검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'유출'통합검색 결과 입니다. (153건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

넷마블, PC 게임 포털 사이트 해킹 관련 추가 조사 결과 발표…개인정보 8천48건 유출

넷마블이 최근 발생한 외부 해킹으로 인한 PC 게임 포털사이트 고객 정보 유출 건과 관련된 추가 조사 결과를 공식 사이트 공지를 통해 발표했다. 3일 공지 내용에 따르면 ▲고객센터를 통한 문의 고객(2003~04년, 2014~21년)의 이름, 이메일 등 상담자 확인 내용 3천185건(주민등록번호 314건 포함) ▲온라인 입사 지원자(2003~06년)의 이름, 이메일, 종교 등 입사지원서 기재 내용 2천22건(주민등록번호 990건 포함) ▲잡페어 부스 방문자(2011년)의 이름, 이메일, 휴대번호 등 부스 방문 등록 내용 966건(전체 정보 암호화) ▲B2B 사업 제안 담당자(2001~05년, 2011~21년)의 이름, 이메일, 휴대번호 등 사업 제안서 기재 내용 1천875건이 유출된 것으로 추가 확인됐다. 앞서 넷마블은 지난달 27일 1차 자체 조사 결과를 발표하고 PC 게임 포털 사이트 회원(휴면 계정 포함) 총 611만 명의 이름과 생년월일, 암호화된 비밀번호 등이 유출됐다고 밝힌 바 있다. 넷마블 측은 추가로 확인된 사항을 관계기관에 신고했으며, 관련 당사자에게 개별 안내를 순차적으로 진행했다고 설명했다. 넷마블 관계자는 “고객님들의 소중한 정보를 보다 철저하게 보호하지 못한 것에 대해 거듭 사과를 드리며, 당사는 사고 원인 규명을 위해 관계기관 조사에 성실히 임하고 있다”며 “재발 방지를 위해 전사적으로 보안 강화에 총력을 다하겠다”라고 밝혔다.

2025.12.03 18:12이도원 기자

박대준 쿠팡 "탈퇴 과정 즉시 간소화…피해자 보상도 적극 검토"

박대준 쿠팡 대표가 대규모 개인정보 유출 사건으로 촉발된 플랫폼 탈퇴 과정을 쉽게 만들겠다고 밝혔다. 또한 피해자 보상도 적극적으로 검토하겠다고 답했다. 유영하 국민의힘 의원은 2일 국회 정무위원회 현안질의에서 "탈퇴과정이 6단계가 되도록 복잡하게 구성됐다는 말이 나왔다"며 "가입단계는 쉽지 않냐, 탈퇴는 왜 이렇게 어렵게 만든 것이냐"고 비판했다. 유 의원은 탈퇴 과정을 박 대표의 재량으로 간소화하라고 주문했다. 박 대표는 "반영하도록 하겠다"고 말했다. 김범석 의장에게 이번 사안에 대해 보고했느냐는 질문에 브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 "줌 미팅을 통해 구두 보고를 했다"고 답했다. 이어 "이사회에서는 한국의 규제를 준수할 수 있도록 모든 방식을 동원하라는 답변을 들었다"고 덧붙였다. 또 피해자 전원에게 보상할 것이냐고 묻는 강명구 국민의힘 의원 질의에는 "합리적인 방안을 마련하겠다"며 "피해자에 대해서는 적극적으로 보겠다"고 대답했다. 현장에서 김 의장에 대한 책임론이 불거진 가운데, 김 의장과 박 대표의 만남 빈도를 묻는 질문도 나왔다. 해당 질의에 대해 박 대표는 "올해는 (김 의장을) 본 적이 없다"며 "3년간 1번정도 만났다"고 언급했다.

2025.12.03 18:12박서린 기자

[기자수첩] 이찬진 금감원장이 경고했던 '쿠팡 사태'…'땜질식'으론 또 터져

이찬진 금융감독원장이 취임하고 얼마 지나지 않아 빅테크(네이버·카카오·비바리퍼블리카(토스)·쿠팡·우아한형제들(배민)) 최고경영자(CEO) 간담회를 한다고 했을때 업계 안팎은 크게 놀랐다. 금감원이 빅테크를 검사하고 감독할 수 있는가에 대한 것이기 때문이었다. 이찬진 금감원장은 "금융과 빅금융의 경계가 희미해지고 빅테크 플랫폼을 통해 광범위한 금융서비스가 제공되면서 빅테크의 운영 리스크가 금융 안정을 저해할 수 있는 위험 요인"이라고 지목했다. 그렇지만 그것에 그쳤다. 운영 리스크라고 하더라도 우리나라에는 빅테크가 가져오는 '그림자 금융'의 위험에 대해 어떻게 할 수 있는 규율이 없기 때문이었다. 이 원장도 "아직까지 빅테크에 대한 국내 규율 체계가 마련되지 않았다"며 자체적인 내부통제를 주문하는데 그쳤다. 운영 리스크만 당부했을까. 아니다. 이찬진 금감원장은 IT 보안과 개인정보 보호 강화를 강조했다. 수천만 명의 상거래·금융 정보가 빅테크의 전산 장애나 사이버 침해 사고로 이어질 경우 불편과 피해로 이어진다고 언급했다. '불편'과 '피해'라는 압축된 단어로 표현됐지만 이는 그 누구도 예측할 수 없는 불편과 피해다. 시계를 조금 앞으로 돌려보자. 롯데카드에서는 사상 초유의 개인정보와 결제정보 유출 사태가 있었다. 쿠팡에서는 결제정보는 없다곤 하지만 집 주소·전화번호·이름과 같은 개인정보가 유출됐다. SK텔레콤에서는 내 단말기의 정보 등이 털렸다. 내가 범죄자라면 이를 조합해서 나란 사람을 유추하고 결제도 맘대로 할 수 있을 것 같다. 이는 엄청난 피해다. 막대한 피해다. 피해를 떠나서 한 사람의 금융 인생을 송두리째 망치는 일이다. 불편도 그렇다. 서울중앙지검에서 많은 전화를 받고 있다. 1년 여 안쓰던 쿠팡에서 개인정보 유출 통지를 받고 나서 많은 검사들이 나를 찾는다는 점이 공교롭다. 필요한 검사가 다시 연락할거라 믿고 전화번호를 차단하고 있는데, 이 불편은 아주 사소할까? 보이스피싱이라면 그 불편은 피해와 다를 바 없는 단어가 된다. 금감원장은 이번 사태에 발빠르게 대응했다. 쿠팡의 핀테크 자회사 '쿠팡페이'를 현장조사에 나섰다. 전자금융업자로 한정된 금감원이 할 수 있는 최대한이었을 것이다. 아쉬움이 있다면 위메프·티몬 이후 전자금융업자의 리스크 관리가 정산 자금 관리에만 맞춰져있다는 점일 것이다. 금감원의 '땜질식 처방'이라고도 볼 수 있을 것이다. 올해 상반기 전자금융업자의 실태를 조사하면서 수익 대비 IT 전산시스템·보안 비용은 들여다 볼 수 없었을까.

2025.12.03 16:55손희연 기자

박대준 쿠팡 대표 "대만서 쓰는 패스키, 韓 서둘러 도입...결제 정보 유출 無"

박대준 쿠팡 대표가 "한국에서도 패스키 검토를 도입하겠다"고 말했다. 또한 결제 정보는 별도로 보관하고 있어 유출이 안 됐다고도 덧붙였다. 이헌승 국민의힘 의원은 2일 국회 정무위원회 현안질의에서 "대만에서는 패스키를 도입했는데 왜 한국에는 도입하지 않냐"고 질타했다. 패스키는 지문과 얼굴인식 등을 이용한 비밀번호 대체 기술로, 편리성과 보안 측면에서 강점을 갖고 있다. 패스키를 사용하면 각 웹사이트와 계정마다 고유한 패스키가 생성돼 여러 서비스가 협력해도 사용자를 추정할 수 없다. 이같은 질타에 박 대표는 "서둘러서 (한국에도) 도입할 수 있도록 하겠다"고 답했다. 또 이 의원은 "대규모 개인정보 유출 사고를 한국 언론에 알린지 두 시간만에 대만에서는 (패스키 덕분에) 바로 조치가 이뤄졌다"며 "한국에 (대만과 같이)패스키를 도입했으면 이런 일(대규모 개인정보 유출 사고)이 일어났겠냐"고 따져 물었다. 이에 박 대표는 "훨씬 더 안전하게 한국에서 서비스할 수 있었을 것이라고 생각한다"고 대답했다. 허영 더불어민주당 의원이 결제 정보 유출에 대해 묻자 박 대표는 "결제 정보 DB에 접근한 흔적은 찾지 못했다"며 "결제 정보는 같이 보관하고 있지 않다"고 말했다. 보상안에 대해서는 "합리적인 방안을 마련하겠다"며 "피해자에 대해서는 적극적으로 검토하겠다"고 언급했다.

