검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'결제 정보'통합검색 결과 입니다. (15건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

쿠팡 충성고객 이탈 조짐...'이것'마저 줄었다

단골 이용자 충성도 가늠자 역할인 '선불충전금' 규모가 줄어들면서 쿠팡 이용자 이탈 조짐이 가시화됐다는 분석이 나온다. 개인정보 유출 사고 이후 보상책으로 내놓은 쿠폰 방식이 한국 소비자 정서에 반하면서, 향후 회사 대응에 따라 이용자 회복 여부가 갈릴 전망이다. 선불충전금 100억원 이상 감소…이례적 변화 쿠팡페이 공지사항에 따르면 쿠팡의 자체 간편결제 서비스인 쿠팡페이의 지난해 4분기 선불충전금은 약 1천123억원으로 집계됐다. 이는 대규모 개인정보 유출 사고가 발표되기 전인 3분기(1천236억원) 대비 9.1% 줄어든 수치로, 전년 동기(약 1천176억원)와 비교해도 4.5% 감소했다. 분기 기준으로 쿠팡의 선불충전금이 100억원 이상 줄어든 것은 이례적인 사례로 꼽힌다. 지난해 2분기에는 선불충전금 규모가 1분기(1천201억원) 대비 감소했지만 감소폭은 5억원에 그쳤고, 2024년 3분기(1천183억원)에서 4분기(1천176억원)로의 감소 역시 7억원 수준에 불과했다. 이에 비해 이번 감소폭은 상대적으로 크다는 평가다. 선불충전금은 이용자가 플랫폼에 미리 현금을 맡겨두는 구조로, 업계에서는 결제 습관과 플랫폼 신뢰도를 가늠할 수 있는 보조 지표로 활용된다. 충전금을 유지할수록 해당 플랫폼을 반복적으로 이용할 가능성이 높다는 점에서다. 경쟁사는 증가세인데…카드 결제액도 하락 반면 주요 경쟁 이커머스의 선불충전금은 증가세를 보이며 쿠팡과는 상반된 흐름을 나타냈다. 지난해 말 기준 네이버페이의 선불충전금은 약 1천769억원으로, 3분기 말(약 1천689억원) 대비 4.7% 늘었다. 같은 기간 컬리는 약 9억원에서 11억원으로 22% 증가했다. 쿠팡 개인정보 유출 발표 이후, 일간활성이용자수(DAU) 회복에 상대적으로 어려움을 겪고 있는 SSG닷컴 역시 선불충전금 규모는 증가했다. 지난해 4분기 SSG페이의 선불충전금은 약 602억원으로, 직전 분기(약 586억원) 대비 2.7% 늘어난 것으로 집계됐다. 쿠팡의 신용카드 결제금액 역시 감소 흐름을 보였다. 12월 첫째 주(1~7일) 1조385억원이던 결제액은 둘째 주 9천743억원, 셋째 주 9천783억원, 넷째 주 9천562억원으로 줄었고, 올해 1월 첫째 주에는 9천405억원까지 내려왔다. 서용구 숙명여대 경영학과 교수는 “탈팡 현상이 나타날 경우 그 결과는 매출 감소로 이어질 수밖에 없다”며 “선불충전금과 신용카드 결제액 하락은 그런 흐름 속에서 불가피하게 나타나는 지표”라고 설명했다. 이어 “한국 소비자 정서와 맞지 않는 쿠폰 지급 방식이 이용자의 불만을 키운 측면도 있다”고 덧붙였다. 그러면서 “정부가 영업정지 가능성까지 거론하는 상황에서 쿠팡의 향후 대응에 따라 국면은 달라질 수 있다”며 “만약 대응이 미흡할 경우 현재보다 10% 이상 추가로 빠질 가능성도 배제할 수 없다”고 말했다.

2026.01.14 14:32박서린

KT알파 기프티쇼, 계정 도용 사고..."외부서 수집된 정보로 결제 진행"

KT알파가 운영하는 모바일 상품권 서비스 기프티쇼에서 계정 도용을 통해 상품권이 무단 결제되는 사고가 발생했다. 회사 측은 내부 시스템에서 개인정보가 유출된 정황은 발견되지 않았다며, 고객 피해 금액 전액을 취소하는 선제적 보상 조치를 완료했다고 밝혔다. 25일 KT알파에 따르면 지난 14일 기프티쇼에서 시스템 해킹이 아닌, 외부에서 불법 수집된 타인의 개인정보를 이용해 로그인을 시도한 뒤 결제를 진행하는 계정 도용 사고가 발생했다. 회사 측은 사고를 인지한 즉시 해당 결제 건을 전액 취소 처리하고 관계 기관에 신고했다. 또한 부정 로그인 차단과 보안 모니터링 강화 등 긴급 보안 조치도 병행했다. KT알파는 이번 사고를 계기로 근본적인 재발 방지를 위한 전사적 대응 체계를 구축하고 있다고 설명했다. 주요 방안으로는 ▲결제 인증 절차 강화 ▲이상 거래 탐지 체계 고도화 ▲고객 대상 보안 안내 확대 등이 포함된다. 회사 관계자는 “고객 보호를 최우선으로 판단해 선제적 환불 조치를 시행했다”며 “현재 관계 기관과 긴밀히 공조해 사고 원인을 면밀히 규명하고 있으며, 재발 방지 대책 마련에 최선을 다하고 있다”고 말했다. 이어 “최근 대형 이커머스 플랫폼을 겨냥한 계정 도용 등 사이버 공격이 빈번해지는 만큼, 이번 사안을 매우 엄중하게 인식하고 있다”며 “사고 예방과 신속한 대응을 위해 보안 체계 구축에 만전을 기할 것”이라고 덧붙였다. KT알파는 고객들에게도 보안 수칙 준수를 당부했다. 외부 사이트에서 유출된 정보가 악용되는 것을 막기 위해 사이트별로 서로 다른 비밀번호를 설정하고, 이를 주기적으로 변경하는 등 개인 보안 관리에 주의를 기울여 줄 것을 권고했다.

