검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'유출'통합검색 결과 입니다. (153건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

칩 보안법, 美하원 외교위 통과...엔비디아·AMD에 '밀수방지' 의무화

미국 하원 외교위원회가 엔비디아, AMD 등 자국 반도체 기업을 대상으로 인공지능(AI) 핵심 기술의 중국 밀수출을 막기 위한 감시 의무를 강화하는 법안을 통과시켰다. 최근 슈퍼마이크로 공동 창업자가 엔비디아 반도체를 중국으로 가공 수출한 혐의로 기소된 사건이 법안 처리에 결정적 도화선이 됐다. 블룸버그 통신은 미 하원 외교위가 '칩 보안법'을 찬성 42표, 반대 0표라는 압도적 표차로 가결해 본회의로 송부했다고 27일(현지시간) 보도했다. 법안 핵심은 엔비디아, AMD 등 AI 반도체 기업들이 자사 제품이 중국으로 유입되지 않도록 검증 체계를 강화하고, 이를 상무부에 보고하도록 의무화하는 것이다. 상무부 장관은 법 시행 후 1년 내에 미승인 칩 이동이나 최종사용자 변경에 대한 보고 규칙을 확정해야 한다. 이번 조치는 도널드 트럼프 행정부가 미국 기술의 글로벌 판매 확대를 위해 일부 규제 완화를 검토하는 상황에서 나와 주목된다. 법안을 주도한 빌 하이징아 의원은 "업계 일각에서 밀수 사실을 인지하지 못했다고 주장하지만, 여전히 해결되지 않은 전용 문제가 있다"며 입법 취지를 설명했다. 다만, 기업들 부담을 고려해 위치 추적 기술이나 원격 작동 중지 기능 탑재를 강제하지는 않는 '가벼운 규제' 방식을 택했다. 기존 보안 비즈니스 관행을 칩 보안 메커니즘으로 인정하는 등 유연성을 뒀다. 상무부 장관은 미국 경쟁력을 해칠 우려가 있을 경우 범정부 협의를 거쳐 규정 일부를 면제할 수 있는 권한도 갖는다. 정치권 압박은 거세지고 있다. 지난주 슈퍼마이크로의 공동 창업자인 월리 리아우가 구속 기소된 직후, 엘리자베스 워런 상원의원 등은 상무부에 중국 및 동남아시아로 향하는 모든 엔비디아 AI 칩과 서버의 수출 라이선스를 일시 중단하고 전면 재검토할 것을 촉구하는 서한을 보내기도 했다. 엔비디아는 이번 사안과 관련해 "수출 규제가 확대됨에 따라 규정 준수 프로그램을 위해 고객 및 정부와 긴밀히 협력하고 있다"는 입장을 밝혔다. 법안이 본회의를 통과해 최종 시행될 경우, AI 가속기 공급망 전반에 걸친 미 당국 감시망은 더욱 촘촘해질 전망이다.

2026.03.28 08:00전화평 기자

고려제강, 랜섬웨어 피해…해커 "128GB 내부 데이터 탈취"

철강 기업 고려제강이 랜섬웨어(Ransomware) 피해를 입었다. 공격자는 128GB 규모의 고려제강 내부 데이터를 탈취했다고 주장하고 있다. 랜섬웨어 범죄 조직 '인크랜섬(incransom)'은 지난 23일 오후 9시경 자신들의 다크웹 유출 전용 사이트(DLS) 피해 기업 리스트에 고려제강을 등록했다. 이어 고려제강 내부 데이터로 보이는 사진 21장을 캡처해 샘플 데이터로 공개했다. 랜섬웨어는 기업의 내부 데이터를 빼돌리거나 암호화하고, 이를 인질로 금전 등을 요구하는 공격 수법이다. 일부 랜섬웨어 조직은 공격에 성공했다는 것을 증명하기 위해 탈취된 데이터의 일부를 샘플로 게시하기도 한다. 인크랜섬이 업로드한 샘플 파일에는 아연, 구리 등 원자재의 월말 소비량, 보빈 재고표 등 내부 자료서부터 해외 법인 직원으로 보이는 인물의 사진과 공정 사진, 심지어 직원의 코로나19 백신 접종 기록까지 포함돼 있었다. 일부 샘플 파일 중에는 직원 이름으로 저장된 사진 리스트에는 대부분 해외 직원의 이름으로 저장돼 있는 것으로 보아, 해외 법인을 통한 공격이 이뤄졌을 가능성도 배제할 수 없다. 인크랜섬은 "고려 제강 내부 데이터 128GB 규모, 11만8019개의 파일이 든 2만2024폴더를 탈취했다"며 "기술·제조 제품 정보, 기술 공정 및 테스트 제어, 제품 조립 계획, 재료 사양, 직원 개인정보, 재무지표 등이 포함돼 있다"고 주장했다. 랜섬웨어 추적 사이트 등에 따르면 인크랜섬은 지난 2023년 처음 식별된 랜섬웨어 범죄 조직으로, 23일까지 총 727곳의 기업을 공격한 것으로 확인됐다. 이들은 지난해 하반기에도 국내 한 방송 및 통신 장비 제조업체를 공격하기도 했다. 올해에만 124곳의 전 세계 기업을 공격해 가장 많은 공격 시도를 한 랜섬웨어 조직 중 4위를 기록해 활발히 공격을 시도하는 범죄 조직이다. 고려제강 관계자는 랜섬웨어 대응 관련 질문에 "회사도 랜섬웨어 공격을 확인했다"며 "현재 자세히 파악하고 있다"고 밝혔다.

2026.03.24 16:10김기찬 기자

[AI는 지금] AI 인재 10명 중 7명 "창업하고 싶다"…실행력 부족에 현실은 '정체'

국내 고급 AI 인재들이 높은 기술 역량에도 불구하고 창업 실행력과 경험 측면에서는 뚜렷한 한계를 보이고 있는 것으로 나타났다. 기술 기반 혁신 잠재력은 충분하지만, 이를 실제 사업으로 연결하는 과정에서 심리적·환경적 제약이 크게 작용하고 있다는 분석이다. 21일 소프트웨어정책연구소(SPRi)가 발표한 보고서에 따르면 AI 전공 석·박사급 인재 715명을 대상으로 한 조사에서 기술 자기효능감은 평균 7점 이상으로 높게 나타난 반면, 창업 관련 역량에 대한 자신감은 5~6점 수준에 머물렀다. 이는 기술 개발 능력과 사업화 역량 간 괴리가 존재함을 의미한다. 실제 창업 의지에서도 이러한 차이는 확인된다. 대학원생의 경우 59.8%가 창업 의사가 없다고 응답했으며, 직장인은 69.8%가 창업 의향을 보였지만 대부분 장기 계획에 그쳤다. 특히 기회와 자원이 있다면 창업을 하고 싶다는 응답이 66.7%에 달했지만, 현실적인 실행 단계에서는 신중한 태도가 우세한 것으로 나타났다. 창업을 가로막는 주요 요인으로는 실패에 대한 두려움과 낮은 사업 기회 인식이 지목됐다. 전체 응답자의 66.3%는 실패 부담으로 창업을 주저한다고 답했고, 향후 6개월 내 사업 기회가 있을 것이라는 긍정 응답은 29.4%에 그쳤다. 사회적 분위기 역시 창업 친화적이지 않은 것으로 나타나 직장인의 경우 창업을 바람직한 경력으로 본다는 응답이 22.3%에 불과했다. 창업 의지에 영향을 미치는 요인으로는 개인의 태도와 주변 환경이 핵심 변수로 작용했다. 창업을 매력적인 경력으로 인식할수록, 가족·지인 등 주변의 지지가 높을수록 창업 의지가 증가하는 경향이 확인됐다. 반면 기술 역량에 대한 자신감이 높을수록 창업 의지는 오히려 낮아지는 역설적 결과도 나타났다. 이는 안정적인 취업 기회가 높은 AI 인재일수록 창업의 기회비용을 크게 인식하기 때문으로 해석된다. 경험 요소 역시 중요한 변수로 분석됐다. 창업 경진대회 참가나 스타트업 근무 경험이 있는 경우 창업 의지가 유의미하게 높아졌으며 주변에 창업자가 많을수록 창업을 현실적인 선택지로 인식하는 경향이 강했다. 그러나 창업 교육이나 세미나 참여는 유의미한 영향이 없는 것으로 나타났다. 전문가들은 AI 인재 정책이 기술 교육 중심에서 벗어나야 한다고 지적했다. 단순한 역량 강화보다 실전 경험, 네트워크, 문화적 인식 개선을 포함한 생태계 접근이 필요하다는 것이다. 특히 창업과 취업 간 기회비용 격차를 줄이는 정책적 지원 없이는 고급 AI 인재의 창업 활성화는 제한적일 수밖에 없다고 분석했다. 보고서는 "고급 AI 인재의 창업 활성화를 위해서는 실전 경험 기회 확대와 함께 창업을 매력적인 경력 경로로 인식할 수 있는 환경 조성이 중요하다"며 "창업과 취업 간 기회비용 격차를 완화하고 기업가적 활동에 대한 사회적 인식을 개선할 필요가 있다"고 강조했다.