2025.12.03 15:52박서린 기자

지마켓 무단 결제 사고 발생...금감원 "현장 실사 계획"

대규모 개인정보 유출 사고가 일어난 쿠팡에 이어, 지마켓에서도 고객 정보 도용으로 인한 무단 결제 사고가 발생했다. 3일 지마켓에 따르면 지난달 29일 지마켓 고객 센터에 수십명의 회원으로부터 무단 결제 피해를 입었다는 신고가 접수됐다. 금융감독원 확인 결과, 피해를 입은 회원은 대략 60여 명이다. 무단 결제는 지마켓 간편결제 서비스인 '스마일페이'에 등록된 카드로 상품권을 구입하는 방식으로 이뤄졌다. 이들의 피해 금액은 한 사람당 3만~20만원 가량이다. 사건을 인지한 후 지마켓이 지난 주말(지난달 29~30일) 긴급 보안 점검을 시행한 결과, 정보 유출 및 해킹 시도 흔적이 발견되지 않음에 따라 명의도용에 무게를 싣고 있다. 이 과정에서 피해를 입은 회원이 추가적으로 파악된 것으로 알려졌다. 지마켓은 지난 2일 무단 결제 사고를 금감원에 신고했다. 피해 금액이 1인당 100만원 이하로 법적 신고 대상은 아니지만, 최근 연이어 발생한 개인정보 유출 사고로 인해 사안의 중대성을 인식하고 선제적으로 조치를 단행했다는 것이 회사 측 설명이다. 지마켓 관계자는 “사안 접수 후 반나절 만에 IP 차단과 함께 보안 상향 조치를 진행했다”며 “피해를 인지하지 못한 고객을 위해 조금이라도 피해가 의심되면 먼저 연락해 확인 절차도 거쳤다”고 말했다. 이어 “플랫폼 내에서 전 고객 대상으로 비밀번호 변경 캠페인을 진행하고 있고, 보안도 2차로 강화하는 방식으로 후속 조치를 실시하고 있는 중”이라고 덧붙였다. 금감원은 이날 무단 결제 사고가 발생한 지마켓에 현장 실사를 시행한다는 방침이다.

2025.12.03 10:14박서린 기자

"쿠팡 탈퇴합니다"…이용률 줄어들까

대규모 개인정보 유출 사고가 발생한 쿠팡에 대한 회원 탈퇴와 불매운동 움직임이 나타나고 있다. 하지만 유통업계 사이에서는 쿠팡이 이미 생활 필수 플랫폼으로 자리잡은 만큼, 실제 회원 수 감소로 이어질 가능성은 낮다는 의견이 조심스럽게 나오고 있다. 소비자단체 "강한 분노...구체적인 배상안 즉각 마련하라" 2일 유통업계에 따르면 한국소비자단체협의회는 최근 성명을 내고 “소비자의 개인정보를 핵심 자산으로 활용하며 성장한 기업이 보안 의무를 부차적 과제로 다뤄 소비자의 가장 내밀한 정보인 주소, 연락처, 구매 내역, 공동현관 비밀번호까지 포함된 개인정보가 노출됐다는 사실에 깊은 우려와 강한 분노를 표한다”고 밝혔다. 협의회는 “쿠팡은 이번 소비자 개인정보 유출 사고의 원인과 규모를 투명하게 공개하고 실질적이고 구체적인 배상안을 즉각 마련하라”고 요구했다. 이어 “개인정보 유출로 소비자가 겪게 될 보이스피싱과 스미싱, 피싱, 명의도용 등 광범위한 2차 피해에 대한 우려를 불식시킬 수 있도록 책임 있는 자세로 실질적인 피해구제 대책과 구체적인 배상안을 제시해야 한다”고 강조했다. 이들은 쿠팡에 대한 회원 탈퇴와 불매운동 등을 예고했다. 협의회는 “쿠팡이 이를 받아들이지 않고 각종 로비나 법적 대응 운운하며 시간만 끈다면 소비자와 연대해 회원 탈퇴와 불매 운동을 포함한 소비자가 할 수 있는 모든 수단과 방법을 총 동원해 강력하게 대응할 것”이라고 경고했다. SNS에 쿠팡 탈퇴 인증 게시물 올라오기도 실제 일부 소비자들 사이에서는 쿠팡 회원 탈퇴 및 불매운동에 불이 붙는 분위기다. 각종 SNS에서는 쿠팡 탈퇴를 인증하는 게시물이 다수 올라오고 있다. 집단 소송 카페 역시 빠르게 회원 수가 늘고 있다. 현재 네이버에는 쿠팡 집단 소송을 위한 카페 10여개가 개설된 상태다. 가장 회원 수가 많은 곳은 13만 명을 넘어선다. 회원 수가 10만 명을 넘는 곳도 두 곳이나 더 있다. 법무법인도 집단 소송 채비에 나섰다. 김경호 법률사무소 호인 변호사는 피해자들을 모아 오는 24일 1인당 10만원의 위자료를 내는 손해배상 소송을 제기하겠다고 예고했다. 쿠팡 이용자 14명은 서울중앙지법에 쿠팡을 상대로 1인당 20만원의 위자료를 청구하는 손해배상 소송을 냈다. 해당 소송을 대리하는 법무법인 청은 14명을 대리해 소송을 제기했고 앞으로도 소송인단을 계속 모집한다는 계획이다. 법무법인 지향 역시 지난달 30일 “개인정보 유출로 인해 겪은 정신적 고통과 2차 피해의 정신적 피해에 대한 위자료 30만원을 청구한다”며 홈페이지와 네이버카페를 통해 소송인단을 모집하고 있다. "이탈 쉽지 않을 것...집단 탈퇴 움직임 일시적" 다만 일각에서는 쿠팡 이용률 감소가 즉각적으로 나타나진 않을 것이라는 관측이 나온다. 쿠팡이 생활 필수 플랫폼으로 자리 잡은 만큼 다른 플랫폼으로의 이동이 쉽지 않다는 것이 그 이유로 꼽힌다. 익명을 요구한 업계 관계자는 “이미 소비자들이 로켓배송과 같은 편리한 유통망을 누리고 있어 타 플랫폼으로의 이탈이 쉽지 않을 것”이라며 “집단 탈퇴 등의 움직임이 당장은 있겠지만 일시적일 것”이라고 관측했다. 또 다른 업계 관계자 역시 단기적으로는 회원 감소 등의 영향이 있겠지만 장기적으로는 이용률이 회복될 것으로 내다봤다. 해당 관계자는 “장기적으로 볼 때 쿠팡이 제공하는 배송 서비스를 대체할 수 있는 플랫폼이 아직까지는 국내에는 없는 것이 현실”이라며 “현재 탈퇴한 회원들 역시 추후 쿠팡이 이들을 다시 불러오려는 움직임을 보일 가능성이 있어 되돌아갈 가능성도 있다”고 말했다.