2025.12.25 12:27안희정

쿠팡 사태로 커지는 불안감에…배경훈 부총리 "안심주소 검토해 볼 만"

과학기술정보통신부가 택배 운송장 등에 실제 주소 대신 가상 주소를 표기하는 '안심주소' 도입을 검토하자는 제안에 긍정적인 입장을 보였다. 배경훈 부총리가 17일 국회 과학기술정보통신위원회 청문회에서 "안심주소를 연구해 볼 의향이 있냐"고 묻는 이준석 개혁신당 대표의 질문에 "검토해 볼만한 문제"라고 말했다. '안심주소'는 실제 전화번호 대신 임시 가상 전화번호를 부여하는 '안심번호'와 유사한 서비스로 추정된다. 이번에 언급된 '안심주소'는 지난달 29일 쿠팡 대규모 개인정보 유출 사태로 인해 국민 불안이 커지면서 필요성이 대두되고 있다. 당시 쿠팡은 조사 결과, 3천370만개 계정의 개인정보가 유출됐다고 밝히며 유출된 자료는 이름, 이메일 주소, 입력한 이름과 전화번호 및 주소를 포함한 배송지 주소록, 일부 주문 정보라고 주장했다. 특히 어떠한 결제 정보, 신용카드 번호, 로그인 번호는 포함되지 않았다고 강조했으나 이달 초 현안 질의에서 일부 공동현관 비밀번호가 유출됐다는 점을 시인했다.

2025.12.17 15:59박서린

장승환 지마켓 "무단 결제 사건, 해킹 아냐…보안 의식 강화할 것"

장승환 지마켓 대표가 최근 발생한 무단 결제 사건과 관련해 이는 해킹 사고와 무관하다고 밝혔다. 장 대표는 4일 임직원 메시지를 통해 "자사 사이트에서 도용이 의심되는 고객 피해 사례가 발생했다"면서 "이번 건은 해킹과는 무관한 사고며 외부 침입 흔적은 전혀 없었다"고 주장했다. 이어 "(이번 사고는) 외부에서 불법 수집한 개인정보를 활용해 로그인한 뒤 결제한 수법"이라며 "여러 사이트에서 동일한 계정을 사용하는 관행을 악행한 전형적인 도용 범죄"라고 못 박았다. 앞서 지마켓에서는 지난 29일 60여 명의 회원을 대상으로 무단 결제 사고가 발생했다. 무단 결제는 지마켓 간편결제 서비스인 '스마일페이'에 등록된 카드로 상품권을 구입하는 방식으로 이뤄졌으며, 개인당 피해 금액은 3만~20만원가량이다. 지마켓은 금융감독원에 선제적으로 신고를 진행했으며, 금감원은 전날 현장조사에 착수했다. 같은날 쿠팡에서는 회원 3천370만명의 계정 정보가 유출됐다고 알리기도 했다. 그는 "이번 사건이 최근 발생한 타사 해킹 의심 사고 시점과 맞물린 점을 고려해 중대한 사안으로 판단하고 관계기관인 금감원에 신고했다"고 언급했다. 그러면서 "이번 사례를 계기로 전사 차원에서 보안 의식을 더욱 강화하고, 안전한 개인정보 관리 환경을 선도해 나갈 것"이라고 덧붙였다. 전날 지마켓은 무단 결제 사고와 관련해 피해 고객 전원에게 피해금액에 대한 전액 환율 보상을 결정한 바 있다.

2025.12.04 18:51박서린

지마켓 무단 결제 사고 발생...금감원 "현장 실사 계획"

대규모 개인정보 유출 사고가 일어난 쿠팡에 이어, 지마켓에서도 고객 정보 도용으로 인한 무단 결제 사고가 발생했다. 3일 지마켓에 따르면 지난달 29일 지마켓 고객 센터에 수십명의 회원으로부터 무단 결제 피해를 입었다는 신고가 접수됐다. 금융감독원 확인 결과, 피해를 입은 회원은 대략 60여 명이다. 무단 결제는 지마켓 간편결제 서비스인 '스마일페이'에 등록된 카드로 상품권을 구입하는 방식으로 이뤄졌다. 이들의 피해 금액은 한 사람당 3만~20만원 가량이다. 사건을 인지한 후 지마켓이 지난 주말(지난달 29~30일) 긴급 보안 점검을 시행한 결과, 정보 유출 및 해킹 시도 흔적이 발견되지 않음에 따라 명의도용에 무게를 싣고 있다. 이 과정에서 피해를 입은 회원이 추가적으로 파악된 것으로 알려졌다. 지마켓은 지난 2일 무단 결제 사고를 금감원에 신고했다. 피해 금액이 1인당 100만원 이하로 법적 신고 대상은 아니지만, 최근 연이어 발생한 개인정보 유출 사고로 인해 사안의 중대성을 인식하고 선제적으로 조치를 단행했다는 것이 회사 측 설명이다. 지마켓 관계자는 “사안 접수 후 반나절 만에 IP 차단과 함께 보안 상향 조치를 진행했다”며 “피해를 인지하지 못한 고객을 위해 조금이라도 피해가 의심되면 먼저 연락해 확인 절차도 거쳤다”고 말했다. 이어 “플랫폼 내에서 전 고객 대상으로 비밀번호 변경 캠페인을 진행하고 있고, 보안도 2차로 강화하는 방식으로 후속 조치를 실시하고 있는 중”이라고 덧붙였다. 금감원은 이날 무단 결제 사고가 발생한 지마켓에 현장 실사를 시행한다는 방침이다.