2026.03.21 10:00장유미 기자

국세청, 상반기 내 가상자산 커스터디 사업자 선정 추진

국세청이 이르면 상반기 내 압류 가상자산을 맡길 민간 커스터디 사업자 선정을 추진한다. 지난달 발생한 가상자산 탈취 사건의 재발을 막기 위한 대응책의 일환이다. 20일 국세청과 가상자산 업계에 따르면, 국세청은 압류한 가상자산을 민간 커스터디 사업자에 맡기는 방안을 검토하고 있으며, 사업자 선정을 위한 세부 기준을 마련 중이다. 지난달 26일 체납자 현장 수색 성과 발표 자료에 니모닉 코드가 노출되면서, 국세청은 압류 가상자산을 두차례 탈취당한 바 있다. 이에 압류 가상자산을 자체 보관에서 전문 커스터디 사업자에 위탁하는 방향으로 방침을 선회했다. 국세청은 커스터디 사업자 선정 시 ▲보안요건 ▲기업규모 ▲가상자산이용자보호법에 따른 보험 가입 여부 등을 주요 기준으로 검토할 계획이다. 현재 구체적인 심사 기준을 마련 중이다. 이 사안에 정통한 가상자산 업계 관계자는 “커스터디 사업자라고 해서 모두 맡길 수 있는 것은 아니”라며 “보안 수준 등 위탁 시 고려해야 할 요소에 대한 정보를 국세청이 수집 중인 것으로 알고 있다”고 말했다. 국세청은 심사 기준이 완성되는 대로 민간 커스터디 사업자 선정 절차에 착수할 예정이다. 가상자산 관리 개선을 긴급 현안으로 보고 있는 만큼, 상반기 내 커스터디 서비스 활용 여부를 결정하고 사업자 선정까지 진행하는 것을 목표로 하고 있다. 국세청 가상자산 커스터디 사업자 선정은 지난 11일 출범한 '가상자산 관리체계 고도화 태스크포스(TF)'가 맡는다. 고영일 국세청 가상자산 관리체계 고도화 TF 단장은 이에 대해 “선진국에서 주로 활용하고 있는는 방식”이라며 “전문가 의견을 수렴해 결정되는 대로 상반기 중 실행할 계획”이라고 밝혔다. 이와 함께 TF는 ▲압류·보관·매각 전 과정 업무 매뉴얼 보완 ▲외부 전문기관 실태 진단 ▲전문 교육 확대 등을 주요 과제로 추진 중이다. TF는 가상자산 업무를 전담할 '디지털자산총괄과' 신설도 준비 중이다. 조직 역할과 출범 시기 등 세부 계획은 행정안전부와 협의를 거쳐 확정할 예정이다. 국세청 관계자는 “가상자산은 새로운 영역인 만큼 현재 기능별로 주관 부서가 나뉘어 있다”며 “이를 통합적으로 관리할 전담 조직이 필요하다고 보고 준비 중”이라고 설명했다.

2026.03.20 16:18홍하나 기자

첨단 엔비디아 칩, 중국으로 샜다…슈퍼마이크로 간부 3명 기소

미국 인공지능(AI) 서버 기업 슈퍼마이크로의 간부들이 엔비디아 AI 칩을 중국으로 밀반출한 혐의로 기소됐다. 수십억 달러 규모의 불법 수출 정황이 드러나며 글로벌 반도체·공급망 업계 전반에 파장이 확산되는 모습이다. 19일(현지시간) CNBC에 따르면 미국 뉴욕 남부지방검찰청은 엔비디아 AI 칩이 탑재된 서버를 중국으로 불법 반출한 혐의로 슈퍼마이크로컴퓨터 관계자 3명을 기소했다. 기소된 인물은 공동 창업자인 왈리 라우를 포함해 영업 관리자와 외부 계약자 등으로, 이들은 미국 수출통제법을 위반해 엔비디아 그래픽처리장치(GPU)가 포함된 서버를 중국으로 우회 반출한 혐의를 받고 있다. 미국 검찰에 따르면 이들은 동남아시아 소재 회사를 중간 거래자로 내세워 허위 서류를 작성하고 물류 과정을 조작하는 방식으로 실제 최종 목적지가 중국임을 숨겼다. 또 가짜 서버를 준비해 내부 컴플라이언스 검증을 통과시키는 등 조직적으로 규제를 회피한 것으로 조사됐다. 이 과정에서 2024년 이후 약 25억 달러(약 3조 7245억원) 규모의 서버 판매가 이뤄졌으며 일부 물량은 엔비디아 최신 AI 칩이 탑재된 제품으로 파악됐다. 미국 정부는 중국 AI 기업들의 성장 속에서 첨단 반도체 유출을 국가안보 문제로 보고 강력히 규제하고 있다. 엔비디아 칩 역시 중국 수출 시 별도 허가가 필요한 핵심 품목으로 분류된다. 이번 사건은 엔비디아와 슈퍼마이크로 간 긴밀한 협력 관계에도 영향을 미칠 가능성이 제기된다. 양사는 AI 서버 시장에서 밀접한 공급망을 구축해왔다. 같은 대만계 미국인으로서 젠슨 황 엔비디아 최고경영자(CEO)와 찰스 리앙 슈퍼마이크로 CEO 간 개인적 친분도 두터운 것으로 알려졌다. 사건 여파는 즉각 주가에도 반영됐다. 슈퍼마이크로 주가는 해당 사실이 공개된 직후 시간외 거래에서 약 12% 급락했으며 일부 거래에서는 12.48% 하락한 26.95달러를 기록했다. CNBC는 미·중 기술 패권 경쟁이 심화되고 있어 이번 AI 칩 불법 유출 문제가 더욱 엄격히 다뤄질 것이라고 보도했다. 슈퍼마이크로 측은 "해당 직원들을 직무에서 배제하고 계약을 해지했다"며 "회사 정책과 수출 규정을 위반한 개인적 일탈"이라고 선을 그었다.

2026.03.20 09:52한정호 기자

정보유출 롯데카드 주민번호도 암호화없이 저장…개보위 과징금 철퇴

약 300만명에 가까운 개인신용정보를 유출한 롯데카드에 대한 개인정보위원회(개인정보위) 과징금 수준이 예상보다 낮게 나와 이유에 대한 관심이 쏠린다. 12일 정부서울청사에서 열린 개인정보위 브리핑에서 개인정보위는 전체회의를 거쳐 롯데카드에 과징금 96억 2000만원, 과태료 480만원을 부과 처분한다고 밝혔다. 롯데카드서 유출된 개인정보(이름·주민등록번호·주소·전화번호 등)는 물론이고 결제에 필요한 카드·CVC 등이 해킹돼 부정적 파급력이 높다는 점, 전체 매출액의 3% 이하로 과징금을 부과할 수 있다는 점을 감안하면 과징금은 그리 높지 않은 수준이다. 2024년 연결 기준 롯데카드의 전체 매출액은 3조 348억원이다. 개인정보위는 '솜방망이' 처벌에 대해 강력히 부인했다. 윤여진 개인정보위 조사1과장은 "롯데카드 과징금은 주민등록번호를 과도하게 수집하고 처리한 부분에 대한 과징금"이라며 "결제 정보나 개인정보에 대한 유출 피해 등과 관련한 것은 금융당국이 관여한다"고 설명했다. 즉, 개인정보위는 약 297만명의 개인정보유출에 대해 법적 판단을 한 것이 아닌 롯데카드가 개인정보법 24조 2항을 위배해 과도하게 주민등록번호를 수집해 로그에 저장하고, 이 주민등록번호를 암호화하지 않았다는 처리 위반 사실에 대해서만 과징금 처리했다는 것이다. 개인정보위는 롯데카드 정보 유출에 대한 금융감독원의 신고를 받고 조사에 나섰으며, 로그에 주민등록번호 13자리가 어떠한 암호화조치도 되지 않은 채 저장된 건 49만건을 확인했다. 더불어 온라인 결제 약관에 주민등록번호를 수집해 로그에 기록했으며 이 역시도 제대로 처리되지 않았다. 윤 과장은 "개인정보위는 롯데카드의 정보 유출 위법성을 매우 엄중하게 바라보고 있다"며 "과징금 처분 시 최대 50%까지 감경이 가능한데 감경 사유에 해당하는 것도 포함시키지 않고 20%수준만 감경하는데 그쳤다"고 언급했다. 이어 그는 "다만 과징금은 전체 매출액 기준인데 롯데카드가 관련 매출액이 아닌 부분 을 입증해 온라인 결제 매출액만으로 (과징금을) 산정했다"며 "2년 여 동안 개인정보법 위반에 따른 과징금 가중 사유 50% 등이 있었으며 최종적으로 20% 과징금을 가중 처분하는 것으로 결정내렸다"고 말했다.

2026.03.12 10:48손희연 기자

개보위, 대규모 개인정보유출 롯데카드에 과징금 96억2천만원 부과

수백 만 건의 개인·신용정보를 유출한 롯데카드가 개인정보보호위원회(개인정보위)로부터 과징금 96억 2000만원, 과태료 480만원을 부과받았다. 개인정보위는 11일 4회 전체회의를 열고 롯데카드 온라인 간편시스템 해킹으로 로그 파일에 기록된 이용자 약 297만명의 개인신용정보가 유출, 45만명의 주민등록번호도 함께 유출된 사실을 확인하고 이 같은 처분 결과를 의결했다고 12일 밝혔다. 개인정보위는 2025년 9월 22일 금융감독원으로부터 신고 사실을 전달받아 조사에 들어갔으며, 개인정보 처리에 관한 개인정보보호법에 위반되는 사안을 중심으로 처분을 내렸다. 조사에 따르면 롯데카드는 온라인 결제와 관련한 로그에 주민등록번호를 포함한 다수의 개인정보를 평문으로 기록했다. 로그 파일에는 최소한의 개인정보만 기록해야 하지만 롯데카드가 로그에 주민등록번호를 포함한 다수 개인정보를 별도 검토없이 저장해원 것이다. 로그는 컴퓨터 시스템이나 네트워크 등에서 발생하는 일련의 작업이나 사건에 대한 기록을 의미한다. 이는 정보 주체 또는 제3자의 급박한 생명·신체·재산 이익을 위해 명백히 필요하다고 인정되는 경우 등 개인정보보호법 제24조 2항을 벗어나는 수준이었다고 개인정보위는 부연했다. 로그 파일에 대한 암호화 조치도 충분히 하지 않았다. 개인정보위는 이 같은 롯데카드에 과징금과 과태료를 부과하고 처분 사실을 사업자 홈페이지에 공표하도록 명령했다. 또 개인정보보호책임자(CPI) 책임·독립성 강화를 포함해 개인정보보호 체계 전반을 정비하도록 시정 조치를 내렸다. 개인정보위 측은 "롯데카드가 로그에 주민등록번호를 포함한 다수의 개인정보를 별도의 검토 없이 저장해온 것이 대규모 개인정보 유출로 이어진 원인 중 하나"라며 "법적 근거가 없거나 불필요함에도 주민등록번호를 관행적으로 처리하는지 여부와 관련해 금융분야 사업자들에 대한 사전 실태 점검을 3월 중 추진할 계획"이라고 설명했다.