2025.12.02 19:24김민아 기자

보안 인증 받은 쿠팡, 과징금 얼마나 나올까

대한민국 국민 65%에 달하는 개인정보 유출 사고가 발생한 쿠팡의 제재 수위에 대한 관심이 모아지고 있다. 보안의 기본이라고 할 수 있는 퇴사자 권한 관리가 유출사고의 원인으로 지목되고 있는 데다, 정부에서도 엄정 제재, 징벌적 손해 배상에 대한 목소리가 높아지고 있기 때문이다. 현행 기준에 따르면 매출액 기준 최대 3%에 달하는 과징금이 부과될 수 있어 쿠팡은 최대 1조원대 과징금 철퇴를 맞을 가능성도 있다. 2일 업계에 따르면 쿠팡은 최근 3천370만개의 개인정보가 유출되는 사고를 겪고 조사에 임하고 있다. 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당) 분석에 따르면 이번 유출사고는 퇴사자 인증키를 퇴사 즉시 수거하지 않고 방치한 데 원인이 있는 것으로 알려졌다. 직원이 퇴사를 하면 회사 내부 데이터나 서버, 네트워크에 접근하지 못하도록 권한을 수거해야 하는데 그렇지 못한 것이 화근이 된 것이다. 다만 현재 회사는 무단 접근 경로를 차단하고 내부 모니터링을 강화하는 조치를 취했다. 개인정보보호위원회(개보위) 등 조사 당국에 따르면 정부는 쿠팡의 대규모 개인정보 유출로 민·관 합동 조사단을 꾸리고 본격적인 조사에 착수한 것으로 알려졌다. 개보위는 보안 조치 의무를 위반한 사실이 확인된 경우에는 엄정한 제재를 적용하겠다고 밝혔다. 이재명 대통령도 이날 쿠팡 개인정보 유출사고와 관련해 "쿠팡 때문에 우리 국민의 걱정이 많다"며 "처음 사건이 발생하고 5개월 동안이나 회사가 유출 자체를 파악하지 못했다는 것이 참으로 놀랍다. 관계 부처는 해외 사례를 참고해 과징금을 강화하고 징벌적 손해배상제도를 현실화하는 등의 대책에 나서달라"고 지시했다. 쿠팡, 최대 1조원 이상 과징금…최대 부과 가능성 낮아 조사 당국과 정부는 쿠팡에 대한 고강도의 제재 수위를 논하는 것으로 알려졌다. 현행법상 개인정보 유출 시 관련 법을 위반한 기업에는 전체 매출액의 3% 이내에서 과징금을 부과할 수 있다. 지난해 쿠팡의 매출액이 41조원이 넘는 만큼 1조원 이상의 과징금이 부과될 수 있다는 계산이 나온다. 다만 과징금 선정 절차는 사고와 관련 없는 매출은 제외하기 때문에 최대 과징금이 부과될 가능성은 낮다. 개보위에 따르면 과징금 선정은 우선 전체 매출액에서 사고와 관련 없는 매출액을 제외한 후, 과징금 선정 기준에 따라 기준금액을 정한다. 특히 기준금액 선정 이후에는 2차례에 걸쳐 조정에 들어간다. 여러 감경 사유를 따져보고 해당 사항이 있는 경우 과징금을 깎아준다. 대표적으로 유효한 정보보호·개인정보보호 관리체계(ISMS-P) 인증을 보유하고 있는 기업의 경우 현행법상 과징금의 최대 50%까지 감경받을 수 있다. 이에 쿠팡은 유효한 정보보호·개인정보보호 관리체계(ISMS-P) 인증을 취득한 기업이기 때문에 과징금을 최대 50% 감경받을 수 있다. 앞서 쿠팡은 지난 2021년 ISMS-P 인증을 획득한 이후 지난해 갱신까지 마친 상태로, 유효한 ISMS-P 인증을 보유하고 있다. 이에 현행법에 따라 과징금 감경 혜택을 받을 수 있는 것이다. 단, 감경 비율은 특정 위반 행위의 내용, 기업의 협조 정도, 시정 노력 등 여러 요소를 종합적으로 고려해 최종 결정된다. 해당 감경 제도로 우리카드는 과거 인천영업센터 가맹점주 개인정보 유용사건으로 부과된 과징금을 50% 감경받아 130억원만 부과된 바 있다. 1차, 2차 조정(감경) 절차 이후에는 중대성 판단을 하게 되는데, 중대성은 매우 중대함, 중대함, 보통, 약함 등 4단계로 구성된다. 가장 높은 '매우 중대함'으로 중대성이 판단된다고 하더라도 기준금액 내에서 과징금이 결정된다. 실제 역대 최대 과징금이 부과된 SK텔레콤 해킹 사태 당시 개보위는 이런 과정을 거쳐 1천348억원의 과징금을 부과했다. SK텔레콤의 무선통신사업 매출 약 13조원을 기준으로 하면 최대 3천831억원의 과징금이 부과될 수 있지만, 기준금액 설정에 따라 제재 수준이 낮아졌다. 그러나 쿠팡의 ▲지난해 매출이 SK텔레콤보다 높은 점 ▲유출 규모가 방대한 점 ▲5개월간 피해 사실을 인지하지 못한 점 등을 고려하면 SK텔레콤보다 높은 역대 최대 규모를 경신할 금액의 과징금이 선정될 가능성이 크다. 개보위 관계자는 "과징금 산정 과정에서 기준금액을 정한 이후 들어가는 감경 절차에 ISMS-P 인증 등이 감경 조항에 포함돼 있다"면서도 "과징금 산정 규모와 관련해서는 예단할 수 없고, 미리 언급할 수 없다"고 일축했다. 염흥열 순천향대 정보보호학과 명예교수는 "현행 과징금 부과 체계는 관련 분야 매출의 3%를 기준으로 산정하지만, 가감하는 조정절차가 있다. 조사 과정에 성실하게 임했는지, 피해자 구제에 적극적으로 했는지 등의 사항을 따져보고 가중하거나 감경해 과징금을 산정한다"며 "다만 정부나 대통령이 얘기하는 징벌적 과징금의 경우는 현재 법 개정 등 논의할 사항이 남아있다. 이번 쿠팡의 경우는 현 절차에 따라 산정되겠지만, 향후에는 개보위 TF에서 논의됐던 과징금 선정 관련 인센티브 제공, 징벌적 과징금 등 가감 조정절차의 방향성에 대해서 인식할 필요는 있다"고 밝혔다.

