AD
■ 방송 : YTN 라디오 FM 94.5 (09:00~10:00)
■ 진행 : 조태현 기자
■ 방송일 : 2025년 12월 01일 월요일
■ 대담 : ☎ 허란 한국경제신문 기자
- 쿠팡 유출된 개인정보 3,370만명, 전국민의 65%..이미 탈퇴회원 휴면회원 정보까지..피기하거나 별도 분리 안해
- 쿠팡, 정보 유출 시작 5개월이나 지나 유출 사실 알게돼..147일간 범인 쿠팡 데이터망 자유롭게 드나들어
- 더욱이 '협박 이메일' 민원 없었다면 언제까지 방치됐을지 몰라
- 고객정보 보호 실패해 '테크 컴퍼니' 김범석 주장 무색
- 통상 해커와 달리 범인, 보안 시스템 경보 울리지 않도록 '로 앤 슬로' 방식으로 개인정보만 빼내
- 前 중국국적 개발자, 범인으로 지목..개인정보 접근 권한 없던 전직 개발자, '토큰' 이용해 범행
- 범인, 거대 조직이나 산업스파이 연계 배후설도 제기돼
- 2021년 쿠팡, 정부 최고 권위 보안인증인 ISMS-P 취득 후 2024년 재인증..정부 인증제도까지 도마 위에
- 소비자들, '카드 번호 유출 없다?' 그대로 믿기 어렵다
- "고객님 댁 앞에 주문하신 물건이 배송됐습니다" 타깃형 스미싱 조심해야
* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기를 바랍니다.
◆ 조태현 : 다양한 산업 분야와 기업들의 움직임, 그 이면까지 생생히 전달해드리기 위해 마련한 코넙니다. 취재부터 뉴스까지, 한큐에 전해드릴 <경제브리핑>, 오늘은 허란 한국경제신문 기자와 함께 합니다. 기자님, 안녕하세요.
◇ 허란 : 안녕하세요.
◆ 조태현 : 먼저 쿠팡의 대규모 개인정보 유출 사태부터 시작하겠습니다. 이번 쿠팡 사태, 피해 규모가 상상을 초월한다고 들었는데요. 어느 정도입니까?
◇ 허란 : 네, 정말 심각한 수준입니다. 약 3,370만 명의 개인정보가 유출됐는데요, 이건 전 국민의 65%에 해당하는 숫자입니다. 국내 성인 네 명 중 세 명의 정보가 털린 셈이죠. 쿠팡의 올해 3분기 활성 고객 수가 약 2,470만 명인데, 유출된 정보는 이보다 900만 건이나 더 많습니다. 이미 쿠팡을 탈퇴했거나 오랫동안 사용하지 않은 휴면 회원 정보까지 고스란히 털린 거죠. 개인정보보호법상 목적이 달성된 정보는 파기하거나 별도 분리 보관해야 하는데, 쿠팡이 마케팅 활용 등을 위해 한 바구니에 담아뒀다가 피해를 키웠을 가능성이 제기되고 있습니다.
◆ 조태현 : 알겠습니다. 우리나라 인구가 한 5천만이 넘으니까, 사실상 전 국민의 개인 정보가 유출됐다고 봐도 과언은 아닐 것 같은데요. 더 충격적인 것은 쿠팡이 이 사실을 뒤늦게 알게 됐다는 거죠?
◇ 허란 : 맞습니다. 이게 이번 사태의 가장 큰 문제점인데요. 정보 유출이 시작된 건 지난 6월 24일입니다. 그런데 쿠팡이 이를 인지한 시점은 무려 5개월이 지난 11월 18일이었어요. 147일 동안 범인이 쿠팡 데이터망을 자유롭게 드나들었는데도 전혀 몰랐던 겁니다. 더 문제는 쿠팡이 스스로 발견한 것도 아니에요. 11월 16일에 한 쿠팡 사용자가 알 수 없는 사람으로부터 내 이름과 주소, 최근 쿠팡에서 산 품목 5개를 알고 있다는 이메일을 받았다며 민원을 제기했고, 그제야 쿠팡이 황급히 검증에 나서서 사실을 파악한 겁니다. 만약 이 고객의 민원이 없었다면 언제까지 방치됐을지 모르는 상황이었죠. 처음에 쿠팡은 유출된 계정을 4,536건이라고 신고했다가, 추가 조사 결과 그 7,500배에 달하는 규모로 드러났습니다. 쿠팡 창업자 김범석 의장이 "쿠팡은 테크 컴퍼니입니다"라고 입버릇처럼 강조해왔는데, 가장 기본인 고객 정보 보호에 실패한 거죠.