2025.12.03 10:14박서린

개인정보 유출 용의자는 중국인?…쿠팡 사태 의혹 짚어보니

쿠팡 대규모 개인정보 유출 사건 유력 용의자로 지목된 전 직원이 중국인이라는 의혹이 제기된 가운데, 경찰은 "수사가 필요하다"는 입장이다. 쿠팡 IT 인력의 절반 이상이 중국인이라는 의혹에 대해 회사 측은 이를 전면 부인했다. 2일 관련업계에 따르면 쿠팡은 지난달 18일 경찰에 개인정보 유출 피해를 확인했다는 신고를 접수했다. 당시 쿠팡은 4천500개의 고객 정보가 유출된 것으로 파악했으나, 후속 조사 결과 약 3천370만개가 무단 유출된 것으로 확인됐다. 이 과정에서 쿠팡이 밝힌 유출 정보는 이름, 이메일 주소, 배송지 주소록(입력한 이름, 전화번호, 주소), 일부 주문정보다. 회사는 어떤한 결제 정보, 신용카드 번호, 로그인 정보도 유출되지 않았다며 이용고객에게 계정 관련 조치를 취할 필요가 없다고 주장했다. 쿠팡 개인정보 유출 사고를 둘러싸고 제기된 의혹과 정부·경찰·회사 측 입장을 문답으로 정리했다. Q. 쿠팡 대규모 개인정보 유출 사건에서 정보가 유출된 기간은 얼마인가? A. 류제명 과학기술정보통신부 2차관: 공격식별 기간은 지난 6월 24일부터 11월 8일까지다. Q. 개인정보 유출 시점과 인지 시점 간 5개월의 간극이 있다. 뒤늦게 파악한 것인가? 개인정보 유출을 은폐한 것인가? A. 쿠팡 : 지난달 18일 약 4천500개 계정의 개인정보 유출 사실을 인지했다. 후속 조사 결과 고객 계정 약 3천370만개가 유출됐다는 것을 확인했다. 경찰: (개인정보 유출 사태 은폐, 축소 의혹과 관련해) 필요하면 수사하겠다. Q. 유출된 것으로 추정되는 3천370만개의 계정은 모두 현재 활동 중인가? A. 박대준 쿠팡 대표: 3천370만개의 계정에는 휴면, 탈퇴 회원 정보도 포함됐다. Q. 이번 사건의 발단이 된 개인정보 유출은 내부 소행인가? A. 쿠팡: 회사 시스템과 내부 네트워크망의 외부 침입 흔적은 없는 것으로 확인했다. 현재까지 조사에 따르면 해외 서버를 통해 무단으로 개인정보에 접근한 것으로 추정하고 있다. Q. 이번 사건의 유력 용의자(공격자)는 중국인인가? A. 류 차관: 현재 언급되는 공격자의 신상에 대한 정보는 경찰 수사로 확인이 필요하다. 확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3천만건의 개인정보 유출을 주장했다. 경찰 : 유력 용의자의 국적 등은 아직 확인할 수 없다. Q. 쿠팡이 받은 개인정보 유출 관련 협박 메일에는 어떤 내용이 담겼나? A. 박 대표: 용의자가 '자기가 이걸 어떻게 입수했고 취약점을 빨리 보완해라. 그렇지 않으면 폭로하겠다'라는 내용으로 메일을 보냈다. 브랜 메티스 쿠팡 정보보호최고책임자(CISO): 데이터를 자기가 취득해서 가지고 있다고 이메일로 이야기했다. 또 이 정보가 악용되지 않을 거라고 했다. Q. 대규모 개인정보를 유출한 직원은 쿠팡에서 인증 업무를 담당하던 담당자인가? A. 박 대표: (개인정보 유출 용의자로 지목된 직원은)인증 업무를 맡은 것이 아니라 인증 시스템을 개발하는 개발자였다. Q. 쿠팡 IT 인력 절반 이상이 중국이라는 의혹은 사실인가? 또 매니저의 90% 이상은 중국인으로 구성돼 있는가? A. 박 대표: 사실이 아니다. 한국인 비율이 압도적으로 많다. Q. 개인정보를 유출한 것으로 추정되는 직원은 개인인가? 팀인가? A. 박 대표: 단수나 복수라고 단정할 수는 없다. 수사 중이라 말할 수 없다. Q. 개인정보 유출 용의자로 지목된 직원은 어떤 방식으로 정보를 유출했나? A. 류 차관: 공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했다. 이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 사용됐다. Q. 이번 사건 용의자로 지목된 퇴직 직원의 권한은 어떻게 했나? A. 박 대표: 용의자 퇴직 후 권한을 말소했다. Q. 개인정보 유출 범위에 결제 정보, 신용카드 번호, 로그인 정보가 포함되지 않은 것이 맞는가? A. 과기정통부: 개인정보 유출 범위는 개인정보보호위원회가 확정한다. 개보위: 아직 쿠팡에서 개인정보가 무단으로 노출됐다는 사실을 신고한 정도로 인지하고 수사 중이다. Q. 결제 정보 등이 유출되지 않았다는데, 카드 정보 등을 바꾸지 않아도 되는가? A. 김승주 고려대 정보보호대학원 교수: 피해가 확산할 수 있기 때문에 결제 카드를 삭제하고, 카드와 쿠팡 로그인 비밀번호를 변경하는 게 좋다. Q. 개인통관고유부호(통관번호)와 공동 현관 출입문 비밀번호는 유출됐나? 쿠팡 : 현재까지 확인된 바로는 통관번호는 노출되지 않았고 공동 현관 출입문 비밀번호는 일부 포함됐다.