2025.12.02 18:19김기찬 기자

개인정보 유출 용의자는 중국인?…쿠팡 사태 의혹 짚어보니

쿠팡 대규모 개인정보 유출 사건 유력 용의자로 지목된 전 직원이 중국인이라는 의혹이 제기된 가운데, 경찰은 "수사가 필요하다"는 입장이다. 쿠팡 IT 인력의 절반 이상이 중국인이라는 의혹에 대해 회사 측은 이를 전면 부인했다. 2일 관련업계에 따르면 쿠팡은 지난달 18일 경찰에 개인정보 유출 피해를 확인했다는 신고를 접수했다. 당시 쿠팡은 4천500개의 고객 정보가 유출된 것으로 파악했으나, 후속 조사 결과 약 3천370만개가 무단 유출된 것으로 확인됐다. 이 과정에서 쿠팡이 밝힌 유출 정보는 이름, 이메일 주소, 배송지 주소록(입력한 이름, 전화번호, 주소), 일부 주문정보다. 회사는 어떤한 결제 정보, 신용카드 번호, 로그인 정보도 유출되지 않았다며 이용고객에게 계정 관련 조치를 취할 필요가 없다고 주장했다. 쿠팡 개인정보 유출 사고를 둘러싸고 제기된 의혹과 정부·경찰·회사 측 입장을 문답으로 정리했다. Q. 쿠팡 대규모 개인정보 유출 사건에서 정보가 유출된 기간은 얼마인가? A. 류제명 과학기술정보통신부 2차관: 공격식별 기간은 지난 6월 24일부터 11월 8일까지다. Q. 개인정보 유출 시점과 인지 시점 간 5개월의 간극이 있다. 뒤늦게 파악한 것인가? 개인정보 유출을 은폐한 것인가? A. 쿠팡 : 지난달 18일 약 4천500개 계정의 개인정보 유출 사실을 인지했다. 후속 조사 결과 고객 계정 약 3천370만개가 유출됐다는 것을 확인했다. 경찰: (개인정보 유출 사태 은폐, 축소 의혹과 관련해) 필요하면 수사하겠다. Q. 유출된 것으로 추정되는 3천370만개의 계정은 모두 현재 활동 중인가? A. 박대준 쿠팡 대표: 3천370만개의 계정에는 휴면, 탈퇴 회원 정보도 포함됐다. Q. 이번 사건의 발단이 된 개인정보 유출은 내부 소행인가? A. 쿠팡: 회사 시스템과 내부 네트워크망의 외부 침입 흔적은 없는 것으로 확인했다. 현재까지 조사에 따르면 해외 서버를 통해 무단으로 개인정보에 접근한 것으로 추정하고 있다. Q. 이번 사건의 유력 용의자(공격자)는 중국인인가? A. 류 차관: 현재 언급되는 공격자의 신상에 대한 정보는 경찰 수사로 확인이 필요하다. 확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3천만건의 개인정보 유출을 주장했다. 경찰 : 유력 용의자의 국적 등은 아직 확인할 수 없다. Q. 쿠팡이 받은 개인정보 유출 관련 협박 메일에는 어떤 내용이 담겼나? A. 박 대표: 용의자가 '자기가 이걸 어떻게 입수했고 취약점을 빨리 보완해라. 그렇지 않으면 폭로하겠다'라는 내용으로 메일을 보냈다. 브랜 메티스 쿠팡 정보보호최고책임자(CISO): 데이터를 자기가 취득해서 가지고 있다고 이메일로 이야기했다. 또 이 정보가 악용되지 않을 거라고 했다. Q. 대규모 개인정보를 유출한 직원은 쿠팡에서 인증 업무를 담당하던 담당자인가? A. 박 대표: (개인정보 유출 용의자로 지목된 직원은)인증 업무를 맡은 것이 아니라 인증 시스템을 개발하는 개발자였다. Q. 쿠팡 IT 인력 절반 이상이 중국이라는 의혹은 사실인가? 또 매니저의 90% 이상은 중국인으로 구성돼 있는가? A. 박 대표: 사실이 아니다. 한국인 비율이 압도적으로 많다. Q. 개인정보를 유출한 것으로 추정되는 직원은 개인인가? 팀인가? A. 박 대표: 단수나 복수라고 단정할 수는 없다. 수사 중이라 말할 수 없다. Q. 개인정보 유출 용의자로 지목된 직원은 어떤 방식으로 정보를 유출했나? A. 류 차관: 공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했다. 이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 사용됐다. Q. 이번 사건 용의자로 지목된 퇴직 직원의 권한은 어떻게 했나? A. 박 대표: 용의자 퇴직 후 권한을 말소했다. Q. 개인정보 유출 범위에 결제 정보, 신용카드 번호, 로그인 정보가 포함되지 않은 것이 맞는가? A. 과기정통부: 개인정보 유출 범위는 개인정보보호위원회가 확정한다. 개보위: 아직 쿠팡에서 개인정보가 무단으로 노출됐다는 사실을 신고한 정도로 인지하고 수사 중이다. Q. 결제 정보 등이 유출되지 않았다는데, 카드 정보 등을 바꾸지 않아도 되는가? A. 김승주 고려대 정보보호대학원 교수: 피해가 확산할 수 있기 때문에 결제 카드를 삭제하고, 카드와 쿠팡 로그인 비밀번호를 변경하는 게 좋다. Q. 개인통관고유부호(통관번호)와 공동 현관 출입문 비밀번호는 유출됐나? 쿠팡 : 현재까지 확인된 바로는 통관번호는 노출되지 않았고 공동 현관 출입문 비밀번호는 일부 포함됐다.

2025.12.02 16:37박서린 기자

박대준 쿠팡 "수사선상 오른 중국 직원은 인증 시스템 개발자"

박대준 쿠팡 대표가 가입자 개인정보 유출 사건 관련해 수사 선상에 오른 퇴사한 중국 국적 직원에 대해 "인증 시스템을 만드는 개발자였다"고 설명했다. 박 대표는 2일 국회 과학기술정보방송통신위원회 현안보고에서 신성범 국민의힘 의원의 질문에 이같이 답했다. 박 대표는 개발팀 구성 관련 질의에 “개발 조직은 한 사람이 모든 역할을 맡는 구조가 아니다”라며 “여러 개발자가 팀을 이뤄 기능을 분담하고 있다”고 말했다. 다만 “수사 중인 사안이라 구체적인 역할과 책임 범위에 대해서는 언급하기 어렵다”고 덧붙였다. 이준석 개혁신당 의원은 개인정보 유출자가 조선족인지 중국인인지 물었다. 쿠팡에서 유출된 정보가 보이스피싱에 쓰일 수 있어, 유출자가 정보를 범죄조직에 팔았는지 여부를 알기 위해서 질의한다고 하면서다. 박 대표는 “현재 수사가 진행 중”이라며 말을 아꼈다. 이어 이 의원이 “범죄 조직으로 넘어갔다고 볼만한 피해사례 등 근거가 지금 현재 있느냐”고 묻자 박 대표는 “아직까지는 없는 것으로 파악하고 있다”고 답했다. 브랜 메티스 쿠팡 정보보호최고책임자(CISO) 또한 말을 아끼며 "현재 경찰 조사가 진행 중이기 때문에 답변드릴 수 없는 점 양해해 달라”고 말했다.

2025.12.02 14:33안희정 기자

쿠팡 대규모 개인정보유출로 ISMS-P 실효성 또 도마

롯데카드에 이어 쿠팡에서 초대형 개인정보 유출 사고가 발생하면서 정보보호·개인정보보호 관리체계(ISMS-P) 인증제 실효성 논란이 더욱 거세지고 있다. 롯데카드는 ISMS-P 인증을 획득한 지 이틀만에 침해사고를 겪었고, 쿠팡은 2021년 최초 인증 획득 후 갱신까지 마친 상태였다. 1일 업계에 따르면 쿠팡은 최초 ISMS-P 인증 획득 이후 지난해 3월 갱신을 완료한 상태였으나, 최근 3천370만개의 개인정보가 유출되는 사고를 겪고 조사 중이다. 쿠팡은 올해 6월 24일부터 개인정보에 외부 접근이 이뤄진 것으로 추정하고 있다. 그러나 개인정보 유출을 인지한 시점은 지난달 18일로, 현재 경찰청, 한국인터넷진흥원(KISA), 개인정보보호위원회 등에 신고를 마친 상태다. 침해사고의 원인은 퇴사자 인증키 방치가 지목된다. 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당)은 1일 "쿠팡 로그인 시스템 토큰 생성에 필요한 서명 정보를 담당하던 직원이 퇴사했음에도 권한을 삭제하거나 갱신하지 않고 방치해 퇴사한 내부 직원이 이를 악용한 것"이라고 분석했다. 회사는 무단 접근 경로를 차단했으며, 무단 접근 경로를 차단하고 내부 모니터링을 강화했다는 것이 쿠팡 측 설명이다. ISMS-P는 기업이 정보보호와 개인정보 보호를 위한 관리체계를 일정 수준 이상 갖추고 있음을 정부가 인증하는 제도다. 보안 정책 수립 여부, 기술적·관리적 통제, 보안 교육, 점검 체계 등을 평가한다. 그러나 롯데카드 사태 때부터 이번 쿠팡까지 ISMS-P 인증을 받은 기업들의 잇단 침해사고가 터져 나오면서 인증 자체의 실효성에 대한 실효성 논란이 불거지고 있다. 상시적인 검증 체계도 없고 형식적인 문서적 검사에 그치는 것이 아니냐는 지적이 나오는 것이다. ISMS-P 인증을 주관하는 한국인터넷진흥원(KISA)의 원장을 지낸 이원태 국민대 특임교수 역시 이번 사태를 계기로 ISMS-P 인증 체계에 대한 지적을 자신의 SNS에 남겼다. 그는 "쿠팡은 정부가 인증하는 정보보호 관리체계(ISMS-P)를 취득하고 갱신까지 한 기업이었다"며 "인증을 받고도 기본적인 퇴사자 권한 관리조차 작동하지 않았다는 사실은, 현재의 제도가 실질적 방어력보다는 문서와 절차를 맞추는 '보안 극장(Security Theater)'에 불과함을 여실히 보여준다"고 비판했다. 이 교수는 현행 ISMS-P 등 문서 중심 인증 체계를 실시간 행위 기반 모니터링 중심으로 전환할 것을 주문했다. ISMS-P 인증이 실효성 논란을 빚자 개인정보보호위원회는 이를 개선하겠다고 밝혔다. 송경희 개인정보보호위원회 위원장은 지난달 5일 서울 종로구 정부서울청사에서 열린 '출입기자단 브리핑'에서 현재 유효기간이 3년인데, 1년마다 모의해킹 중심 현장 심사를 하고 문제가 있으면 인증을 취소하겠다고 말했다. 또 예비심사제도 새로 도입하고 공공기관도 ISMS-P 인증 의무화를 단계적으로 추진하겠다고 밝혔다. 현재 2억에 불과한 관련 예산도 내년에는 증액할 예정이다.