◆ 조태현 : 테크 컴퍼니의 핵심 중의 핵심은 보안인데, 그런 보안이 전혀 지켜지지 않았다. 그런데 상식적으로 도둑이 들어도 당장 며칠 안에는 알 수밖에 없는 상황인데, 5개월 동안이나 몰랐다? 이거 이해가 안 되거든요. 어떻게 이런 일이 가능했다는 겁니까?
◇ 허란 : 보안 전문가들은 범인이 '로 앤드 슬로' 방식을 사용했을 것으로 보고 있습니다. 보안 관제 시스템이 경보를 울리는 임계치를 넘지 않도록 아주 천천히, 조금씩 데이터를 긁어모아 감시망을 피했다는 건데요. 통상적인 해커들은 시스템을 마비시키고 돈을 요구하는데, 이번 경우는 5개월간 시스템을 정상 가동하면서 데이터만 조용히 빼냈습니다. 범인으로 지목된 사람은 쿠팡에서 퇴직한 중국 국적의 개발자입니다. 이 사람이 재직 당시에는 개인정보 접근 권한이 없었다고 하는데요. 그런데 퇴사 후 중국으로 넘어가서 재직 당시 확보한 것으로 보이는 토큰, 즉 데이터 접근 열쇠를 이용해서 147일간 3370만 명의 데이터를 긁어모은 것으로 파악되고 있습니다. 퇴직자가 이런 토큰을 계속 갖고 있다는 것 자체가 쿠팡의 내부 보안 관리가 얼마나 허술했는지를 보여주고 있습니다.
◆ 조태현 : ‘퇴직자 한명이 이렇게까지 많은 정보를 혼자서 빼돌렸다.’ 이것도 조금 이해가 안 되거든요. 어떤 걸로 봐야 됩니까?
◇ 허란 : 그게 바로 핵심인데요. 회사를 떠난 전직 직원이 그것도 해외에서 고객 개인 정보를 마음대로 빼돌리는 동안 쿠팡의 내부 접근 권한 관리 시스템은 전혀 작동하지 않았다는 건데요. 쿠팡의 내부 접근 권한 관리 시스템이 무방비 상태였다는 방증입니다. 일부에서는 이 퇴직자가 거대 조직이나 산업 스파이와 연계됐을 수 있다는 배후설도 제기되고 있습니다. 쿠팡은 지난해 정보보호 부문에만 889억 원을 썼는데, 이 투자가 주로 외부 방어에 집중됐고 내부 통제는 허술했다는 건데요. 더욱이 쿠팡은 2021년 정부의 최고 권위 보안 인증인 ISMS-P를 취득하고, 2024년 재인증까지 받았는데 까다롭다는 정부 인증 제도가 유명무실한 요식 행위에 그쳤다는 비판도 나오고 있습니다. 정말 몰랐다면 치명적인 무능이고, 알고도 침묵했다면 전 국민을 속이는 은폐라는 비판이 나오는 이유입니다.
◆ 조태현 : 말씀하셨던 그 인증은 국내 유일의 인증 체계인데, 이 인증을 두 차례나 받고 그동안 네 차례 정보 유출이 있었다는 것도 잘 이해가 안 되는 부분입니다. 그럼 유출된 정보는 구체적으로 어떤 것들이고, 2차 피해 가능성은 어느 정도입니까?
◇ 허란 : 유출된 정보는 이름, 이메일, 휴대폰 번호, 주소, 일부 주문 내역뿐만 아니라 배송지, 주소록까지 포함돼 있습니다. 결제 날짜, 상품명, 수량 등 최근 5건의 주문 정보도 유출됐고요. 특히 매일 생필품을 주문하는 쿠팡 데이터 특성상 유출된 정보는 현재 거주지와 라이프 스타일을 완벽히 특정할 수 있는 최신 정보라는 점에서 악용 우려가 매우 큽니다. 쿠팡 측은 카드 번호나 비밀번호는 유출되지 않았다고 밝혔지만, 당초 4500건이었던 피해 규모를 11일 만에 3370만 건으로 정정한 전례가 있어서 소비자들은 쿠팡의 해명을 그대로 믿기 어렵다는 반응입니다. 특히 우려되는 건 '타깃형 스미싱'인데요. 범죄 조직이 이름, 주소, 최근 주문 정보를 활용해서 "고객님, 댁 앞에 주문하신 물건을 뒀습니다"라는 식의 문자를 보내면, 의심 없이 열어볼 수밖에 없겠죠. 한국인터넷진흥원도 '피해 보상', '환불' 같은 키워드로 피싱 시도가 예상된다고 경고했습니다. 실제로 쿠팡은 유출 정보를 공개하겠다는 협박 이메일을 받은 것으로 확인됐고요. 집단소송을 준비하는 인터넷 카페도 10여 개나 생겼습니다. 다만 과거 사례를 보면 승소해도 1인당 배상액은 최대 10만 원 정도입니다.