2026.03.12 10:00손희연 기자

랜섬웨어 '비스트' 올해만 한국 기업 3곳 공격

랜섬웨어 그룹 '비스트(Beast)'가 올해에만 3곳의 한국 기업을 피해 기업으로 등록했다. 3일 본지 취재를 종합하면 랜섬웨어 그룹 비스트는 올해 자신들의 다크웹 유출 전용 사이트(DLS)에 ▲항공기 부품 제조업체 율곡 ▲이차전지 부품 제조업체 성우 ▲제약사 아주약품 등 3곳의 내부 데이터를 탈취해 공개했다. 비스트는 200GB(기가바이트) 규모의 율곡 내부 데이터를 확보했다며 일부 샘플 파일을 업로드했다. 율곡의 경우 ▲생산 품목 ▲일부 제품 번호 ▲교육기록부 등 내부 자료부터 한국항공우주산업(KAI)과 관련된 제조작업 확인표 등 협력사 정보까지 유출된 것으로 파악된다. 또 성우의 경우는 ▲공정흐름도 ▲대외비 검증서 등 내부 자료는 물론 ▲비밀유지계약서 ▲협력업체 리스트 ▲협력사 연락처 등 협력사 자료까지 샘플 데이터로 업로드됐다. 비스트는 율곡과 마찬가지로 성우의 내부 데이터 200GB를 탈취했다고 주장하고 있다. 아주약품 관련으로는 150GB를 탈취했다고 주장하며, 식품의약품안전처(식약처)와 주고받은 의약품 품질검사 결과, 의약품의 주성분 및 제조·공급업체 리스트, 타 업체와 주고받은 메일 등 내부 데이터가 업로드됐다. 3곳 모두 지난달 공격이 이뤄진 것으로 파악된다. 특히 율곡이나 성우의 경우 각각 KAI, LG에너지솔루션 등과 협력 관계를 구축해놓은 만큼 협력사 데이터가 유출될 경우 기밀 데이터 유출로 인한 피해는 협력사로 번질 우려도 나온다. 안랩 분석에 따르면 비스트 랜섬웨어 그룹은 지난해 2월 처음 식별된 서비스형 랜섬웨어(RaaS) 그룹이다. 제조, 건설, 의료, 교육 등 다양한 산업군을 대상으로 공격을 이어오고 있다. 단순히 파일을 암호화하는 수준이 아니라 구조적인 복구 방지 기법과 정보 유출을 병행하는 복합적인 공격 형태를 갖춘 것으로 알려졌다. 한편 비스트가 3곳의 국내 기업을 피해 기업으로 등록하면서 한국에 위협적인 랜섬웨어 그룹 '톱3로 부상했다. 지난해부터 올해까지 한국을 가장 많은 공격 시도를 한 랜섬웨어 그룹은 '킬린(Qilin, 31회)', '건라(Gunra, 4회)' 등이 있다. 비스트는 킬린, 건라에 이어 세 번째 가장 많은 공격을 한 그룹으로 집계됐다.

2026.03.04 16:55김기찬 기자

쿠팡, 개인정보 유출 사태에도 성장 멈추지 않았다

개인정보 유출 사태를 겪은 쿠팡이 지난해 매출 49조원대를 기록하며 외형 성장을 이어갔다. 4분기 성장률은 둔화됐지만, 연간 기준 영업이익은 상승하는 등 여전히 굳건한 모습을 보였다. 회사는 고객 신뢰 회복과 운영 안정화에 집중하는 한편, 대만이나 쿠팡이츠·파페치 등 성장 사업과 물류·기술 인프라에 대한 투자를 지속하겠다고 밝혔다. 지난해 매출·영업익 두자릿 수 증가...영업이익률은 하락 쿠팡은 26일(현지시간) 지난해 4분기 및 연간 실적발표를 하 지난해 연매출은 345억3400만달러로, 전년(302억6800만달러) 대비 14% 증가했다고 밝혔다. 환율 변동을 제외한 고정환율 기준으로는 18% 성장이다. 이를 원화로 환산하면 약 49조1197억원으로, 전년(41조2901억원) 대비 7조8000억원 이상 늘었다. 다만 50조원 고지를 넘어서지는 못했다. 연간 영업이익은 4억7300만달러로 전년(4억3600만달러) 대비 8% 증가했다. 원화 환산 기준으로는 6790억원으로, 전년(6023억원) 대비 12.7% 늘었다. 그러나 영업이익률은 1.38%로 전년(1.46%) 대비 하락했다. 연간 당기순이익은 2억1400만달러(약 3030억원)로, 순이익률은 0.61%를 기록했다. 4분기 매출은 88억3500만달러로 전년 동기(79억6500만달러) 대비 11% 증가했다. 고정환율 기준으로는 14% 늘었다. 이를 지난해 4분기 평균 원·달러 환율(1449.96원)로 환산하면 12조8103억원 규모다. 전년 동기(11조1139억원) 대비 증가한 수치다. 하지만 직전 3분기 매출(92억6700만달러)과 비교하면 5% 감소했다. 달러 기준 매출이 전분기 대비 하락한 사례는 있었지만, 원화 기준 매출이 감소한 것은 2021년 상장 이후 처음이다. 직전 3분기 원화 매출은 12조8455억원이었다. 4분기 영업이익은 800만달러(약 115억원)로, 전년 동기(3억1200만달러·4353억원) 대비 97% 급감했다. 영업이익률은 0.09%에 그쳤다. 당기순손실은 2600만달러(약 377억원)로, 전년 동기 1억3100만달러(1827억원) 순이익에서 적자 전환했다. 김범석 쿠팡 Inc 의장은 “우리는 과감한 선택을 통해 고객에게 '와우' 순간을 제공하고 있다”며 “이번 분기는 쿠팡과 고객, 그리고 사업 파트너 모두에게 어려운 시기였지만, 데이터 사고에 대해 고객 중심의 대응에 집중하면서 동시에 시스템 강화를 병행했다”고 말했다. “로켓배송·FLC로 취급 상품 수천만개로 확장” 쿠팡은 4분기에도 미래 준비에 초점을 맞췄다고 밝혔다. 김 의장은 “고객 경험을 개선하는 동시에 서비스 비용을 낮추기 위해 운영 전반에 걸쳐 더 높은 수준의 혁신과 자동화를 도입하고 있다”고 설명했다. 특히 로켓배송에 대한 투자를 지속하며 자사 직매입(퍼스트파티·1P) 상품군 확대에 나서고 있다. 그는 “현재의 상품 수는 우리가 도달할 수 있다고 믿는 수준에 한참 못 미친다”고 언급했다. 여기에 FLC(풀필먼트 및 물류 기반 판매자 프로그램)를 결합해 상품 구색을 수천만개까지 확장하겠다는 구상이다. 김 의장은 “직접 소싱만으로는 여전히 수십만 개의 중소기업을 지원하지 못하고 있다”며 “FLC를 통해 쿠팡이 수십억 달러를 투자해 구축한 기술·물류·풀필먼트 인프라를 개방해 대규모 고객 접근을 가능하게 한다”고 밝혔다. 대만 세 자릿수 성장…익일배송 75% 자체 라스트마일 처리 성장사업(Developing Offerings) 부문에서는 대만이 고성장을 이어갔다. 대만은 이번 분기에도 전년 대비 세 자릿수 매출 성장을 기록했다. 12월 기준 전체 물량의 약 75%가 자체 라스트마일 네트워크를 통해 익일 배송됐으며, 서비스 품질은 안정적으로 유지됐다고 회사는 설명했다. 김 의장은 “우리는 단순한 온라인 마켓플레이스가 아니라 실물 재고와 인프라를 기반으로 하는 리테일·물류 운영을 구축하고 있다”며 “성장은 항상 선형적으로 나타나지 않을 수 있다”고 말했다. 다만 “고객 반응은 매우 강하고 일관되게 나타나고 있다”고 강조했다. 쿠팡이츠와 일본 '로켓 나우' 역시 초기 단계지만 고객 유지율과 참여도 지표가 긍정적이라는 설명이다. 인수한 파페치는 인수 이후 처음으로 전년 대비 매출 성장과 함께 수익성 구조가 개선된 분기를 기록했다. “1월 성장률 4%까지 둔화…최근 안정화 조짐” 거랍 아난드 쿠팡 최고재무책임자(CFO)는 컨퍼런스콜에서 데이터 사고가 분기 말로 갈수록 매출 성장률, 활성 고객 수, 와우 멤버십 지표에 부정적 영향을 미쳤다고 밝혔다. 데이터 사고 이전 3개월간 프로덕트 커머스는 고정환율 기준 16% 성장했으나, 1월에는 약 4% 수준까지 둔화된 것으로 추정했다. 다만 아난드 CFO는 "최근에는 활성 고객 수와 와우 멤버십에서 나타났던 부정적 추세가 안정화되는 모습을 확인했다"며 "와우 멤버십 해지는 과거의 낮은 수준으로 돌아왔으며, 멤버십 추이 역시 정상화된 것으로 보인다"고 말했다. 1분기 연결 기준 고정환율 매출 성장률은 5~10% 수준을 예상했다. 올해는 성장 둔화와 고객 지원 투자, 데이터 사고 관련 비용 영향으로 EBITDA 마진 확대 흐름이 일시 중단될 것으로 전망했다. 성장사업 부문 2026년 연간 조정 EBITDA 손실 가이던스는 9억5000만~10억 달러다. 기술 투자와 관련해 회사는 지난 4년간 사이버보안 지출이 한국 기업 상위 3위 안에 지속적으로 포함됐다고 밝혔다. 향후 기술 투자 규모는 유지하되, 더 큰 비중을 사이버보안 역량 강화에 배정할 계획이다. AI와 관련해서 김 의장은 “AI 발전을 매우 고무적으로 보고 있다”며 "쿠팡은 단순한 소프트웨어 사업이 아니라 실제 인프라와 물리적 재고 이동을 포함한 리테일 사업이다. AI는 선택, 서비스, 절약이라는 세 기둥의 가치를 증폭시킬 잠재력이 크고, 시간이 지나며 더 낮은 비용으로 최고의 경험을 제공하는 데 기여할 것"이라고 언급했다. 이날 김범석 의장은 개인정보 유출 사태와 관련 다시 한 번 사과한다고 말했다. 육성으로 입장을 발표한 것은 이번이 처음이다. 김 의장은 “4분기 실적에 대해 자세히 논의하기 전에, 지난해 말에 알려드렸던 데이터 사고에 대해 말씀드리겠다”며 “이번 사고로 인해 고객 여러분께 걱정과 불편을 끼쳐 드린 점 다시 한번 사과드린다”고 말했다. 그는 쿠팡 존재 이유를 '고객'에 두고 있다는 점을 거듭 강조했다. 김 의장은 “쿠팡이 구축해 온 모든 것은 오직 한 가지 목표, 즉 고객을 감동시키는 데 집중해 왔다”며 “고객이 우리의 존재 이유다.그 신뢰를 얻기 위해 매일 노력하고 있다”고 말했다.