2025.12.02 16:37박서린

쿠팡, 3370만 개인정보 유출…내부 직원 소행?

쿠팡 서버에서 3천370만개의 고객 개인정보가 무단으로 유출돼 정부가 조사에 나섰다. 정확한 피해 규모와 정보 유출 경위 등에 대한 조사는 아직 진행 중인데, 회사에서 인증업무를 담당했던 내부 직원이 개인정보를 유출했다는 이야기도 나온다. 쿠팡은 지난 29일 입장문을 내고 개인정보 유출로 노출된 계정이 약 3천370만개라고 정정했다. 이는 당초 언급했던 약 4천500개보다 7천500배 이상 큰 규모다. 이번 사태로 유출된 개인정보는 이름, 이메일 주소, 배송 주소록(입력한 이름·전화번호 주소), 일부 주문 정보다. 쿠팡 측은 결제 정보, 신용카드 번호, 로그인 정보는 포함되지 않았다고 선을 그었다. 특히, 쿠팡은 해외 서버를 통해 올해 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다. 회사는 무단 접근 경로를 차단했으며 개인정보 유출을 인지한 지난달 18일 즉시 경찰청, 한국인터넷진흥원, 개인정보보호위원회 등에 이를 신고했다. 이후 무단 접근 경로를 차단하고 내부 모니터링을 강화했다는 것이 쿠팡 측 설명이다. 이와 관련해 배경훈 부총리는 지난 30일 긴급 대책회의를 열고 “정부는 이번 사고로 인한 국민 여러분의 불편과 심려를 해소할 수 있도록 최선의 노력을 다할 것”이라며 “쿠팡을 사칭하는 전화나 문자 등에 각별히 주의해 2차 피해가 일어나지 않도록 당부드린다”고 강조했다. 이날 배 부총리는 해킹 피해 확산을 방지하기 위해 민관합동조사단을 가동하고 쿠팡의 안전 조치 의무 위반 여부에 대한 조사에 나섰다고 밝혔다. 이번 개인정보 유출 사건으로 쿠팡에서 유출된 고객 계정은 약 3천370만개로, 올해 3분기 실적발표 컨퍼런스콜에서 프로덕트 커머스 부분 활성 고객 수가 2천470만명이라는 점을 감안하면 상당수의 정보가 유출된 것으로 파악된다. 또 정부는 개인정보가 인터넷상에서 유출될 가능성을 염두에 두고 3개월 간 다크웹(특수 경로로만 접근 가능한 웹사이트)을 포함한 '인터넷상 개인정보 유노출 및 불법유통 모니터링 강화 기간'을 운영한다. 과학기술정보통신부 관계자는 “쿠팡 멤버십 회원은 1천200만명 수준이지만, 한 사람이 여러 개 ID를 가지고 쓰는 경우가 있다보니 정확한 유출 규모나 숫자에 대해서는 개인정보보호위원회에서 지금 조사를 진행 중”이라며 “쿠팡과 관련된 정보가 혹시 다크웹에 올라오는지 여부도 집중적으로 보고 있지만, 아직까지 나타난 것은 없다”고 답했다. 이어 “결제 정보 등이 유출되지 않았다는 쿠팡의 주장이 맞는지는 조사를 해봐야하는 상황”이라며 “통관번호 등에 대한 유출 여부는 언급되지 않았지만 꾸려진 민관합동조사단을 통해 조사해나갈 예정”이라고 덧붙였다. 일각에서는 이번 개인정보 유출이 내부 직원 소행이라는 의혹이 제기됐다. 해당 직원이 개인정보를 유출한 뒤 한국을 떠나 중국에 체류 중이고, 협박성 이메일을 보낸 정황이 포착됐다는 것. 개인정보 유출 의혹을 받는 직원은 쿠팡 내부에서 인증 업무를 담당했던 것으로 알려졌다. 이 과정에서 인증토큰 서버인증키와 보안 취약점을 악용했을 가능성이 높다는 데 힘이 실린다. 박대준 쿠팡 대표는 “(직원 국적 등은) 수사 영역이고 수사에 적극 협조 중”이라며 “그 얘기를 하는 것 자체가 수사에 영향을 주는 만큼 말씀드리기 어렵다”고 말했다. 또 “피해자와 피해 범위, 유출 내용을 명확히 확정하는 게 우선”이라며 “그 다음 급한 것은 재발 방지 대책이다. 이런 부분이 확정되면 그 다음 피해에 대한 합리적 방안을 성실히 수행할 수 있을 것”이라고 부연했다.