◆ 조태현 : 알겠습니다. 이럴 때마다 항상 나오는 게 솜방망이 처벌 같은 이야기인데, 다른 곳에 규제를 할 게 아니라 이런 안전 보안과 관련된 규제는 조금 더 자세히 들여다볼 필요는 있어 보입니다. 정부 차원의 대응 한번 살펴보죠.
◇ 허란 : 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 긴급 관계부처 장관회의가 열렸습니다. 정부는 민관 합동 조사단을 가동하고 있고요, 쿠팡이 개인정보보호 관련 안전조치 의무를 위반했는지 조사 중입니다. 개인정보보호위원회가 역대 최대 규모의 과징금 부과를 검토할 것이란 예상도 나옵니다. 서울경찰청 사이버수사대는 쿠팡으로부터 서버 등 관련 자료를 확보해 수사에 들어간 상태입니다.
◆ 조태현 : 쿠팡 최근 들어서 잡음이 굉장히 많은 회사죠. 이번 기회로 맹성이 필요하지 않나 라는 생각이 듭니다.
YTN 김양원 (kimyw@ytnradio.kr)
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
■ 진행 : 조태현 기자
■ 방송일 : 2025년 12월 01일 월요일
■ 대담 : ☎ 허란 한국경제신문 기자
- 쿠팡 유출된 개인정보 3,370만명, 전국민의 65%..이미 탈퇴회원 휴면회원 정보까지..피기하거나 별도 분리 안해
- 쿠팡, 정보 유출 시작 5개월이나 지나 유출 사실 알게돼..147일간 범인 쿠팡 데이터망 자유롭게 드나들어
- 더욱이 '협박 이메일' 민원 없었다면 언제까지 방치됐을지 몰라
- 고객정보 보호 실패해 '테크 컴퍼니' 김범석 주장 무색
- 통상 해커와 달리 범인, 보안 시스템 경보 울리지 않도록 '로 앤 슬로' 방식으로 개인정보만 빼내
- 前 중국국적 개발자, 범인으로 지목..개인정보 접근 권한 없던 전직 개발자, '토큰' 이용해 범행
- 범인, 거대 조직이나 산업스파이 연계 배후설도 제기돼
- 2021년 쿠팡, 정부 최고 권위 보안인증인 ISMS-P 취득 후 2024년 재인증..정부 인증제도까지 도마 위에
- 소비자들, '카드 번호 유출 없다?' 그대로 믿기 어렵다
- "고객님 댁 앞에 주문하신 물건이 배송됐습니다" 타깃형 스미싱 조심해야
* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기를 바랍니다.
◆ 조태현 : 다양한 산업 분야와 기업들의 움직임, 그 이면까지 생생히 전달해드리기 위해 마련한 코넙니다. 취재부터 뉴스까지, 한큐에 전해드릴 <경제브리핑>, 오늘은 허란 한국경제신문 기자와 함께 합니다. 기자님, 안녕하세요.
◇ 허란 : 안녕하세요.
◆ 조태현 : 먼저 쿠팡의 대규모 개인정보 유출 사태부터 시작하겠습니다. 이번 쿠팡 사태, 피해 규모가 상상을 초월한다고 들었는데요. 어느 정도입니까?
◇ 허란 : 네, 정말 심각한 수준입니다. 약 3,370만 명의 개인정보가 유출됐는데요, 이건 전 국민의 65%에 해당하는 숫자입니다. 국내 성인 네 명 중 세 명의 정보가 털린 셈이죠. 쿠팡의 올해 3분기 활성 고객 수가 약 2,470만 명인데, 유출된 정보는 이보다 900만 건이나 더 많습니다. 이미 쿠팡을 탈퇴했거나 오랫동안 사용하지 않은 휴면 회원 정보까지 고스란히 털린 거죠. 개인정보보호법상 목적이 달성된 정보는 파기하거나 별도 분리 보관해야 하는데, 쿠팡이 마케팅 활용 등을 위해 한 바구니에 담아뒀다가 피해를 키웠을 가능성이 제기되고 있습니다.
◆ 조태현 : 알겠습니다. 우리나라 인구가 한 5천만이 넘으니까, 사실상 전 국민의 개인 정보가 유출됐다고 봐도 과언은 아닐 것 같은데요. 더 충격적인 것은 쿠팡이 이 사실을 뒤늦게 알게 됐다는 거죠?