2026.02.27 14:06안희정 기자

김범석 쿠팡 "작년 4분기 어려웠던 시기...미래에 집중"

김범석 쿠팡Inc 의장이 4분기 실적 발표 컨퍼런스콜에서 로켓배송 투자 확대와 글로벌 성장사업 가속화 의지를 강조했다. 개인정보 유출 사고로 어려운 환경에 직면했지만, 고객 경험 강화와 장기 확장 전략에는 변함이 없다는 뜻을 분명히 했다. 26일(현지시간) 김 의장은 “우리는 과감한 선택을 통해 고객에게 '와우'의 순간을 제공하고 있다”며 “미래를 준비하는 데 집중하고 있다”고 말했다. 그러면서 "고객 경험을 개선하는 동시에 서비스 비용을 낮추고자 운영 전반에 걸쳐 더 높은 수준의 혁신과 자동화를 도입하고 있다"고 역설했다. 로켓배송·FLC 확대…“수천만개 상품으로 가는 길 초입” 김 의장은 “자사 직매입(퍼스트파티) 상품군 확대에 적극 투자하고 있다"면서 "지금 상품 수는 우리가 도달할 수 있다고 믿는 수준에 한참 못 미친다”며 적극적인 투자 방침을 밝혔다. 특히 FLC(풀필먼트 및 물류 기반 판매자 프로그램)를 통해 성장 여력을 넓히겠다고 강조했다. 김 의장은 “쿠팡이 수십억 달러를 투자해 구축한 기술·물류·풀필먼트 인프라를 판매자들에게 개방해, 자체적으로는 구축할 수 없는 역량을 제공하고 대규모 고객 접근을 가능하게 한다"며 "그 결과 고객은 점점 확대되는 상품 카탈로그 전반에서 로켓배송의 편리함을 누릴 수 있다. 퍼스트파티 직매입과 FLC를 결합하면 수천만 개 상품으로 확장할 수 있는 길이 열리며, 우리는 여전히 그 여정의 초입에 있다"고 언급했다. 대만 '세 자릿수 성장'…라스트마일 70% 커버 성장사업(Developing Offerings) 부문에서는 대만이 가장 두드러졌다. 김 의장은 “이번 분기에도 전년 대비 세 자릿수 매출 성장을 기록했다”고 밝혔다. FMCG(일상소비재) 중심으로 시작된 상품 확대가 다양한 카테고리로 확장되고 있고, 풀필먼트 및 배송 속도와 안정성 개선이 성장 동력이라는 설명이다. 특히 자체 라스트마일 물류망 구축이 빠르게 진전되고 있다. 현재 대만 전체 지역의 약 70%를 커버하고 있으며, 12월 기준 전체 물량의 약 75%가 자체 네트워크를 통해 익일 배송됐다. 그는 “서비스 품질은 안정적으로 유지됐고, 단위당 변동비의 유의미한 증가는 없었다”고 말했다. 김 의장은 “우리는 단순한 온라인 마켓플레이스가 아니라 실물 재고와 물류 인프라를 갖춘 리테일·물류 운영을 구축하고 있다”며 “이 때문에 성장률은 분기마다 변동할 수 있다”고 설명했다. 다만 고객 반응이 강하고 일관되게 나타나고 있어 장기 성장에 대한 자신감은 유효하다고 강조했다. 쿠팡이츠·일본·파페치도 '초기 신호 긍정적' 한국 쿠팡이츠와 일본 '로켓 나우' 음식 배달 사업도 초기 단계지만 고객 유지율과 참여도 지표가 긍정적이라는 평가도 나왔다. 파페치는 인수 이후 처음으로 전년 대비 매출 성장과 함께 전체 수익성 구조가 개선됐다. 김 의장은 “방대한 럭셔리 상품 구색과 프리미엄 배송·반품 경험을 결합해 글로벌 럭셔리 고객에게 가치를 창출할 기회가 있다”고 말했다. 김 의장은 이번 4분기를 “쿠팡과 고객, 파트너 모두에게 힘들었던 시기였다”고 평가했다. 다만 데이터 사고 이후 고객 중심 대응과 시스템 강화에 집중했다는 점에 자부심을 나타냈다. 그는 “고객 경험이나 장기 확장성을 훼손하지 않으면서 수요를 충족하기 위해 적극적인 투자를 지속하겠다”고 밝혔다.

2026.02.27 09:06안희정 기자

쿠팡 대만 가입자들도 보상 받는다...인당 '4만6천원'

쿠팡이 개인정보 유출 사태와 관련해 대만 가입자들에게도 총 2억 대만달러(약 91억원) 규모의 보상 방안을 내놓는다. 영향을 받은 대만 가입자 전원에게는 총 1000대만달러(약 4만5700원) 상당의 쇼핑 할인 쿠폰이 지급된다. 쿠팡은 최근 대만 홈페이지 뉴스룸을 통해 이 같은 보상 계획을 공개했다. 회사는 “영향을 받은 모든 고객이 총 가치 1천 대만달러의 쿠팡 쇼핑 할인 쿠폰을 받게 될 것”이라고 밝혔다. 보상은 총 5장의 쿠폰으로 구성된다. ▲로켓배송 상품 100 대만달러(약 4600원) 할인 쿠폰 1장 ▲로켓배송 상품을 1500 대만달러(약 6만8600원) 이상 구매할 경우 200 대만달러(약 9100원) 할인 쿠폰 2장 ▲해외 로켓배송 상품에 사용할 수 있는 250 대만달러(약 1만1400원) 쿠폰 2장 등이다. 쿠폰은 3월 8일부터 3개월간 사용할 수 있다. 쿠팡은 한국 개인정보 유출 보상책으로 쿠팡·쿠팡이츠·쿠팡트래블 등을 합쳐 총 5만원 상당의 구매 이용권을 제공한 바 있다. 대만 보상안 역시 금액 기준으로는 유사한 수준이다. 전날 쿠팡은 전 직원이 무단 접근한 계정 3367만건 중 약 20만 개가 대만 소재 계정인 것으로 확인됐다고 밝혔다. 실제 저장된 데이터는 대만 1건을 포함해 전체 약 3000건이며, 금융·비밀번호 등 고도 민감 정보 유출은 없었다고 설명했다. 회사 측은 사고 최초 발표 당시에는 대만 소재 계정이 영향을 받았다는 증거가 확인되지 않았으나, 이후 대만 디지털부(Ministry of Digital Affairs)와 협력해 지속적인 조사를 진행해 왔다고 했다. 대만 계정에서 접근된 데이터는 기본적인 연락처 및 주문 정보로 한정된다. 구체적으로 ▲이름 ▲이메일 주소 ▲전화번호 ▲배송지 주소 ▲제한된 수의 주문 목록 등이다. 반면 ▲금융 및 결제 데이터 ▲비밀번호 등 로그인 계정 정보 ▲정부 발급 신분증 정보 등은 접근조차 되지 않았다는 것이 회사 측 설명이다. 쿠팡은 “기존에 발표한 주요 조사 결과는 대만에도 동일하게 적용된다”고 덧붙였다. 쿠팡은 현재까지 사고로 인한 데이터 악용이나 2차 피해 사례는 확인되지 않았다고 밝혔다. 다만 향후에도 상황을 면밀히 모니터링하고 새로운 정보가 확인될 경우 즉시 공유하겠다는 방침이다.