2025.12.01 14:04박서린

한국 주도 '제3자 결제서비스제공기관의 정보보호' 국제표준 발간

우리나라가 제안한 '제3자 결제서비스 제공기관을 위한 정보보호 지침 및 요구사항'이 국제표준으로 발간됐다. 국내외적으로 제3자 결제서비스가 활발하게 진행 중인 상황에서 산업통상자원부 국가기술표준원과 금융결제원은 국내 금융 보안기술을 국제표준에 선제적으로 반영하기 위해 2022년 8월 '금융서비스 국제표준화위원회(ISO/TC 68)'에 표준안을 제안했다. 이 표준안은 지난 3년간의 국제적 논의를 거쳐 ISO18960 표준으로 발간됐다. 제3자 결제서비스란 고객 계좌를 보유하고 있지 않은 기관이 모바일이나 온라인상에서 결제·조회·송금 서비스를 제공하는 것으로 네이버·카카오·토스 등이 대표적인 서비스 제공기관이다. 이 표준은 시스템 개발과 테스트부터 설치·운영·모니터링에 이르는 제3자 결제서비스 전반의 정보보호 지침이다. 서비스 제공기관이 다뤄야 할 고객의 개인식별 정보관리, 기관의 관리자 접근관리 및 보안구역 출입통제, 시스템 공급업체의 보안관리 등에 대한 요구사항을 설명하고 있다. 김대자 국가기술표준원장은 “이번 국제표준 발간으로 국내 결제서비스 관련 기업은 국제표준에 부합하는 품질과 안전성을 갖추고 해외시장에 진출하기 용이할 것으로 기대된다”며 “앞으로도 금융서비스 분야에서 우리 기업이 활용 가능한 표준을 개발할 수 있도록 적극적으로 지원하겠다”고 밝혔다.

2025.09.14 23:18주문정

배경훈 장관 "KT 해커, IMSI 외 개인정보 보유 추정"

배경훈 과학기술정보통신부 장관이 KT의 무단 소액결제 침해사고를 두고 해커가 가입자의 국제이동가입자식별정보(IMSI) 외에 다른 개인정보를 보유한 것으로 추정한다고 밝혔다. 가입자 단말 식별 번호 외의 개인정보 유출 가능성이 있다는 설명이다. 배경훈 장관은 이날 오후 국회 과학기술정보방송통신위원회에 출석해 더불어민주당 노종면 의원의 질의에 이같이 답했다. 노 의원은 “우려스러운 점은 성명, 전화번호, 생년월일 등 핵심적인 정보가 털리지 않고서는 이뤄질 수 없는 피해가 발생하고 있다”며 “IMSI 정보만으로 직접 피해가 발생하지 않는다는 점으로 SK텔레콤 사건에서 확인했다”고 말했다. 이어, “소액결제를 하려면 이름, 생년월일 이런 정보를 넣어야 하는데 실제로 발생한 일이 수백 건이다”며 “IMSI 정보만 빠진 게 아니라 이름 생년월일 전화번호 정보를 범인이 가지고 있는 것 아니냐”고 물었다. 배 장관은 이에 대해 “그렇게 추정된다”고 답했다. 노 의원이 또 “해커가 어떤 경로로 개인정보를 입수한 것으로 보냐”고 묻자, 배 장관은 “사실 지금 조사 방향을 잡는 데도 어려움이 있다”고 했다. 한편, 노 의원은 “기간통신사 통신망에 대한 종합 점검 차원에서 청문회를 확장할 필요가 있다”고 말했다. 최민희 과방위원장은 이에 대해 “국정감사 일정도 있으니 간사 협의로 결정해달라”고 주문했다.

2025.09.11 19:15박수형

배경훈 장관, KT 무단 소액결제에 "국민 불안 최소화"

배경훈 과학기술정보통신부 장관은 11일 KT 광화문지사를 찾아 무단 소액결제 침해사고 관련 조치 현황을 점검하고, 국민의 불편과 불안을 최소화하기 위한 전사적인 조치를 당부했다. 배 장관은 이 자리에서 최근 잇따라 발생하는 통신사 침해사고를 엄중히 받아들이고, 사고 원인 규명을 위한 민관합동조사단의 조사에 적극 협조할 것을 주문했다. 사고로 피해를 입은 고객들에 대한 결제요금 청구를 면제하는 등 이용자 보호조치를 철저히 하는 한편 추가적인 피해가 발생하지 않도록 기업 차원의 모든 수단을 동원할 것을 촉구했다. 아울러 사고가 일어났을 때뿐만 아니라 지속적으로 보안을 기업 경영의 최우선 가치로 두고 '보안의 일상화'를 실천할 것을 강조했다. 배 장관은 “이번 침해사고는 우리 일상과 함께하는 통신서비스에 대한 국민 신뢰와 직결되는 매우 중대한 사안”이라며 “대한민국이 AI 3대 강국으로 도약하는데 안전한 보안이 필수 요소임을 잊지 말고, 통신 서비스의 국민 신뢰회복을 위한 최선의 노력을 다할 것”을 요청했다.