2025.12.01 22:35김기찬 기자

국회 과방위·정무위, '쿠팡 해킹 사태' 따져 묻는다

국회 과학기술정보방송통신위원회와 정무위원회가 최근 개인정보 3천370만건이 유출된 쿠팡에 대해 긴급 현안질의를 진행한다. 1일 국회에 따르면 과방위는 2일 오전 10시 전체회의를 열고 쿠팡 임원진과 유관 기관을 불러 개인정보 유출 사고 경위를 물을 전망이다. 이 회의에는 과학기술정보통신부, 한국인터넷진흥원(KISA), 박대준 쿠팡 대표, 쿠팡 최고정보보호책임자(CISO) 등이 참석할 예정이다. 3일 오후 2시 정무위도 전체회의를 열고 유관기관 및 쿠팡 관계자들을 불러 현안질의를 한다. 정무위는 개인정보보호위원회, 국무조정실, 금융위원회, 금융감독원, 공정거래위원회 등과 쿠팡 관계자들을 대상으로 질의를 실시한다. 쿠팡은 지난달 18일 약 4천500개 계정의 개인정보가 무단으로 유출된 사실을 인지하고 조사를 진행한 결과, 3천370만개 개인정보가 노출된 것을 확인했다고 같은달 29일 공지했다. 이번 개인정보 유출 사고로 노출된 정보는 이름, 이메일 주소, 배송지 주소록(입력한 이름·전화번호·주소), 일부 주문 정보다. 결제 정보, 신용카드 번호, 로그인 정보는 포함되지 않았다고 쿠팡 측은 주장했다. 회사 측에서 진행한 조사에 따르면 올해 6월 24일부터 해외 서버를 통해 무단으로 개인정보 접근이 발생했다. 쿠팡은 사고를 인지한 즉시 경찰청, KISA, 개인정보보호위원회 등 관련기관에 해당 사실을 신고했다. 이번 사태와 관련해 정부는 지난달 30일 긴급 대책회의를 열었다. 정부는 해킹 피해 확산을 방지하기 위해 민관합동조사단을 가동하고 쿠팡의 안전 조치 의무 위반 여부에 대한 조사에 나섰다. 또 개인정보가 인터넷상에서 유출될 가능성을 열어두고 3개월 간 다크웹(특수 경로로만 접근 가능한 웹사이트)을 포함한 '인터넷상 개인정보 유노출 및 불법유통 모니터링 강화기간'을 운영하기로 했다. 윤한홍 국회 정무위원장실 관계자와 야당 간사인 강민국 국민의힘 의원실 관계자는 “쿠팡 관련 정무위 날짜는 오는 3일 오후 2시로 확정됐다”고 말했다.

2025.12.01 16:32박서린 기자

"한국형 정보보호체계 시효 만료...법제 전면 재편해야"

올해 SK텔레콤, KT, 롯데카드에 이어 쿠팡에서 초대형 개인정보 유출 사태까지 잇단 보안 사고가 발생했다. 이에 국내 사이버보안 생태계 전반에 걸친 점검과 개선이 필요하다는 전문가의 제언이 나온다. 한국인터넷진흥원(KISA) 원장을 지낸 이원태 국민대학교 특임교수는 최근 페이스북에 "지난 주말 쿠팡에서 성인 인구 4명 중 3명에 달하는 3천370만명의 개인정보가 유출되는 사고가 터졌다"며 "그러나 피해 규모보다 더 충격적인 것은 그 과정에서 드러난 우리 사회의 총체적 보안 무능"이라고 지적했다. 이 교수는 "이번 사태는 단순히 개별 기업의 일탈이 아니다"라며 "한국형 정보보호 체계의 '시효 만료'"라고 비판했다. 그는 "특히 사고가 반복되면서 사회 전체에 보안 피로감이 축적되고, 위험이 '일상적 현상'처럼 취급되고 있는 '위험의 정상화'"라며 "보안 사고 둔감증이 만연한 상황에서는 어떠한 강력한 대책도 현장에서 작동하지 않는다"고 밝혔다. 그는 '기준 보완' 수준에 그치는 보안 대책이 아니라 국가 보안 체계를 완전히 다시 설계해야 한다고 역설했다. 이어 이 교수는 4가지 대책을 내놨다. 구체적으로 ▲인공지능(AI) 보안 법체계로 정보보호 법제의 전면 재편 ▲ISMS-P와 같은 문서 중심 인증 체계의 'AI-레질리언스(복원력) 인증 체계' 전환 ▲대형 플랫폼, 중요 인프라 기업의 기본 보안 수칙 의무화 ▲'사고 은폐가 불가한 공시체계' 도입 등이다. 우선 이 교수는 공격이 AI 기반으로 점차 고도화되고 진화할 것으로 예상되는 만큼 개인정보보호법, 정보통신망법 등으로 파편화된 보안 법률을 융합 보안 관점에서 통합하고 'AI 보안 법체계'로 전면 개정해야 한다고 강조했다. 또 쿠팡이 ISMS-P 인증·갱신 기업이었고, 롯데카드 역시 ISMS-P 인증을 받은 지 이틀 만에 해킹 사고를 겪었던 만큼 인증 체계의 전환도 주문했다. 이 교수는 "평균 탐지 시간(MTTD)과 평균 복구 시간(MTTR) 등 사고 대응 속도와 회복력을 핵심 지표로 삼고, AI 기반 이상행위 분석을 의무화해 실제 위협을 탐지하고 방어하는 '살아있는 인증'으로 거듭나야 한다"고 밝혔다. 아울러 기업이 피해 규모를 축소하거나 은폐할 수 있는 구조를 만들지 않기 위해 사고 발생 시 판단 주체를 기업에서 공적 영역으로 옮겨야 한다고 이 교수는 주장했다. 제3의 공적 기관이 실시간으로 위협을 탐지하고 공표하는 투명한 감시 구조를 법제화해야 한다는 것이다. 끝으로 이 교수는 "AI 시대의 보안은 더 이상 기업의 '비용'이 아니라 국가 생존의 필수 인프라다"라며 "지금이야말고 정부, 국회, 기업 모두가 낡은 보안 패러다임을 넘어 AI 시대에 걸맞은 새로운 국가 보안체계를 설계해야 할 때"라고 말했다.

2025.12.01 14:13김기찬 기자

쿠팡, 3370만 개인정보 유출…내부 직원 소행?