2026.02.26 09:19안희정 기자

쿠팡, 개인정보 유출 3367만건 중 대만 계정 20만건 포함돼

쿠팡 전 직원이 무단 접근한 계정 3367만건 중 약 20만 개가 대만 소재 계정인 것으로 확인됐다. 쿠팡Inc는 25일 공식 입장을 통해 이같이 밝히며 실제 저장된 데이터는 대만 1건을 포함해 전체 약 3000건이며, 금융·비밀번호 등 고도 민감 정보 유출은 없었다고 설명했다. 회사 측은 사고 최초 발표 당시에는 대만 소재 계정이 영향을 받았다는 증거가 확인되지 않았으나, 이후 대만 디지털부(Ministry of Digital Affairs)와 협력해 지속적인 조사를 진행해 왔다고 했다. 조사는 글로벌 사이버보안 기업 맨디언트를 비롯한 제3자 포렌식 및 보안 전문가들이 수행했다. 쿠팡은 “대만 디지털부의 지도와 감독 하에 엄정하고 철저한 조사가 이뤄졌다”며 조사 경과를 대만 당국과 긴밀히 공유해 왔다고 설명했다. 맨디언트 조사 결과, 동일 사건에서 전 직원이 무단 접근한 계정 중 약 20만개가 대만 소재 계정으로 파악됐다. 포렌식 분석에 따르면 이 가운데 실제로 데이터를 저장한 계정은 단 1건에 그쳤다. 저장된 전체 계정 수는 대만 1건과 한국 내 사례를 합산해 약 3000건 수준이다. 쿠팡은 “제3자 전문가들은 대만을 포함한 어느 지역에서도 고도 민감 정보가 유출된 사실은 없다고 확인했다”고 강조했다. 대만 계정에서 접근된 데이터는 기본적인 연락처 및 주문 정보로 한정된다. 구체적으로 ▲이름 ▲이메일 주소 ▲전화번호 ▲배송지 주소 ▲제한된 수의 주문 목록 등이다. 반면 ▲금융 및 결제 데이터 ▲비밀번호 등 로그인 계정 정보 ▲정부 발급 신분증 정보 등은 접근조차 되지 않았다는 것이 회사 측 설명이다. 쿠팡은 “기존에 발표한 주요 조사 결과는 대만에도 동일하게 적용된다”고 덧붙였다. 쿠팡은 현재까지 사고로 인한 데이터 악용이나 2차 피해 사례는 확인되지 않았다고 밝혔다. 다만 향후에도 상황을 면밀히 모니터링하고 새로운 정보가 확인될 경우 즉시 공유하겠다는 방침이다. 회사 측은 “사건 초기부터 명확한 진실 규명을 위해 제3자 기관에 조사를 의뢰했으며, 모든 단계에서 확인된 내용을 관련 규제 당국과 대중에게 공유해 왔다”고 설명했다. 아울러 “대한민국 및 대만 정부 기관과 앞으로도 긴밀히 협력하겠다”며 “이번 일을 계기로 보호 체계를 한층 강화하고, 더 엄격한 내부 기준을 수립해 철저히 준수하겠다”고 약속했다. 쿠팡은 “투명한 조사 결과 공개가 책임의 전부라고 생각하지 않는다”며 “보안 체계 전반을 재점검하고 재발 방지에 최선을 다하겠다”고 강조했다.

2026.02.25 10:22안희정 기자

로저스 쿠팡 대표, 美 하원 조사 출석…韓 차별적 대우 증언

미국 하원 법사위원회가 한국에서 미국 기업인 쿠팡을 상대로 차별적 대우가 이뤄지고 있다는 의혹을 들여다보기 위해 해롤드 로저스 한국 쿠팡 임시대표를 대상으로 7시간 가량 조사했다. 뉴시스에 따르면 로저스 대표는 23일(현지시간) 오전 10시부터 워싱턴DC 연방하원 건물인 레이번 빌딩에서 시행된 하원 법사위의 쿠팡 사태 관련 비공개 증언 청취에 직접 참석했다. 오전 9시42분경 법사위 회의실 입장 당시 어떤 입장을 밝힐 것인지, 한국 소비자들에게 전하고 싶은 말이 있는지 등을 묻는 취재진의 질문에는 아무런 답변을 하지 않은 것으로 알려졌다. 증언청취 절차는 오후 5시 가까이 진행되다 끝이 났다. 이때도 로저스 대표는 취재진의 질문에 답변하지 않았다고 뉴시스가 전했다. 미국 의회가 쿠팡 임직원을 대상으로 직접 증언을 듣는 것은 이번이 처음이다. 한국 정부가 쿠팡을 불공정 대우하고 있다는 주장에 대해 의회 차원에서 공식 조사가 시작된 것이다. 조사는 비공개 증언청 취 형식으로 진행된 만큼 연방 하원의원들은 모습을 드러내지 않았고, 법사위 소속 변호사와 의원실 보좌진 중심으로 이뤄졌다. 이들은 쿠팡이 제출한 자료 등을 바탕으로 로저스 대표에게 한국 정부가 쿠팡을 불공정하게 대우하고 있는지를 들은 것으로 예상된다. 현재 로저스 대표는 지난해 출석한 국회 청문회와 관련해, 국회 위증 혐의로 고발돼 경찰 수사도 받고 있다. 미국 법사위는 이번 조사를 통해 사실관계를 정리한 후 필요하다면 정식 청문회를 개최하거나 관련 입법을 추진할 수 있다. 조사가 진행되는 동안 법사위 대변인은 증언청취 관련 세부적인 내용을 확인해줄 수 없다면서도 향후 입법 조치 등으로 이어질 수 있냐는 질문에는 “모든 것은 테이블 위에 있다”고 말했다. 쿠팡 이외 다른 기업을 상대로도 증언 청취가 이뤄질 수 있냐는 질문에 같은 답을 내놓기도 했다. 로버트 포터 쿠팡Inc 글로벌 대외협력 최고 책임자는 “미 하원의 의견 청취로까지 이어진 한국에서의 상황에 대해 유감스럽다”며 “건설적인 해결 방안을 찾기 위해 여전히 노력하고 있다”고 말했다. 이어 “좀 더 포괄적으로는 미국과 한국의 가교 역할을 할 수 있기를 바란다”며 “이를 통해 양국 경제 관계의 개선, 안보 동맹 강화, 무역과 투자를 증진해 양국의 이익에 동시에 도움이 될 수 있기를 바란다”고 덧붙였다.

2026.02.24 08:59박서린 기자

쿠팡 "참여연대 결제정보 유출 주장 책임 물을 것"

쿠팡은 대규모 개인정보 유출 사태 당시 일부 소비자의 결제정보가 유출됐다는 신고가 접수됐다며 정부에 추가 조사를 요구한 참여연대에 유감을 표명했다. 회사 측은 참여연대가 소비자 불안을 조장하고 있다고 지적했다. 쿠팡은 23일 “정부 민관합동조사단 및 보안 전문기업의 (개인정보 유출 사태)조사 결과, 결제정보와 비밀번호 유출은 없었으며 2차 피해는 현재까지 확인된 바 없다”며 “2차 피해가 확인되지 않았음에도 근거없는 주장을 지속하고 이로 인해 소비자 불안을 조장하는 것에 대해 강한 유감을 표한다”고 밝혔다. 앞서 쿠팡은 전 직원이 일으킨 침해 사고로, 지난해 11월 3367만건의 계정 정보가 유출됐다고 발표한 바 있다. 이날 참여연대는 쿠팡과 민관합동조사단이 결제정보와 개인통관부호 유출은 없었다고 주장했지만, 쿠팡 피해신고센터에는 무단결제와 개인통관부호 도용 제보들이 이어졌다며 정부의 추가적인 조사를 촉구했다. 쿠팡 피해신고센터를 운영한 참여연대와 민변 민생경제위원회는 무단 결제로 의심되는 제보 중 구체적인 입증 자료를 제출한 1건에 대해 서울지방경찰청에 수사를 의뢰했다. 지난해 12월 4일부터 올해 1월 4일까지 약 한 달 간 운영된 신고센터에는 총 7건의 무단결제 피해사례가 접수됐다는 것이 이들의 설명이다. 한 무단결제 피해자는 “쿠팡에서만 사용하는 카드로 외국 오픈마켓에서 11번 결제와 취소가 반복됐다”고 주장했다. 또 다른 피해자는 “자는 동안 28만원짜리 상품이 결제돼 있었고, 주문취소 후 고객센터에 문의하니 결제정보는 유출되지 않았다고 했다”고 말했다. 이와 관련해 쿠팡은 “참여연대와 민변이 서울경찰청에 수사의뢰 한 사례는 해당 고객이 이전에 주문했던 동일 기기에서 이뤄진 정상적인 결제로 확인된다”며 “해당 건 관련 빠른 경찰 조사를 촉구하며, 근거없는 주장을 지속하는 것에 대해 사실 관계에 따라 엄중히 책임을 묻겠다”고 강조했다.