2025.09.11 11:37박수형

통신3사, 불법 소액결제 전면 차단...KT, 피해 전액 보상

이동통신 3사가 모두 신규 초소형 기지국의 통신망 접속에 대해 전면 제한키로 했다. 미상의 기지국으로 KT 가입자 일부에 발생한 무단 소액결제 피해를 원천적으로 막기 위해서다. KT는 소액결제 피해를 입은 가입자에 대해 피해 금액 전액을 청구하지 않기로 했다. 아울러 과학기술정보통신부는 SK텔레콤과 LG유플러스에서도 같은 피해가 발생할 경우 피해 금액을 청구하지 않도록 했다. 류제명 과기정통부 차관은 10일 오후 정부서울청사에서 KT 소액결제 관련 침해사고 브리핑을 열어 “정부는 사고 상황을 파악한 뒤 피해확산 방지를 위해 특정 지역에 한정하지 않고 전국에 불법 기지국여부에 대한 조사를 요구했다”며 “KT는 기지국 전체를 조사한 결과 다른 불법 기지국은 존재하지 않다고 9일 오후 보고했다”고 밝혔다. 통신 3사 모두 무단 소액결제 방어책 가동 KT는 앞서 지난 5일 새벽 3시부터 이상 트래픽 패턴을 파악하며 차단에 나섰는데, 당시 이용자 휴대폰의 스미싱 감염으로 판단했다. 이후 통화기록 분석을 통해 미등록 기지국 접속을 8일 확인한 직후 침해사고를 신고했다. 정부는 9일 오후 불법 기지국 존재를 파악하고 접속 차단 등의 조치를 요구했고, SK텔레콤과 LG유플러스는 이날 오전 류제명 차관 주재 긴급점검회의에서 불법 기지국이 발견되지 않았다고 보고했다. 류 차관은 “KT가 파악한 불법 초소형 기지국 관련 정보를 다른 통신사에도 공유하도록 했다”며 “만약의 사태를 대비해 통신 3사 모두 신규 초소형 기지국의 통신망 접속을 전면 제한하도록 했다”고 설명했다. 이어, “미등록 불법 기지국이 어떻게 통신망에 접속했는지, 어떤 방식으로 무단 소액결제가 이뤄졌는지, 어떤 정보를 탈취했는지 면밀히 조사하겠다”며 “불법 기지국 외에 다른 수법의 침해사고 가능성에 대해서도 조사할 계획”이라고 했다. 1억7천여만원 금전 피해 예상...KT 전액 보상 KT에 따르면 이날 접수된 관련 민원은 177건으로 피해액은 7천782만원이다. 자체적으로 전체 통화기록을 분석한 결과 총 278건, 1억7천여만원의 금전 피해가 일어난 것으로 추정했다. 278건은 불법 기지국 접속 이력과 ARS 인증 시도, 소액결제 피해가 발생한 수를 따진 것이다. KT 가입자 대상의 무단 소액결제 관련해 ARS 인증 시도만 이뤄진 것으로 확인됐다. KT는 민원을 접수하지 않은, 즉 피해 사실을 확인하지 못한 가입자 대상으로 개별 연락을 취할 예정이다. 피해 금액도 청구하지 않는다. 류 차관은 “KT는 무단 소액결제 피해자에 대해 피해 금액 전액을 청구하지 않기로 했다”며 “과기정통부는 타 통신사에도 소액결제 피해가 발생할 경우 피해 금액을 청구하지 않도록 조치했다”고 밝혔다. 아울러 “최근 통신사를 대상으로 침해사고가 증가하는 상황을 엄중하게 받아들이고, 통신 3사의 망 관리 실태에 대한 전면적인 보안검검을 추진하고 근본적인 대책을 마련해 조만간 발표할 계획”이라고 덧붙였다.

2025.09.10 17:47박수형

KT 소액결제 의혹 '가상 기지국', 통신망 접속 차단

KT 가입자의 무단 소액결제 피해 사고 원인으로 가상의 기지국 의혹이 떠오른 가운데 정부의 요구 조치에 따라 신규 기지국의 통신망 접속이 전면 제한됐다. 10일 과학기술정보통신부에 따르면 KT 소액결제 사고 원인으로 미상의 기지국 가능성이 꼽히면서 정부는 KT에 불법 기지국이 통신망에 접근하지 못하도록 요구했다. 이에 KT는 문제가 된 미상의 기지국 외에 다른 초소형 기지국이 존재하지 않는다는 점을 확인하고 정부의 요구에 따라 전날 오전 9시부터 신규 초소형 기지국의 접속을 차단했다. 미상의 기지국을 통해 ARS 인증 시도 정도가 발생한 것으로 알려졌다. 정부는 전날 구성한 민관합동조사단을 통해 불법 초소형 기지국으로 범죄 일당의 소액결제 시도 방식에 대해 조사하고 있다. 이를 수사하는 경찰과도 합동 조사를 진행하고 있다. 정부 관계자는 “다른 원인과 가능성에 대해서도 심도 있게 조사할 것”이라고 설명했다.

2025.09.10 13:27박수형

정부, KT 무단 소액결제 관련 민관합동조사단 구성

과학기술정보통신부는 KT 가입자 무단 소액결제 사건과 관련 조사를 위해 정보보호네트워크정책관을 단장으로 하는 민관합동조사단을 9일 구성했다고 밝혔다. 과기정통부와 한국인터넷진흥원은 KT로부터 8일 오후 7시 16분에 침해사고 신고 접수를 받고 KT에 관련 자료 보전을 요구한 뒤 KT를 찾아 상황을 파악했다. 과기정통부는 추가 피해 우려 등 침해사고의 중대성, 공격방식에 대한 면밀한 분석 필요성을 고려해 이동통신, 네트워크 전문가를 포함한 민관합동조사단을 구성해 신속하게 조사에 착수하고, 정보보호 분야 민간 전문가가 참여하는 '자문단'을 구성해 사고 관련 기술적 정책적 자문을 받는 등 철저한 조사를 추진할 계획이다. 류제명 차관은 “국민 피해 최소화를 위해 국내 최고 전문가 참여하는 조사단을 구성해 신속한 원인 파악과 피해확산 방지를 위해 노력하는 한편, 수사를 진행하는 경찰과도 긴밀히 협력하겠다”고 말했다. KT 측은 소액결제 피해자에 금전적 피해가 가지 않도록 사전조치 등 만전을 기하고 있으며, 결제 한도 하향 조정 등의 노력을 기울이고 있다고 설명했다. 아울러 지난 5일 새벽부터 비정상적인 소액결제 시도를 차단했으며, 이후 현재까지 추가적인 발생이 확인되고 있지 않다고 밝혔다. 특히 개인정보 해킹 정황은 없는 것으로 확인했다고 덧붙였다.