쿠팡 서버에서 3천370만개의 고객 개인정보가 무단으로 유출돼 정부가 조사에 나섰다. 정확한 피해 규모와 정보 유출 경위 등에 대한 조사는 아직 진행 중인데, 회사에서 인증업무를 담당했던 내부 직원이 개인정보를 유출했다는 이야기도 나온다. 쿠팡은 지난 29일 입장문을 내고 개인정보 유출로 노출된 계정이 약 3천370만개라고 정정했다. 이는 당초 언급했던 약 4천500개보다 7천500배 이상 큰 규모다. 이번 사태로 유출된 개인정보는 이름, 이메일 주소, 배송 주소록(입력한 이름·전화번호 주소), 일부 주문 정보다. 쿠팡 측은 결제 정보, 신용카드 번호, 로그인 정보는 포함되지 않았다고 선을 그었다. 특히, 쿠팡은 해외 서버를 통해 올해 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다. 회사는 무단 접근 경로를 차단했으며 개인정보 유출을 인지한 지난달 18일 즉시 경찰청, 한국인터넷진흥원, 개인정보보호위원회 등에 이를 신고했다. 이후 무단 접근 경로를 차단하고 내부 모니터링을 강화했다는 것이 쿠팡 측 설명이다. 이와 관련해 배경훈 부총리는 지난 30일 긴급 대책회의를 열고 “정부는 이번 사고로 인한 국민 여러분의 불편과 심려를 해소할 수 있도록 최선의 노력을 다할 것”이라며 “쿠팡을 사칭하는 전화나 문자 등에 각별히 주의해 2차 피해가 일어나지 않도록 당부드린다”고 강조했다. 이날 배 부총리는 해킹 피해 확산을 방지하기 위해 민관합동조사단을 가동하고 쿠팡의 안전 조치 의무 위반 여부에 대한 조사에 나섰다고 밝혔다. 이번 개인정보 유출 사건으로 쿠팡에서 유출된 고객 계정은 약 3천370만개로, 올해 3분기 실적발표 컨퍼런스콜에서 프로덕트 커머스 부분 활성 고객 수가 2천470만명이라는 점을 감안하면 상당수의 정보가 유출된 것으로 파악된다. 또 정부는 개인정보가 인터넷상에서 유출될 가능성을 염두에 두고 3개월 간 다크웹(특수 경로로만 접근 가능한 웹사이트)을 포함한 '인터넷상 개인정보 유노출 및 불법유통 모니터링 강화 기간'을 운영한다. 과학기술정보통신부 관계자는 “쿠팡 멤버십 회원은 1천200만명 수준이지만, 한 사람이 여러 개 ID를 가지고 쓰는 경우가 있다보니 정확한 유출 규모나 숫자에 대해서는 개인정보보호위원회에서 지금 조사를 진행 중”이라며 “쿠팡과 관련된 정보가 혹시 다크웹에 올라오는지 여부도 집중적으로 보고 있지만, 아직까지 나타난 것은 없다”고 답했다. 이어 “결제 정보 등이 유출되지 않았다는 쿠팡의 주장이 맞는지는 조사를 해봐야하는 상황”이라며 “통관번호 등에 대한 유출 여부는 언급되지 않았지만 꾸려진 민관합동조사단을 통해 조사해나갈 예정”이라고 덧붙였다. 일각에서는 이번 개인정보 유출이 내부 직원 소행이라는 의혹이 제기됐다. 해당 직원이 개인정보를 유출한 뒤 한국을 떠나 중국에 체류 중이고, 협박성 이메일을 보낸 정황이 포착됐다는 것. 개인정보 유출 의혹을 받는 직원은 쿠팡 내부에서 인증 업무를 담당했던 것으로 알려졌다. 이 과정에서 인증토큰 서버인증키와 보안 취약점을 악용했을 가능성이 높다는 데 힘이 실린다. 박대준 쿠팡 대표는 “(직원 국적 등은) 수사 영역이고 수사에 적극 협조 중”이라며 “그 얘기를 하는 것 자체가 수사에 영향을 주는 만큼 말씀드리기 어렵다”고 말했다. 또 “피해자와 피해 범위, 유출 내용을 명확히 확정하는 게 우선”이라며 “그 다음 급한 것은 재발 방지 대책이다. 이런 부분이 확정되면 그 다음 피해에 대한 합리적 방안을 성실히 수행할 수 있을 것”이라고 부연했다.

2025.12.01 14:04박서린 기자

쿠팡, 개인정보 노출 3천370만개 확인..."진심으로 사과"

쿠팡은 개인정보가 노출된 고객 계정이 3천370만개로 확인됐다고 29일 밝혔다. 이는 지난 18일 파악된 4천500개 계정보다 약 7천500배 늘어난 수준이다. 쿠팡에 따르면 노출된 정보는 이름, 이메일 주소, 배송지 주소, 배송지 전화번호 등이다. 결제 정보나 신용카드 번호, 로그인 정보는 노출되지 않았다. 쿠팡은 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다. 현재 접근 경로를 차단하고 내부 모니터링을 강화했다. 또 독립적인 리딩 보안기업 전문가를 영입하고 사법 기관 및 규제 당국과 지속적으로 협력하고 있다. 쿠팡 측은 “결제 정보, 신용카드 번호, 로그인 정보는 노출되지 않았으므로 쿠팡 이용 고객은 계정 관련 조치를 취할 필요가 없다”며 “이번 일로 인해 발생한 모든 우려에 대해 진심으로 사과 드리며, 고객 여러분께서 쿠팡을 사칭하는 전화, 문자 메시지 또는 기타 커뮤니케이션에 주의해달라”고 당부했다.

2025.11.29 19:06김민아 기자

대만 검찰, '인텔 이직' TSMC 전 고위임원 자택 압수수색

대만 검찰이 현지 주요 파운드리 TSMC의 영업비밀 유출 의혹과 관련된 전직 고위 임원 로웨이런(Wei-Jen Lo)의 자택을 압수수색했다고 로이터통신이 28일 보도했다. 현지 수사관은 수색영장에 따라 로웨이런의 자택 2곳을 수색하고, 컴퓨터와 USB 드라이브, 기타 증거들을 압수했다. 이에 대해 대만 검찰의 지식재산권 전담 부서는 성명을 통해 "로웨이런이 대만 국가보안법을 위반한 협의를 받고 있다"고 밝혔다. 앞서 TSMC는 23일 로웨이런을 상대로 대만 지식재산·상업법원에 소송을 제기한다고 밝힌 바 있다. 로웨이런은 최근 TSMC를 퇴직한 직후 인텔에서 집행부사장(EVP)을 맡았다. 이에 TSMC는 로웨이런에 영업비밀과 기밀 정보 유출 가능성 등을 제기했다. 인텔은 TSMC의 의혹을 전면 부인했다. 인텔은 "현재까지 파악한 바에 따르면, 로웨이런과 관련된 주장에 타당한 근거가 있다고 볼 이유가 없다"고 밝혔다. 또한 인텔은 회사가 엄격한 내부 정책과 통제 체계를 갖추고 있어, 제3자가 어떠한 기밀 정보나 지식재산을 사용 및 이전하는 것을 철저히 금지하고 있다고 강조했다. 로웨이런은 TSMC에서 21년간 근무하며 5~2나노미터(nm) 급의 최첨단 반도체 공정 양산을 주도한 것으로 알려졌다. 지난 2004년 TSMC에 입사하기 전에는 18년간 인텔에서 근무한 이력이 있다. 이후 올해 10월 인텔에 재합류한 것이다. TSMC는 성명을 통해 "로웨이런이 TSMC의 영업 비밀과 기밀 정보를 사용하거나, 유출 혹은 공개하거나, 이전할 가능성이 매우 높다고 판단된다"며 "이에 따라 법적 조치가 필요해졌다"고 밝혔다.

2025.11.29 09:41장경윤 기자

오픈AI, 파트너사 해킹으로 일부 데이터 유출..."데이터 악용 주의"