2026.02.23 17:15박서린 기자

국회 "쿠팡 영업정지 고려는 아직...계정 도용 확인돼야"

3367만 건의 개인정보가 유출된 쿠팡 사태를 두고 공정거래위원회는 과징금을, 개인정보보호위원회는 과태료 부과 여부를 들여다본다. 영업정지는 법적 요건이 충족되지 않아 현실화가 불투명하지만, 요건이 충족될 경우 실현 가능성을 배제할 수는 없을 전망이다. 이훈기 더불어민주당 의원은 19일 서울 국회의원회관에서 열린 '을지로위원회 쿠팡 개인정보 유출 대책 간담회'에 참석해 “영업정지는 법 적용도 그렇고, 많이 고민해볼 사안”이라고 말했다. 영업정지의 핵심 쟁점이 되는 '개인정보 도용' 여부가 입증되지 않았기 때문이다. 현재 공정위 차원에서는 쿠팡 사태에 대해 과태료 및 시정 조치를, 개보위는 과징금을 부과하는 제재를 검토 중이다. 김남근 더불어민주당 의원은 “영업정지에 대해서는 전자상거래법상 개인정보 유출이 아니라 다른 사람에게 넘어가서 이용되고 있다는 도용까지 확인돼야 하는데, 이것까지는 확인되지 않았기 때문에 영업정지는 아직 고려하지 않고 있다”고 답했다. 영업정지 처분이 현실화되려면 공정위가 조사 결과를 토대로 계정 도용으로 인한 재산상의 손해가 발생했거나 발생할 우려가 있는지, 사업자가 피해 회복 조치를 취하지 않았는지를 검토한 후 시정 조치를 취해야 한다. 시정 조치만으로 소비자 피해보상이 어렵다고 판단되면 이 때 영업정지 처분이 가능해진다. 다만, 개인정보 도용 확인 시 영업정지 가능성은 열어뒀다. 김 의원은 추후 쿠팡의 개인정보 유출 사고로 인한 도용 사태가 발생하면 영업정지나 과태료 처분 등을 추가적으로 고려할 수 있을지를 묻는 질문에 “그럴 수 있다고 본다”고 덧붙였다. 이날 을지로위원회에서는 정부가 다양한 방식을 통해 유출된 개인정보가 3367만 건이라는 점을 바로잡을 수 있도록 노력하겠다고 밝혔다. 이어 배송지 목록 등이 유출됐다는 점을 고려해 쿠팡 회원이 아닌 인물들도 피해가 예상된다는 점을 통지하기로 했다. 또 모의해킹 과정에서 발견된 문제점과 관련해서는 근본적인 개선 방안을 마련할 것을 촉구했다. 보안 측면에서는 재발 방지 대책을 수립할 것을 권고했다. 가령 비정상적으로 발급된 토큰(전자출입증)을 사전에 탐지하고 차단하는 체계를 도입하는 식이다. 회원 탈퇴가 어렵게 돼 있던 부분에 대해서는 쿠팡 측에서도 권고를 받아들여 탈퇴 절차를 간소화하기로 했다. 이외에도 을지로위원회는 김범석 쿠팡Inc 의장의 재벌 총수 지정 문제와 택배 과로사, 독과점 문제 등은 앞으로도 계속해서 점검해나가기로 뜻을 모았다.

2026.02.19 16:40박서린 기자

쿠팡 "성인용품 주문자 3000명 협박 주장 사실 아냐”

쿠팡은 지난해 발생한 대규모 개인 정보 유출 사태 용의자가 성인용품 구매자를 선별해 협박했다는 의혹이 제기되자 "사실이 아니다"라고 반박했다. 12일 쿠팡은 입장문을 내고 “공격자가 성인용품을 주문한 3000명을 별도로 분류해 금전 협박을 했다는 주장은 사실이 아니다”라며 “성인용품 주문 리스트를 만들어 협박한 사실은 전혀 없다”고 밝혔다. 앞서 11일 국회 대정부질문에서 김승원 더불어민주당 의원은 “쿠팡에서 3367만 건의 개인정보가 유출됐고, 유출 용의자가 이 가운데 성인용품을 주문한 국민 3천 명을 선별해 협박하려 했다”고 주장했다. 그는 “3300만여 명의 국민 중 성인용품 주문자 3000명을 따로 소싱해 리스트를 만들고, 이들의 주소·성명·전화번호를 알고 있다며 돈을 지급하지 않으면 정보를 공개하겠다고 쿠팡을 협박하려 한 것”이라고 말했다. 이에 대해 쿠팡은 “최근 민관합동조사단 조사 결과와 공격자가 보낸 이메일 어디에도 금품을 목적으로 한 협박 내용은 확인되지 않는다”고 설명했다. 쿠팡은 “사실과 다른 내용이 대정부질문에서 언급된 데 대해 유감을 표한다”며 “재발 방지를 위한 모든 방안을 강구하고, 고객의 개인정보 보호를 위해 최선을 다하겠다”고 덧붙였다.

2026.02.12 13:52안희정 기자

[쿠팡 사태⑥] 보안 전문가들 "기본도 안 지킨 인재" 한목소리

"보안 교과서에 나와 있는대로 기본을 지켰으면 생기지 않았을 문제가 생겼다. (쿠팡 사태는) 이로 인한 '인재(人災)'다." 과학기술정보통신부가 10일 쿠팡 침해사고 민·관합동조사단 조사 결과를 발표한 가운데, 이와 관련해 권헌영 고려대 정보보호대학원 교수는 이같이 진단했다. 권 교수는 "쿠팡을 비롯해 지난해 발생한 대형 침해사고의 경우 공격의 방식이나 경로가 달라졌을 뿐이지 기본을 지켰으면 생기지 않았을 문제였다"며 "기업이 보안을 전략·경영적 관점에서 대하고, 수익과 효율성만 추구할 것이 아니라 안전과 신뢰를 앞세워야 할 필요가 있다"고 강조했다. 보안 전문가 "쿠팡, 정보보호 미흡" 한 목소리 보안 전문가들은 이번 쿠팡 침해사고를 두고 여러 미흡한 점이 있다고 설명했다. 염흥열 순천향대 정보보호학과 교수는 "퇴사자에 대한 권한 말소는 기본 중의 기본인데 지켜지지 않은 측면이 있다"며 "개발망하고 운영망은 엄격하게 분리돼 있어야 하는데, 퇴사한 개발자가 운영망에 접근 가능한 서명키를 갖고 있었다는 것은 이런 원칙이 지켜지지 않았다고 봐야 한다"고 설명했다. 기업이 침해사고를 당하면 침해당한 데이터는 역설적이게도 공격 징후를 포착하고 예방하기 위한 중요한 데이터가 된다. 그러나 조사단 결과에 따르면 쿠팡은 자료보전 명령에도 불구하고 약 5개월 분량의 웹 접속 기록이 삭제되고, 애플리케이션 접속기록도 약 일주일 간 삭제하는 등 위법 사항도 포착됐다. 이와 관련해 박기웅 세종대 정보보호학과 교수는 "공격자들이 어떤 기법을 사용했는지 파악하는 데 정말 중요한 정보가 되는 침해 데이터를 방치 및 삭제했다는 점에서 아쉬움이 남는다. 과태료 등 부정적인 영향을 우려해 이런 데이터를 숨길 수밖에 없었던 게 안타깝다"고 밝혔다. 박 교수는 이어 "이번 쿠팡 사태를 보면서 '사이버보안 보험' 체계 마련의 필요성이 대두되는 사건으로 보인다"며 "싱가포르의 경우 침해사고를 당하면 사이버보안 보험사가 보상액을 지급하는 체계가 마련돼 있다. 이에 보험사가 가입 기업에 지속적으로 보안 체계를 고도화할 것을 주문하는 등 정보보호 측면에서 선순환되는 구조가 구축돼 있다. 다만 아직 우리나라는 이런 체계가 잡혀 있지 않기 때문에 활성화를 위한 논의도 필요해 보인다"고 제언했다. 이용준 극동대 해킹보안학과 교수는 "전직 개발자가 퇴직 후 자동화된 해킹 프로그램으로 3000만 건이 넘는 데이터를 유출한 사건은 내부자 보안에 실패한 대표적인 사례"라며 "가장 안전하게 보호돼야 하는 서명키를 갖고 해킹 프로그램을 제작하고 서명키를 교체하지 않은 것은 ISMS-P, 쿠팡 자체 규정도 어긋나 있는 기초적인 보안관리가 되지 않았다"고 평가했다. 이 교수는 이어 "ISMS-P 인증을 받은 쿠팡에서 내부자 보안 실패, 사고조사 절차 부실 등을 고려할때 정부도 실효성 있는 강화된 ISMS-P, 과징금 현실화 등 고려해야 한다"면서 "또한 개인정보 유출로 인한 과징금 또는 내부 정보보안 부실에 대한 과실 책임을 피하기 위해 자료보전 명령을 내렸음에도 지키지 않은 것으로 보인다. 향후 행정명령 미준수 시 과징금을 현실화하고 핵심 로그, 증거를 신속히 선별 압수수색하는 방안이 필요해 보인다"고 강조했다. "공격 징후 모니터링 노력 부족" 민관합동조사단이 공격자 PC 저장장치를 포렌식 분석한 결과, 공격자가 정보 수집 및 외부 서버 전송이 가능한 공격 스크립트를 작성한 것으로 확인됐다. 공격자가 자동으로 쿠팡 내부에 저장된 개인정보를 수집·전송했을 수 있다는 것이다. 이와 관련해 염흥열 교수는 "외국에서 공격 접근이 있었을 텐데, 이에 대한 모니터링도 미흡했다"며 "특히 조사 결과에 따르면 공격자 PC 저장장치를 포렌식 분석한 결과 외부 서버 전송이 가능한 공격 스크립트를 작성한 것이 확인되는데, 스크립트에 대한 이상행위 탐지 및 대응이 부족했다. 글로벌 기업이라는 쿠팡이 글로벌 수준에 걸맞는 보안 관리 체계는 마련돼 있지 않았다고 볼 수 있다"고 평가했다. 이용준 교수는 공격 징후를 사전에 포착할 수 없었냐는 질문에 "공격자 내부 소프트웨어 개발자이기 때문에 쿠팡 서명키를 통해 인증 기능 취약점을 이용한 점, 특정 IP에 집중되지 않도록 2313개 IP로 우회한 점, 지난해 4월부터 11월까지 접속을 분산한 점 등은 보안 정보 및 이벤트 관리(SIEM) 등 솔루션에서 비정상 징후로 탐지하기 어려운 패턴"이라면서도 "쿠팡 보안담당자가 비정상 징후 분석을 위한 정기적이고 전문적인 노력을 하였는지가 핵심인데, 쿠팡 전반적 내부 보안 부실을 고려할때 비이상징후 탐지에 노력이 부족하지 않았을까 추정된다"고 밝혔다.