2025.09.09 13:45박수형

"카톡으로 청구, 앱카드로 결제"…한국정보통신, '이지톡페이' 웹사이트 오픈

한국정보통신이 사용자 접근성과 체험 기능을 대폭 강화한 비대면 결제 서비스를 본격 확산한다. 한국정보통신은 비대면 간편결제 서비스인 '이지톡페이'의 공식 웹사이트를 정식 오픈한다고 16일 밝혔다. 이를 통해 사용자들은 별도의 매장 방문이나 복잡한 절차 없이 이지톡페이의 다양한 기능을 쉽게 확인하고 직접 체험해볼 수 있다. 이지톡페이는 기존 인터넷결제(PG) 가입이 필요 없는 독립형 비대면 결제 서비스로, 이지포스 가맹점이 '카카오 알림톡'을 통해 고객에게 청구서를 전송하고 고객은 자신의 스마트폰에 설치된 여러 카드사의 앱카드로 간편하게 결제할 수 있는 서비스다. 현재 이지톡페이 서비스는 연간 135만 건 이상의 거래 건수를 기록하며 매장에서 활발히 사용되고 있다. 이지톡페이 웹사이트에서는 ▲서비스 소개 및 주요 기능 ▲이용 방법 ▲체험 서비스 ▲제휴 문의 등을 한눈에 확인할 수 있다. 특히 홈페이지 방문자들에게 청구서 발송부터 결제 완료까지의 프로세스를 실제처럼 경험해볼 수 있는 체험 기능이 제공돼 비대면 결제를 처음 접하는 사용자도 쉽게 이해하고 신청할 수 있다. 이지톡페이는 기존 카드사 가맹점 번호를 그대로 활용하기에 이지포스 가맹점이라면 별도의 PG 계약 및 수수료 추가 부담 없이 즉시 서비스 이용 가능하다. 특히 카드사가 제공하는 앱카드의 일회성 카드정보(OTC) 결제 방식을 이용해 간편하고 안전한 효율적 결제 환경을 제공한다. 결제 관련 보안성도 우수하며 카드 대금 정산 주기는 기존과 동일하게 유지된다. 결제 고객은 매장을 직접 방문하지 않고도 카카오톡 알림을 통해 전송된 청구서를 열람하고 별도의 앱 설치 없이 휴대폰에 설치된 카드사 앱카드를 통해 쉽고 안전하게 결제할 수 있다. 실물 카드 없이 앱카드만으로 결제가 가능해 간편성과 보안성을 동시에 충족한다는 평가다. 한국정보통신은 이지톡페이 기술을 기반으로 한 신규 서비스 '이지QR'도 올 상반기 내 정식 출시할 계획이다. 이지QR은 고객이 매장 내 QR코드를 스캔해 메뉴를 직접 주문하고 결제할 수 있는 시스템으로, 선결제 시 이지톡페이와 연동돼 운영비 절감과 결제 편의성을 동시에 제공한다. 한국정보통신 관계자는 "이번 웹사이트 오픈을 통해 누구나 이지톡페이 서비스를 쉽고 직관적으로 이해하고 체험할 수 있게 됐다"며 "특히 서비스 이용료 부담 없이 사용할 수 있는 이지톡페이는 매장 운영자에게는 효율을, 고객에게는 편의를 제공하는 대표적인 비대면 결제 솔루션으로 자리매김하고 있다"고 밝혔다.