오픈AI의 파트너사에서 보안 사고가 발생해 일부 사용자의 이름, 이메일 등 개인정보가 유출됐다. 유출된 데이터 규모는 제한되지만 이를 악용한 추가 범죄가 예상되는 만큼 주의가 요구된다. 오픈AI는 파트너사인 웹 분석 업체 믹스패널 시스템에서 일부 사용자 계정의 웹 분석 데이터가 공격자에게 유출됐다고 28일 밝혔다. 믹스패널은 오픈AI API 제품 웹 콘솔 프론트엔드에서 트래픽과 사용 행태를 분석하는 도구로 쓰여 왔다. 지난 9일 믹스패널은 시스템 일부에 대한 비인가 접근을 탐지하고 고객사 데이터 일부가 외부로 반출된 정황을 확인했다. 이후 자체 조사를 거쳐 오픈AI에 해당 데이터셋을 전달했고 오픈AI는 이를 바탕으로 영향 범위를 분석하고 있다. 오픈AI 측은 유출된 정보가 오픈AI API 계정에 연결된 프로필과 웹 분석 정보로 한정되며 플랫폼을 통한 챗GPT와 기타 소비자용 서비스 이용자는 이번 영향 범위에 포함되지 않는다고 설명했다. 개발자용 API 콘솔 이용자가 아닌 일반 챗GPT 이용자 계정은 이번 사고와 무관하다는 의미다. 구체적으로는 API 계정에 등록된 이름과 이메일 주소, 브라우저를 기반으로 추정한 대략적인 위치 정보, 접속에 사용된 운영체제와 브라우저 정보, 플랫폼 접속 직전에 방문한 웹사이트, 조직과 사용자 ID 등이 포함된 것으로 알려졌다. 대화 내용, 프롬프트와 응답, API 사용 로그, 비밀번호, 자격 증명, API 키, 결제 정보, 신분증 등 민감 정보는 이번 유출 범위에 포함되지 않았다는 것이 오픈AI의 설명이다. 이번에 노출된 정보 자체는 제한적이지만, 공격자가 이를 피싱·소셜 엔지니어링 공격에 악용할 가능성은 남아 있다. 이름, 이메일, 계정 ID, 대략적 위치 정보만으로도 실제 개발자나 조직을 노린 그럴듯한 사기 메일을 만들어 낼 수 있기 때문이다. 보안 전문가들 역시 민감도가 낮은 정보라도 여러 출처에서 모이면 신뢰를 가장한 공격 메시지 제작에 충분히 활용될 수 있다고 지적한다. 믹스패널 측은 이번 침해가 문자메시지를 악용한 스미싱 형태의 피싱 공격에서 비롯됐다고 설명했다. 공격자는 내부 계정 가운데 하나를 속여 로그인 정보를 탈취한 뒤, 이 계정으로 더 넓은 권한을 확보해 데이터셋을 추출한 것으로 알려졌다. 같은 기간 믹스패널을 사용하던 다른 서비스 사업자들도 유사한 유형의 사고 통지를 받은 것으로 전해졌다. 오픈AI는 사고 인지 후 믹스패널을 프로덕션 환경에서 제거했다고 밝혔다. 이어 믹스패널이 제공한 데이터셋을 자체적으로 재검토하고 타 파트너사·벤더와 함께 사고 경위와 영향 범위를 파악하고 있다고 덧붙였다. 오픈AI는 이번 사건을 계기로 믹스패널 사용을 종료했으며, 전체 벤더 생태계를 대상으로 보안 점검을 확대하고 파트너·공급사에 대한 보안 요구 수준을 한층 높이겠다고 강조했다. 또 오픈AI는 조직 관리자와 계정 소유자를 대상으로 개별 이메일을 통해 사고 사실과 영향을 받았을 수 있는 정보 범위를 안내하고 있다. 다만 비밀번호나 API 키, 인증 토큰이 유출된 정황은 확인되지 않았기 때문에 이번 사고만을 이유로 한 일괄 비밀번호 변경이나 키 교체까지는 권고하지 않는다는 입장이다. 오픈AI는 사용자가 유념해야 할 보안 수칙도 함께 제시했다. 우선 발신자가 오픈AI라고 주장하더라도 뜻밖에 도착한 메일·메시지에 포함된 링크나 첨부파일은 신중하게 열어야 한다고 당부했다. 또 오픈AI 안내 메일은 공식 도메인에서만 발송되며 이메일·문자·채팅으로 비밀번호나 API 키, 인증 코드를 요구하는 일은 없다고 재차 강조했다. 계정 보호를 위해서는 가능하면 계정에 다단계 인증(MFA)을 활성화하고 기업·조직 차원에서는 SSO에 MFA를 적용해 방어력을 높일 것을 권고했다. 오픈AI는 "신뢰와 보안, 프라이버시는 우리의 제품과 조직, 미션의 근간으로 이번 사고와 같은 이슈가 발생할 경우 투명하게 알리고 대응 상황을 공유하겠다"며 "급속히 커지는 AI 인프라와 이를 둘러싼 공급망 전반이 공격 표면으로 노출되고 있는 만큼 내부 시스템뿐 아니라 외부 벤더에 대해서도 한층 높은 수준의 보안 검증과 모니터링을 이어가겠다"고 밝혔다.

2025.11.28 10:26남혁우 기자

'2025 산업보안 컨퍼런스' 18일 열린다

산업기술보호의날을 맞아 글로벌 기술 유출 대응 방안을 모색하기 위한 컨퍼런스가 개최된다. 산업보안 컨퍼런스 조직위원회는 오는 18일 그랜드 인터컨티넨탈 서울 파르나스에서 '2025 산업보안 컨퍼런스'를 개최할 예정이라고 6일 밝혔다. 이번 컨퍼런스는 '기술패권 시대의 경제안보 전략, 보호, 협력 그리고 생존'이라는 주제로 열린다. 글로벌 기술 유출 대응 방안 및 첨단 보안기술 공유를 통해 우리 기업과 산업보안 정책이 나아가야할 방향을 모색하겠다는 취지다. 행사에는 ▲미국의 기술유출 대응 및 자국 기업과의 공조 현황 ▲인공지능(AI)을 활용한 국가핵심기술 식별 및 관리 ▲AI를 활용한 정보유출 방지와 보안 관리 ▲첨단기술법제 한계와 개선방안 ▲글로벌 기술안보 강화 시대의 산업기술 보호법 등 5가지 주제 발표가 이뤄진다.

2025.11.06 16:04김기찬 기자

"AI 에이전트가 쇼핑 경험 해쳐"…아마존, 퍼플렉시티에 '대리 물건 주문' 중단 요청

아마존이 인공지능(AI) 검색 스타트업 퍼플렉시티에 AI 브라우저 에이전트 '코멧'이 사용자를 대신해 온라인에서 물건을 구매하는 행동을 중단할 것을 요구하는 서한을 보냈다. 4일(현지시간) 블룸버그 등 외신에 따르면 사안에 정통한 관계자들은 아마존이 퍼플렉시티의 AI 에이전트가 사용자 대신 쇼핑할 때 이를 명확히 밝히지 않아 아마존의 서비스 약관을 위반했다고 밝혔다. 아마존은 이를 컴퓨터 사기 행위라고 주장했으며, 해당 기능이 자사 쇼핑 경험을 훼손하고 개인정보 유출 위험을 촉발한다고 지적했다. 반대로 퍼플렉시티는 자사 블로그에서 아마존이 경쟁 AI 쇼핑 에이전트를 보유한 상황에서 더 작은 경쟁사를 괴롭히고 있다고 반박했다. 퍼플렉시티는 “아마존은 사람들이 더 나은 삶을 살도록 돕는 혁신 기업을 위협하려고 한다”며 “사용자가 원하는 에이전트를 선택할 권리가 있어야 한다”고 강조했다. 아마존 약관에는 '데이터 마이닝(데이터 안에서 패턴 혹은 규칙, 관계 등을 찾아 활용할 수 있는 정보를 추출하는 기술), 로봇 및 유사 도구 사용' 금지 조항이 존재한다. 지난해 11월 아마존은 퍼플렉시티에 AI 에이전트의 상품 구매 기능을 협의 전까지 중단하라고 요청했고, 퍼플렉시티는 이에 응했다. 그러나 올해 8월 퍼플렉시티가 새 AI 에이전트 코멧으로 다시 사용자 계정에 로그인해 구매를 시도하자 아마존은 차단을 실시했다. 이후 퍼플렉시티는 이를 우회하는 업데이트를 배포한 한 것으로 알려졌다. 라라 헨드릭스 아마존 대변인은 “외부 에이전트가 고객 대신 상품을 구매한다면 투명하게 운영하고 서비스 제공자의 조건을 존중해야 한다”고 말했다. 그러면서 퍼플렉시티는 아마존의 차단 요청을 무시했으며 코멧이 아마존 이용 경험을 저하시킨다고 비판했다. 이에 퍼플렉시티는 에이전트가 사용자 대리인의 역할을 수행하는 것뿐이라며 사용자와 에이전트를 구분할 필요가 있다고 반박했다. 아라빈드 스리니바스 퍼플렉시티 최고경영자(CEO)는 “에이전트는 사용자와 동일한 권리와 책임을 가져야 한다”며 “아마존이 이를 감시할 권한은 없다”고 덧붙였다. 지난 1년 6개월 동안 퍼플렉시티는 무단 콘텐츠 사용, 불법 스크랩 데이터 활용 등 논란에 휩싸인 바 있다. 이와 관련해 퍼플렉시티는 코멧이 아마존 정보를 훈련이나 스크래핑에 사용하지 않으며 사용자의 구매 명령을 수행하는 것이라고 설명했다.