2026.02.10 19:25김기찬 기자

[쿠팡 사태⑤] "조회도 유출"…지능형 해킹 아닌 '관리 부실' 결론

쿠팡 개인정보 침해 사고와 관련해 정부 민관합동조사단은 “조회된 개인정보는 모두 유출로 봐야 한다”며 전체 유출 규모를 3367만 건으로 공식 확인했다. 조사단은 이번 사고를 고도화된 해킹이 아닌 인증체계·키 관리 부실 등 내부 보안 관리 실패로 규정하고, 쿠팡이 주장해온 '3천여 건 유출' 주장은 조사 과정 중 하나일 뿐이라고 선을 그었다. 또 현재까지는 결제 정보가 유출되지는 않은 것으로 잠정 결론지었다. 다음은 쿠팡 침해사고 민관합동조사단 조사결과 브리핑 일문일답. Q. 사건 발생 후 조사결과 발표까지 시간이 많이 걸린 이유는 무엇이냐. 쿠팡이 협조를 안 한 부분이 있는 건지, 조사하는 그런 범위가 달랐던 것인지. 중국인에 대해 조사는 이뤄졌는지. 쿠팡 사건 관련 국가정보원 지시 여부는 사실인지. 최우혁 과학기술정보통신부 정보보호네트워크정책실장: 처음에 쿠팡의 자료 협조가 미진한 부분이 있었는데 이후에는 신속하게 대응을 해왔다. 시간이 걸리는 것은 데이터가 방대하기 때문. 기초 데이터의 숫자량이 많았기 때문에 조사하는데 어려움이 있었다. 중국인 조사 여부는 저희 영역이 아니다. 국정원 관련 사항은 국정원에 문의해달라. Q. 정부가 쿠팡 개인정보 유출 규모에 대해 유출과 조회 두 단어로 나눴다. 이는 법적 책임을 구분하기 위함인지. 유출에 한해서만 법적으로 책임이 더 커지고 조회 건은 처벌이 낮아질 가능성이 있는지. 쿠팡이 전체 회원 수를 공개하지 않았는데 사실상 전 회원이 다 피해를 입은 거로 봐도 되는지. 최 실장: 유출과 조회는 법적으로 차이가 있는게 아니다. 조회가 유출을 의미한다. 조회라고 책임이 가벼워지는 것은 아니다. 쿠팡 전체 가입자 수에 대해서는 확인이 불가능해 정보 유출 피해자가 쿠팡 전체 가입자인지는 자체적으로 판단해 설명하기 어렵다. Q. 현재 회원과 비회원 피해 비중이 나온 것이 있는지. 최근 쿠팡이 16만5000여 건 계정 유출을 추가 확인했다고 발표했는데 이런 발표를 공식적으로 생각하시는지 쿠팡의 자체 조사로 보고 있는지. 최 실장: 저희는 침해 사고에 대한 원인 분석, 그 다음에 포괄적인 유출 정보 범위에 대한 부분, 재발 방지 대책을 내는 기관이다. 회원과 비회원의 유출 규모는 아직 개보위가 발표하지 않았다. 구체적으로 보려면 개보위의 발표를 기다려 줘야할 것 같다. Q. 이번에 발표했던 3367만건이 당초 정부가 발표했던 3370만건 범위로 이해하면 되는지. 쿠팡이 3000여 건만 저장됐다가 삭제됐다는 발표를 했는데 이 주장에 대한 진위 여부는 어떻게 되는지. 추가 유출 16만5000여 건은 이번에 발표한 3367만건에 포함되지 않는 건지. 지난주 금요일 국회 좌담회 이후 나흘 만에 최종 브리핑이 나왔는데, 최근 미국 의회 중심으로 제기되는 쿠팡 차별론, 디지털 무역 장벽 논란을 의식할 수 밖에 없었던 건지? 최 실장: 유출된 개인정보가 3000여 건이라는 것은 쿠팡이 이야기한 것이다. 저희에게는 참고 요소일 뿐이고, 쿠팡 서버를 다 뒤져서 외부 공격자가 얼마만큼 확인되고, 얼마만큼 (정보가) 조회·유출됐는지를 오늘 말씀드렸다. 16만5000여 건에 대해서는 3367만 건 이외인 것으로 쿠팡이 밝혔고, 이는 저희도 인지하고 있었던 부분이다. 개보위에서 최종적으로 얼마만큼 개인정보 유출이 일어났는지 정리를 할 것이다. 초창기에 어렴풋이 본 숫자가 3370만건 정도였고, 최종적으로는 3367만건으로 이해해주면 된다. Q. 쿠팡 사태 개인정보 유출에 IP가 2000개 정도 사용됐다고 하는데, 이 과정에서 IP 구체적으로 어떻게 사용됐는지. 이동근 민관합동조사단 부단장: IP는 공격자가 (개인정보를) 유출할 때 사용했 IP가 로그에 남아있던 것을 뽑은 것이다. 숫자가 여러 개 나오는데 추정하기로는 해커가 하나의 IP만 사용한 것이 아니라 다양한 IP를 써서 정보를 유출했고 그 증거를 찾았다고 보면 된다. Q. 조회를 유출로 본다고 말했는데, 이를 굳이 나눈 이유는 무엇인지. 차이를 좀 더 명확하게 설명해달라. 공격자의 수법이 전자출입증을 생성해 개인 페이지를 하나하나 들어가서 다 웹크롤링 한 건지. 이 부단장: 조회, 유출 관련해서는 자료에서 볼 수 있듯이 '조회해서 유출'로 돼 있다. 조회라고 표현한 이유는 들어가는 순간 보이는 것처럼 고객 정보를 다 본 시스템, 예를 들어 공격자의 PC라든지 노트북이라든지, 서버라든지 그런 쪽으로 다 전송되기 때문에 그렇게 표현했다. 1억 건이나 되는 것을 다 사람이 들어가서 할 수는 없다. 웹크롤링이라고 해서 자동화된 기법을 사용했고 공격자는 스크립트 형태로 프로그램을 짜고 정해진 주소를 입력하면 그 주소에 가서 웹 페이지를 통째로 긁어와서 개인정보나 기타 정보들을 추출하는 수 있는 방식을 사용했다고 보면 된다. Q. 이번 사고가 전 직원의 소행인데, 이를 관리 소홀이라고 보는 시각이 맞는지 아니면 지능화된 해킹으로 봐야하는지. 그럼 조회로 숫자가 세어진 것은 유출이 안됐다고 봐야하는 건지. 최 실장: 저희가 인증체계 관련 이 문제점도 강하게 질타하고 지적했다. 키 관리시스템도 제대로 안되고 있는 부분도 정확히 지적했다. 이는 분명히 관리의 문제다. 지능화된 공격으로 보기는 어렵다. Q. 1억4000여 회로 표현된 것이 일단은 횟수로 확인 된 것만 발표한 것인지. 건수 등도 최종적으로 개보위의 판단을 거쳐 나온다고 보면 되는 건지 아니면 판단하기 어려운 상황으로 보이는지. 웹 로그 분석 결과 접속기록을 확인했다고 발표했는데, 접속한 위치도 확인이 되는 것인지. 최 실장: 1억4000여 건을 조회했다. 조회된 정보는 유출된 것으로 보고 있다. 그 다음 개인정보에 대한 3367만건은 개보위나 경찰청, 저희(과기정통부)도 숫자를 동일하게 보고 있다. 거듭 말했듯이 개보위의 발표를 기다려달라. (공격자의 접속 위치는) 수사와 관련된 건이라 정확하게는 어떤 국가라든지 이런 건 말씀드리기 어렵다. Q. 쿠팡이 주장한 개인정보 유출 3000여 건에 대해서는 유출 범위를 축소하려는 시도로 해석될 여지가 있는지. 법적으로 문제가 될 소지는 없는지. 최 실장: 피조사기관이 하는 것은 하나의 주장일 뿐이다. 그 주장에 대해 조사를 하고, 검증을 하고 체크를 해서 국민들에게 투명하게 조사결과를 발표하는 것이 조사단의 의무다. 그들의 이야기하는 부분은 저희가 평가할 것은 아니고, 이를 엄정하고 투명하게 조사할 뿐이다. 또 숫자가 조사결과보다 적다고 해서 처벌하는 규정은 없다. Q. 공격자가 지금까지 확인된 바로는 1명이 맞는지. 배후에 다른 조직이 있거나 이런 것은 없는지. 1명에 의해 이렇게 큰 규모의 개인정보가 유출됐다는 것도 심각한 문제인 거 같은데 이 부분에 대해서는 어떻게 보는지. 최 실장: 이는 수사의 영역이다. 지금 공격자가 1명이다, 여러 명이다 이렇게 말씀드릴 수 있는 정보가 저희에게 있지 않다. 나중에 경찰의 (수사) 결과를 봐주셔야 한다. Q. 서명 키가 개발자의 개인 노트북에 저장된 사실을 적발했다고 하는데, 확인한 시점은 언제인지. 부적절하게 보관해 온 개발자라든지 직원 규모를 몇 명 정도로 보는지. 모의 해킹에서는 쿠팡 측이 인증체계의 구조적 결함을 임시방편으로 일부만 막았다고 본 거 같은데 구체적으로 어떤 내용인지. 이 부단장: 전 재직자는 이번에 문제가 됐던 키가 포함된 시스템을 직접 개발할 때 참여했던 인물이다. 숫자를 명확하게 말하기는 어렵지만, 팀에 있는 멤버들이 업무를 확인한 결과 키를 저장하고 있는 것으로 확인했다. 과거에도 퇴사한 공격자가 동일한 형태의 업무를 했기 댐누에 키를 저장할 수 있었고, 저희가 지적했던 키 관리가 전반적으로 이뤄지지 않았다는 부분이다. 몇 명이 이를 가지고 있는 지는 말씀드리지 어렵지만, 이력관리가 잘 안되는 부분이 있다. 근본적으로는 토큰을 가지고 공격자가 할 수 있는 경로상에서 문제점들을 진단하고 제거했어야 되는데 모의해킹한 부분에 대해서만 집중 관리하다보니 토큰을 검증하는 체계에 대해서는 전혀 검토가 이뤄지지 않아서 이번 사고와 연결됐다고 말씀드릴 수 있다. Q. 유출과 조회가 계속 헷갈리는 것이 보통은 유출이다. 이번에는 조회를 했다는 점이 혼란을 주는데, 1억4000여 건을 조회했다는 점을 고려하면 특정인의 배송지 목록 페이지에는 여러명이 있을 수 있다. 이를 곱하면 실제 유출정보는 많을 거 같다. 이 부단장: 3367만건이라고 명시한 부분은 '내 정보 수정하기'의 성명과 이메일을 쌍으로 계산했다. 이 숫자에 대해서는 웹 접속 기록상 정확하게 식별해서 구별할 수 있는 데이터가 있어 (저희가)셀 수 있었다. 그러나 배송지 주소는 상당히 복잡하게 돼 있다. 안에 등록돼 있는 개수도 많고, 최대 20개까지 등록돼 있다. 그 숫자를 지금 다 산정해서 발표한다면 시간이 많이 걸릴 수 있다 보니 조회한 순간 정보가 통제권 밖으로 나가기 때문에 1억4000여 건을 조회해서 유출했다고 말씀드렸다. 정확한 개별 건들은 향후 개보위가 발표할 숫자다. 임정규 민관합동조사단장: 배송지 목록을 보면 한 페이지에 어떤 사람은 주소를 하나만 넣은 사람이 있고, 주소를 20개 넣은 사람이 있다. 이를 하나부터 20개까지 분류할 수 있는데 저희는 조회한 한 페이지를 하나로 본 것이다. 그래서 이것을 1억4000여 건 조회했다고 발효한 것이다. Q. ISMS-P 접근 권한별 직무 분리와 암호 정책 수립이 미흡한 것을 확인했다고 했는데, 인증 취소도 검토하는지. 최 실장: (쿠팡은) ISMS-P 인증 기준에 미달하는 부분이 있었다. 통상적인 절차는 인증 기준 미달에 대해 보완조치를 요청한다. 보완 조치 이후에도 개선이 안 돼 있으면 그 다음에 시정 명령을 하고, 안하면 취소하는 절차를 진행한다. ISMS-P는 기업에서 정보보호를 사전적으로 잘 대비하는 체계를 갖추라는 의미이기 때문에 취약점, 미달 기준이 나왔을 때 이를 보완하는 것을 가장 우선으로 하고 있다. Q. 쿠팡은 유출된 개인정보가 3000여 건이라고 주장하고 하는데, 이를 잘못된 수치라고 보는지. 2차 피해가 없다고 주장하는데, 조사 과정에서 유출된 정황이나 사례는 없는지. IP가 조회된 장소가 해외, 중국일 가능성도 있는지. 최 실장: (쿠팡이 주장한) 3000여 건은 조사하는 과정의 하나일 뿐이다. 이에 대해 지금 수치가 맞다, 틀리다 말하는 것은 불필요하다. 2차 피해에 대한 부분은 현재까지 확인한 바로는 다크웹 등에서 확인하지 못했다. IP 조회 장소 등은 수사와 연계된 부분이 있어 경찰과 정보 공유를 한 상황이다. 이 부분에 대해서는 서울지방경찰청으로 문의를 해달라. Q. 유출자가 외부 서버 전송이 가능한 공격 스크립트를 작성한 것으로 확인됐다. 유출자가 의도적으로 외부 서버 전송 기능을 포함시켰다고 봐야 하는지 아니면 자동 기능인지. 데이터 외부 전송기록이 남아있지 않은 이유가 무엇인지, 유출자나 쿠팡 측이 기록을 삭제한 것인지. 전자출입증을 1대 1로 위변조한 것이 맞는지. 최 실장: 쿠팡으로부터 제출받은 공격자의 하드디스크와 SSD에 포함된 내용을 포렌식했다. 이곳에서 공격자가 제작한 것으로 보이는 스크립트를 확인했고 이 스트립트에 외부 클라우드를 연동하는 기능이 있었다. 이 기능 자체가 정보를 가지고 오면 그쪽으로 보내는 기능이 있었기 때문에 기능상으로는 클라우드를 이용하는 것으로 보인다. 제출받은 하드디스크상에서 직접적으로 통신한 기록이 남아있지는 않았고 남아있지 않은 이유는 로그가 일부 삭제됐을 수 있다. 삭제의 흔적도 있는데 그게 정확히 로그라고 단정할 수 있는 것까지는 남지 않았다. 이 부단장: 토큰을 위변조했을 때 매번 접속할 때마다 새로 생성해서 사용했다. 토큰 구조상 고유번호가 들어가야 한다. 그 번호를 넣을 때마다 새로 서명 키, 일종의 도장을 찍고 만들어야 되기 때문에 접속할 때마다 이런 형태의 토큰을 생성햇다고 보면 된다. Q. (이번 사태의) 유출 규모나 보안 관리 부실에 대해 처벌이 적다는 느낌이 있다. 정보통신망법상 신고 지연 외에 관리 부실 등으로 더 처벌할 수 있는 법적 근거는 없는지. 최 실장: 과징금은 개보위의 영역이다. 정보통신망법상에서는 지연 신고, 그 다음 재발 장지 대책에 대해 적절하지 않다는 문제가 있다면 과태료에 대한 부분만 지금 조치할 수 있다. SK텔레콤 때 조사한 것을 보면 동일한 수준까지 밖에 안된다. 앞으로 법 개정에 따라 침해 사고에 대해서 과징금을 물릴 수 있도록 입법이 진행되고 있다. 국회에서 입법이 되고 나면 침해 사고에 대해 나중에는 과징금을 물릴 수 있는 제도가 만들어질 것이다. Q. 결제 정보는 유출된 게 확인된 바 없는지. 최 실장: 저희가 조사한 사항으로는 없는 것으로 알고 있다.