2025.05.16 16:22한정호

"이렇게 하면 털린다"···GS리테일·듀오 해킹 사건 보니

최근 편의점·홈쇼핑 등을 거느린 대형 유통회사 GS리테일의 홈쇼핑 업체 GS샵에서 고객 개인정보 약 158만건이 유출되는 사고가 발생했다. 이보다 며칠 앞서 회원 수 3만명이 넘는 결혼정보업체 듀오에서도 해킹으로 회원 개인정보가 유출됐다. 유출 규모는 파악되지 않았지만, 업계 특성상 다양한 개인정보를 지니고 있을 것으로 추정된다. 잇달은 개인정보 유출과 해킹에 대해 1일 정보보호(보안) 전문가들은 "계정 비밀번호를 자주 바꾸는 한편 아이디·비밀번호 말고도 문자메시지(SMS)나 이중 인증 앱으로 한 번 더 까다롭게 해야 피해를 막을 수 있다"고 조언한다. GS샵의 경우, 지난해 6월 21일부터 이달 13일까지 웹사이트 해킹 공격으로 고객 개인정보가 유출된 정황을 확인했다고 회사는 밝혔다. 홈쇼핑 웹사이트를 통해 유출됐다고 추정되는 개인정보는 ▲이름 ▲성별 ▲생년월일 ▲연락처 ▲주소 ▲아이디 ▲이메일 ▲기혼 여부 ▲결혼기념일 ▲개인통관고유부호 총 10개 항목이다. 각자 입력한 정보에 따라 일부는 포함되지 않았을 수도 있고, 멤버십 포인트와 결제 수단 등 금융 정보는 유출되지 않았다. 특히 GS샵 해킹은 앞서 지난달 편의점 GS25를 통해 GS리테일 회원 9만여명의 개인정보 유출이 드러난 지 한 달여 만에 추가로 확인, 사태 심각성을 더 했다. GS리테일의 경우 지난해 12월 27일부터 지난달 4일까지 웹사이트 해킹 공격으로 이름, 성별, 생년월일, 주소, 연락처, 아이디, 이메일 등 7개 항목이 유출됐다. GS리테일의 경우 개인정보위원회 조사를 거쳐 추후 과징금 규모 등이 결정될 예정인데, 개인정보보호법에 따르면 같은 위반 행위 재발 시 가중 조항이 있다. 이정은 개인정보위 조사2과장은 "GS리테일의 경우가 가중에 해당하는 지는 조사해봐야 한다"고 말했다. GS리테일은 고객 정보 유출과 관련, 사실 인지 후 해킹을 시도한 인터넷프로토콜(IP)과 공격 패턴을 차단하고, GS홈쇼핑 사이트 계정에 로그인할 수 없게 잠금 처리했다. 또 최고 경영진이 참여하는 정보보호대책위원회를 꾸리겠다고 약속하는 한편 최신 정보보호 기술을 도입하고 보안 인력을 늘리겠다고 밝혔다. 듀오의 경우, 지난달 설 연휴 해킹 사고로 일부 고객의 개인정보가 유출됐음을 알아챘고, 유출 경위와 규모를 파악하고 있다. 듀오 회원은 3만5천340명이다. 결혼정보회사인 만큼 회원 ▲이름 ▲연락처 ▲주소 말고도 ▲소득 ▲자산 ▲가족 사항 등을 저장하고 있었을 가능성이 크다. 듀오는 홈페이지에 사과문을 올리고 전문 기관 도움을 받아 기술 조치를 취했다고 밝혔다. 또 주요 개인정보를 암호화해 보관하고 있었다며, 고객에게 안심하라고 일렀다. 이어 비슷한 사고가 다시 일어나지 않게 보안 상태와 시스템 취약점을 점검해 개선하겠다고 밝혔다. GS리테일은 해킹 기법 중 하나인 '크리덴셜 스터핑(Credential Stuffing)' 공격을 받았고, 듀오의 경우 해킹 기법이 알려지지 않았다. 보안 분야에서 25년 이상 일하고 있는 윤두식 이로운앤컴퍼니 대표는 두 회사 해킹에 대해 “아직 직접적인 원인이 밝혀지지 않은 상황이라 함부로 판단하기 어렵다”면서도 “듀오는 시스템이 해킹돼 개인정보가 유출됐을 가능성이 있다”고 말했다. 이로운앤컴퍼니는 인공지능(AI) 보안 수준을 높이는 서비스를 제공하는 회사다. 한국개인정보보호책임자(CPO)협의회장인 염흥열 순천향대 정보보호학과 명예교수는 “GS리테일이 다른 사이트에서 유출된 아이디와 비밀번호를 이용하는 크리덴셜 스터핑 공격을 받은 것 같다”며 “해커는 보안이 취약한 사이트의 아이디와 비밀번호로 다른 사이트를 로그인하는 데 쓴다”고 설명했다. 크리덴셜 스터핑은 이용자가 여러 사이트에서 같은 아이디와 비밀번호를 사용하는 것을 노린 해킹 기법이다. 보안 전문가들은 "매우 단순한 공격 방식이지만 해킹 효과가 커 해커들이 자주 사용하는 방법"이라고 전한다. 공격자는 다크웹에서 계정 정보를 많이 확보한 뒤 반복해 대입을 시도한다. 다른 사이트에서 이미 흘러 나간 아이디와 비밀번호가 악용된 만큼 비밀번호에만 의존해서는 위험하다고 전문가들은 지적했다. 염 교수는 “피싱·파밍 공격을 막을 수 있는 패스워드리스(Passwordless) 방식과 2개 이상 인증 요소를 동시에 사용하는 게 필요하다”며 “예를 들어 아이디·비밀번호와 문자메시지 인증을 동시에 적용하는 것”이라고 설명했다. 윤 대표도 “이중 인증을 지원하는 사이트에서는 반드시 이중 인증을 활성화해야 한다. 이 경우 해커가 내 아이디와 비밀번호로 로그인을 시도하더라도 이중 인증을 못해 정보를 빼낼 수 없다”고 밝혔다. 이어 “기업은 이중 인증을 도입하는 한편 이상 로그인 시도나 비정상적인 접근을 실시간으로 감지하고 대응하는 시스템을 구축해야 한다”며 “정기적으로 교육해 직원의 보안 의식을 높이고 사회공학적인 해킹 기법에 대비하는 능력을 키워야 한다”고 덧붙였다. 전문가들은 "원론적이지만 사용자는 번거롭더라도 사이트마다 비밀번호를 다르게 정하고, 주기적으로 비밀번호를 바꾸는 게 좋다"고 이구동성으로 지적하며 "IP 보안이나 2차 비밀번호 등의 보안 정책을 도입할 것을 기업에 권고하고 있지만, 사용자의 편리성 등 때문에 잘 안 이뤄지고 있다"고 짚었다. 실제 크리덴셜 스터핑을 예방하려면 비밀번호는 최소 8자리 이상으로, 또 영어와 특수문자, 숫자 등 3종류 이상 조합으로 만드는 게 좋다. 여기에 나만의 비밀번호 작성 규칙을 만들고 오랫동안 방문하지 않은 사이트는 탈퇴해야 한다. 듀오는 피해를 방지하기 위해 발신자를 알 수 없는 이메일이나 메시지 링크를 열지 말고 지우는 한편 로그인 비밀번호를 바꾸라고 고객에게 권했다. GS리테일도 비밀번호를 변경하라고 당부했다. 개인통관고유부호 유출이 의심되면 관세청 개인통관고유부호 발급 사이트에서 개인통관고유부호 사용 정지를 요청하거나 재발급 받을 수 있다고 안내했다. 관세청 홈페이지에 도용 신고할 수도 있다. 개인정보가 유출돼 손해 입었다면 개인정보분쟁조정위원회에 분쟁 조정을 신청할 수 있다.

2025.03.01 13:24유혜진

Prev 1 Next