2025.11.05 09:03박서린 기자

"다크웹까지 살핀다"...카카오페이, '내 정보 유출 진단' 서비스 출시

카카오페이(대표 신원근)가 사용자의 정보 유출 불안감을 해소하고 선제적인 보안 관리를 지원하기 위해 '내 정보 유출 진단' 서비스를 출시했다고 29일 밝혔다. 최근 해킹과 정보 유출 사고에 대한 불안감이 커지고 있는 상황에서 카카오페이는 생활 금융 플랫폼으로서의 보안 책임을 강화하고 사용자가 안심하고 편리한 금융 생활을 누릴 수 있도록 이번 서비스를 기획했다. 이는 결제, 송금 등 금융 생활의 편의를 넘어 사전 예방 및 상시 진단이라는 실질적인 보안 경험을 제공하려는 노력의 일환이다. '내 정보 유출 진단'은 이메일 주소만 입력하면 다크웹 등에서 유출된 것으로 의심되는 정보를 선제적으로 탐지하고, 유출 여부 및 보안 진단 결과를 알림톡으로 안내하는 서비스다. 진단할 이메일을 입력하면 '진단 중' 화면이 노출되며, 서비스 안정성을 위해 이메일 수정은 하루 최대 3회로 제한된다. 특히 카카오페이 연동 이메일뿐 아니라 타 도메인의 이메일 주소까지 등록할 수 있어 사용자가 보유한 모든 디지털 계정을 포괄적으로 관리할 수 있다. 진단이 완료되면 유출이 감지되지 않았을 경우 '안전하다'는 알림톡이, 유출 의심이 감지되었을 경우 '유출 의심 감지' 알림과 함께 '진단 내역 바로가기' 버튼이 제공된다. 유출 내역 화면에서는 유출된 도메인 주소, 유출 정보(이메일, 비밀번호)를 확인할 수 있으며, 도메인 주소 확인이 어려운 경우 '다크웹에서 확인'이라는 메시지가 고지된다. 또한, 유출이 확인된 사용자는 알림톡을 통해 해당 사이트의 비밀번호 변경 등 보안 조치를 취하도록 안내받는다. 조치 후 서비스 내 '조치 완료' 버튼을 클릭하면 해당 내역에 '확인 완료' 표시가 노출돼 보안 관리 현황을 한눈에 확인할 수 있다. 조치 이후에도 동일 이메일에서 새로운 유출이 탐지되면 추가 알림을 발송해 지속적인 상시 모니터링 서비스를 제공한다. 특히, '내 정보 유출 진단'은 대부분의 유사 서비스와 달리 모든 사용자에게 무료로 제공되는 점에서 의미가 크다. 이는 최근 급증하는 보안 위협으로부터 사용자들이 비용 걱정 없이 스스로를 지킬 수 있도록 돕겠다는 카카오페이의 적극적인 의지가 반영된 결과다. 이 서비스는 카카오페이앱과 카카오톡 내 카카오페이홈에서 보안·인증 메뉴 또는 검색에서 '내 정보 유출 진단'을 입력하면 이용할 수 있다. 카카오페이는 “'내 정보 유출 진단' 서비스는 '앱 통합 보안 솔루션', '가족 보안 지킴이' 등 기존 보안 기능과 더불어 사용자의 불안감을 해소하기 위한 카카오페이의 선제적 노력의 일환”이라며 “앞으로도 카카오페이는 금융 생활의 편의를 넘어 사용자가 가장 안심하고 신뢰할 수 있는 생활 금융 플랫폼이 되기 위해 보안 기술에 대한 투자를 아끼지 않겠다”고 말했다. 카카오페이는 '앱 통합 보안 솔루션'을 통해 사용자의 잠재적인 보안 위협을 다각도로 관리하고 있다. 이 솔루션은 안전하지 않은 환경이나 악성 앱의 위변조 시도, 피싱 등의 위협을 사전에 감지하여 사용자에게 알림을 제공한다. 특히 안드로이드 사용자의 경우 악성 앱 발견 시 즉시 삭제 기능을 지원하며, '카카오페이 백신' 기능을 통해 사용자가 스스로 기기 탈옥 여부, 앱 위변조 등을 점검할 수도 있다. 실제로 카카오페이는 이 솔루션을 통해 지난 5월 한 달간 7만 건 이상의 가상자산 폰지 사기 관련 악성 앱을 탐지하여 사용자에게 안내한 바 있다. 또한, 자체적으로 개발한 이상거래탐지시스템(FDS)에 따라 의심 거래, 이상 거래를 실시간으로 분석하고 탐지하여 보이스피싱, 온라인 사기를 예방하고 있으며, 카카오페이 서비스를 악용한 불법 거래에 대해서는 즉시 이용을 제한하는 강력한 제재를 적용하고 있다. 분실 신고, 착오 송금 중개, 도용 신고, 구매 분쟁 신고를 위한 금융안심센터도 365일 24시간 운영하고 있다. 이외에도 금융 사기에 취약한 가족 구성원을 보호하는 '가족 보안 지킴이', 카카오페이 송금 서비스 이용 시 상대의 사기 의심 이력을 미리 파악해 피해를 예방할 수 있는 '사기 이력 탐지기', 자산관리에 연결된 계좌의 도용 및 사기 의심 계좌 등록 여부를 확인할 수 있는 '계좌지킴이' 서비스를 제공하는 등 다층적인 보안 체계를 구축하고 있다.

2025.10.29 23:55안희정 기자

개보위 "로봇청소기 실태점검·SK쉴더스 유출 조사 착수"

개인정보보호위원회(이하 개보위)가 로봇청소기에 부착된 카메라·마이크 등 영상·음성 장비로 인한 개인정보 유출 우려에 대응해 사전 실태점검에 착수했다. 또 최근 침해사고가 발생한 SK쉴더스에 대해서도 개인정보 유출 조사를 진행 중이다. 개보위는 24일 설명자료를 통해 삼성전자, LG전자, 로보락, 에코백스, 샤오미 등 주요 로봇청소기 브랜드 제품을 대상으로 사전 실태점검을 진행 중이라고 밝혔다. 우선 개인정보 처리방침 분석 등을 통해 기초 사실관계를 파악하고, 현장 실사와 사업자 대상 자료 제출 요구를 병행해 정밀 점검하고 있다. 아울러 해당 브랜드 제품을 직접 구매·확보해 기능을 검증하고 있다. 해외 제조사 제품은 개보위가 직접 구매했으며, 국내 제조사 제품은 개보위 내 타 부서가 이미 확보한 장비를 조사에 활용하고 있다고 설명했다. 개보위는 "디지털 증거물에 대한 감식 등을 담당한 포렌식 랩을 연내 구축·운영할 예정"이라며 "나아가 사물인터넷(IoT) 기반 가전, AI 에이전트 등 생활 속 개인정보 수집 기반의 신기술·신서비스에 대한 개인정보 침해 우려를 선제적으로 해소하기 위해 '신서비스·제품 기술분석센터'(가칭) 마련에 관계부처와 적극 협조해 나갈 계획"이라고 밝혔다. 한편 개보위는 해커에 의해 SK쉴더스 업무 자료가 유출돼 다크웹에 게시된 SK쉴더스를 대상으로 개인정보 유출조사에 착수했다. 그간 자료 요구 등을 통해 사실관계를 확인해 왔으며, 22일 오후 11시경 SK쉴더스가 개인정보 유출을 신고함에 따라 즉시 정식 조사로 전환했다. 개보위는 유출 경위·규모와 개인정보보호법 위반 여부를 면밀히 확인할 계획이다.

2025.10.24 17:38김기찬 기자

Prev 1 2 3 4 5 6 7 8 Next