2026.02.10 17:28박서린 기자

[쿠팡 사태④] 3367만건 유출·1억4천만건 조회…유출-조회 차이는

쿠팡 침해사고 조사 결과에서 3367만여 건 '유출', 1억4천만여 회 '조회'라는 두 가지 수치가 함께 제시되면서 그 차이를 놓고 혼란이 일었다. 조사단은 “조회 역시 유출로 본다”는 입장을 분명히 하면서, 추후 개인정보보호위원회가 개별 정보를 모두 분리해서 유출 규모를 발표할 예정이라고 했다. 10일 과학기술정보통신부는 정부서울청사에서 민관합동조사단 조사 결과를 발표하며 "조회하는 순간 개인정보는 이미 통제권 밖으로 나가기 때문에 조회는 곧 유출"이라고 명확히 했다. 그럼에도 불구하고 조사 결과에는 '유출'과 '조회'가 나뉘어 제시됐다. 조사단에 따르면 3367만여 건 유출로 명시된 수치는 '내정보 수정' 페이지에서 확인된 성명과 이메일을 기준으로 산정됐다. 해당 페이지는 한 번 접속할 때마다 한 명의 성명과 이메일이 명확하게 노출되며, 접속기록(로그) 상에서도 개별 계정을 식별할 수 있어 정확한 건수 산정이 가능했다는 설명이다. 반면 배송지 목록 페이지의 경우 상황이 다르다. 이 페이지에는 계정 소유자 본인 외에도 가족·지인 등 제3자의 성명, 전화번호, 주소, 마스킹된 공동현관 비밀번호 정보가 함께 포함돼 있다. 한 계정당 최대 20개까지 배송지를 등록할 수 있다. 조사단은 이 페이지가 1억4800만 회 이상 조회된 사실을 확인했지만, 페이지 안에 포함된 개인정보의 정확한 개별 건수를 현 단계에서 산정하기는 어렵다고 말했다. 이에 따라 조사단은 해당 페이지에 몇 번 접근했는지를 기준으로 조회 횟수를 발표했고, 이 조회 역시 개인정보 유출로 본다고 설명했다. 조사단 측은 “배송지 목록 페이지는 한 번 조회될 때마다 유출되는 개인정보의 개수가 사람마다 다르다”며 “이 안에 들어 있는 개별 정보를 모두 분리해 산정하는 작업은 개인정보보호위원회에서 최종적으로 판단할 사안”이라고 말했다. 조사단은 “조회라고 해서 책임이 가벼워지거나, 유출만 처벌 대상이 되는 것은 아니다”라며 “정보통신망법상으로는 조회와 유출을 모두 유출로 보고 있다”고 강조했다. 다만 개인정보보호법에 따른 유출 규모 확정과 과징금 산정은 개인정보보호위원회 소관이라고 덧붙였다. 조사단은 “조회·유출이라는 표현은 기술적 사실을 설명하기 위한 구분일 뿐, 법적 책임을 나누기 위한 구분은 아니다”라며 “최종적인 개인정보 유출 규모는 개인정보보호위원회의 판단을 기다려야 한다”고 밝혔다.

2026.02.10 16:50안희정 기자

Prev 1 2 3 4 5 6 7 8 Next