용자 이미지가 유출됐다. 최근 테크크런치에 따르면 유출된 이미지에는 본인 인증용으로 제출된 셀프 카메라 사진 및 신분증 사진 1만3천장과, 게시물·댓글·DM(다이렉트 메시지) 등에 포함된 사진 5만9천장이 포함돼 있다. 회사 측은 다만 이메일 주소나 전화번호는 유출되지 않았으며, 피해 대상은 2024년 2월 이전 가입자에 한정된다고 설명했다. 티는 미국 내 여성을 위한 전용 데이팅 앱으로, 사용자가 자신이 만나는 남성에 대해 익명으로 후기를 올릴 수 있도록 설계됐다. 앱 웹사이트에 따르면 티는 여성들이 보다 안전하게 데이트할 수 있는 도구를 제공하기 위해 출시됐으며, 데이트 프로필에 도용된 사진을 잡아내기 위한 AI 기반 역이미지 검색 기능을 제공한다. 또한 남성의 전화번호를 검색해 숨겨진 혼인 여부를 확인하거나, 범죄기록 조회, 성범죄자 등록 지도 기능 등도 지원한다. 티 측은 공식 공지를 통해 해당 이미지는 게시물과 연결할 수 없는 상태였으며, 사이버 괴롭힘 방지 등 법 집행 기준을 충족하기 위해 저장된 데이터였다고 설명했다. 또 2024년 2월 이후 가입자의 정보는 모두 안전하며, 외부 보안 전문가들과 협력해 추가 조치를 취하고 있다고 밝혔다. 이어 이번 사안은 현재 수사 중이며, 조사가 마무리되는 대로 피해 사용자에게는 무료 신원 보호 서비스를 제공할 예정이라고 덧붙였다. 이와 관련해 외신은 4chan 등 온라인 커뮤니티 사용자들이 티 앱에서 유출된 데이터베이스를 찾아낸 뒤, 개인정보와 사진을 공유하고 있다고 보도했다. 이번 해킹은 티 앱이 최근 소셜미디어에서 입소문을 타고 인기를 얻는 가운데 발생했다. 실제로 20일 오전 기준, 애플 앱스토어 무료 앱 순위에서 티는 여전히 1위를 기록하고 있다. 티 측은 여전히 회사가 이 커뮤니티를 보호하는 데 최선을 다하고 있으며, 이용자 여러분의 인내와 신뢰에 감사드린다고 밝혔다.

2025.07.28 10:46류승현

루이비통 고객 42만명 개인정보 유출에…홍콩 당국, 조사 돌입

홍콩 프라이버시 감시 기관이 루이비통 고객 데이터 유출 사건에 대해 조사 중이다. 21일(현지시간) 블룸버그 등 외신에 따르면 루이비통 홍콩 대변인은 유출된 고객 정보에 ▲이름 ▲여권번호 ▲생년월일 ▲주소 ▲이메일 ▲전화번호 ▲구매 이력 및 제품 선호도가 포함돼 있으나 ▲결제 정보는 해당되지 않는다고 밝혔다. 홍콩 개인정보보호위원회는 이 사건을 조사 중이며 당국에 대한 통지 지연 여부도 조사 대상에 포함된다고 언급했다. 다만, 현재까지 이번 유출과 관련된 민원이나 문의는 접수되지 않았다고 부연했다. 이번 홍콩 데이터 유출은 이달 초 영국와 한국에서 발생한 유사한 사건들에 이어 발생한 것이다. 이달 4일 루이비통코리아는 보안 관련 사고가 지난달 8일 일어났다고 하며 “권한 없는 제3자가 당사 시스템에 일시적으로 접근해 일부 고객 정보가 유출됐다”고 말한 바 있다. 루이비통과 같은 명품 그룹에 속해 있는 디올도 지난 5월 고객 정보가 유출되는 사이버 공격을 겪었다. 홍콩 개보위는 루이비통 본사가 지난달 13일 컴퓨터 시스템에서 의심스러운 활동을 발견했고 이달 2일 홍콩 고객이 영향을 받았다는 사실을 확인했다고 발표했다. 같은 날 홍콩지사는 사건 사실을 통보 받았으며 지난 17일 유출 보고서를 제출했다. 루이비통은 “무단 접근자에 의한 일부 고객 데이터 접근이 있었음을 확인한 후 사이버 보안 전문가의 지원을 받아 사건을 조사하고 통제하기 위한 조치를 즉시 취했다”고 말했다. 이어 “규제 당국 및 피해 고객에게 통보하고 있으며 시스템 보안을 강화했다”고 덧붙였다.

2025.07.22 09:50박서린

다크웹에 잡코리아·알바몬 개인정보가?...회사 "사실무근"

다크웹에서 15만 건에 달하는 잡코리아·알바몬 이용자 개인정보가 판매되고 있다는 의혹이 제기되자 회사 측은 내부 조사 결과 사실이 아니라며 의혹을 전면 부인했다. 9일 플랫폼업계에 따르면 최근 잡코리아·알바몬 이용자 개인정보로 추정되는 데이터가 다크웹을 통해 판매되고 있다는 소식이 나왔다. 해커는 ▲이름 ▲전화번호 ▲이메일 ▲생년월일 주소 등 주요 개인정보를 포함해 약 15만 건의 데이터를 확보했다고 주장했다. 게시글에는 일부 계정 정보가 담긴 예시 파일이 함께 첨부된 것으로 알려졌다. 잡코리아와 알바몬은 이같은 의혹에 대해 사실무근이라는 입장이다. 잡코리아 관계자는 “해당 사안에 대해 내부적으로 조사한 결과 15만 건에 달하는 개인정보는 유출되지 않은 것으로 확인됐다”며 “해커가 근거없는 주장을 한 것으로 보고 있다”고 말했다. 이어 “지난 5월 개인정보 유출 사고 이후 추가적인 피해 사례는 없는 것으로 확인했다”면서 “보안도 계속해서 강화하고 있다”고 덧붙였다. 앞서 알바몬은 지난 5월 해킹 공격으로 임시저장 이력서 2만2천 여건상의 정보 유출 정황을 확인해 개인정보보호위원회에 자진신고한 바 있다. 이로 인해 알바몬은 개인정보 유출 피해자에 10만원 상당의 보상을 지급하기도 했다.

2025.07.09 17:19박서린

Prev 1 2 3 4 5 Next