◇ 허란 : 맞습니다. 이게 이번 사태의 가장 큰 문제점인데요. 정보 유출이 시작된 건 지난 6월 24일입니다. 그런데 쿠팡이 이를 인지한 시점은 무려 5개월이 지난 11월 18일이었어요. 147일 동안 범인이 쿠팡 데이터망을 자유롭게 드나들었는데도 전혀 몰랐던 겁니다. 더 문제는 쿠팡이 스스로 발견한 것도 아니에요. 11월 16일에 한 쿠팡 사용자가 알 수 없는 사람으로부터 내 이름과 주소, 최근 쿠팡에서 산 품목 5개를 알고 있다는 이메일을 받았다며 민원을 제기했고, 그제야 쿠팡이 황급히 검증에 나서서 사실을 파악한 겁니다. 만약 이 고객의 민원이 없었다면 언제까지 방치됐을지 모르는 상황이었죠. 처음에 쿠팡은 유출된 계정을 4,536건이라고 신고했다가, 추가 조사 결과 그 7,500배에 달하는 규모로 드러났습니다. 쿠팡 창업자 김범석 의장이 "쿠팡은 테크 컴퍼니입니다"라고 입버릇처럼 강조해왔는데, 가장 기본인 고객 정보 보호에 실패한 거죠.
◆ 조태현 : 테크 컴퍼니의 핵심 중의 핵심은 보안인데, 그런 보안이 전혀 지켜지지 않았다. 그런데 상식적으로 도둑이 들어도 당장 며칠 안에는 알 수밖에 없는 상황인데, 5개월 동안이나 몰랐다? 이거 이해가 안 되거든요. 어떻게 이런 일이 가능했다는 겁니까?
◇ 허란 : 보안 전문가들은 범인이 '로 앤드 슬로' 방식을 사용했을 것으로 보고 있습니다. 보안 관제 시스템이 경보를 울리는 임계치를 넘지 않도록 아주 천천히, 조금씩 데이터를 긁어모아 감시망을 피했다는 건데요. 통상적인 해커들은 시스템을 마비시키고 돈을 요구하는데, 이번 경우는 5개월간 시스템을 정상 가동하면서 데이터만 조용히 빼냈습니다. 범인으로 지목된 사람은 쿠팡에서 퇴직한 중국 국적의 개발자입니다. 이 사람이 재직 당시에는 개인정보 접근 권한이 없었다고 하는데요. 그런데 퇴사 후 중국으로 넘어가서 재직 당시 확보한 것으로 보이는 토큰, 즉 데이터 접근 열쇠를 이용해서 147일간 3370만 명의 데이터를 긁어모은 것으로 파악되고 있습니다. 퇴직자가 이런 토큰을 계속 갖고 있다는 것 자체가 쿠팡의 내부 보안 관리가 얼마나 허술했는지를 보여주고 있습니다.
◆ 조태현 : ‘퇴직자 한명이 이렇게까지 많은 정보를 혼자서 빼돌렸다.’ 이것도 조금 이해가 안 되거든요. 어떤 걸로 봐야 됩니까?
◇ 허란 : 그게 바로 핵심인데요. 회사를 떠난 전직 직원이 그것도 해외에서 고객 개인 정보를 마음대로 빼돌리는 동안 쿠팡의 내부 접근 권한 관리 시스템은 전혀 작동하지 않았다는 건데요. 쿠팡의 내부 접근 권한 관리 시스템이 무방비 상태였다는 방증입니다. 일부에서는 이 퇴직자가 거대 조직이나 산업 스파이와 연계됐을 수 있다는 배후설도 제기되고 있습니다. 쿠팡은 지난해 정보보호 부문에만 889억 원을 썼는데, 이 투자가 주로 외부 방어에 집중됐고 내부 통제는 허술했다는 건데요. 더욱이 쿠팡은 2021년 정부의 최고 권위 보안 인증인 ISMS-P를 취득하고, 2024년 재인증까지 받았는데 까다롭다는 정부 인증 제도가 유명무실한 요식 행위에 그쳤다는 비판도 나오고 있습니다. 정말 몰랐다면 치명적인 무능이고, 알고도 침묵했다면 전 국민을 속이는 은폐라는 비판이 나오는 이유입니다.
◆ 조태현 : 말씀하셨던 그 인증은 국내 유일의 인증 체계인데, 이 인증을 두 차례나 받고 그동안 네 차례 정보 유출이 있었다는 것도 잘 이해가 안 되는 부분입니다. 그럼 유출된 정보는 구체적으로 어떤 것들이고, 2차 피해 가능성은 어느 정도입니까?
◇ 허란 : 유출된 정보는 이름, 이메일, 휴대폰 번호, 주소, 일부 주문 내역뿐만 아니라 배송지, 주소록까지 포함돼 있습니다. 결제 날짜, 상품명, 수량 등 최근 5건의 주문 정보도 유출됐고요. 특히 매일 생필품을 주문하는 쿠팡 데이터 특성상 유출된 정보는 현재 거주지와 라이프 스타일을 완벽히 특정할 수 있는 최신 정보라는 점에서 악용 우려가 매우 큽니다. 쿠팡 측은 카드 번호나 비밀번호는 유출되지 않았다고 밝혔지만, 당초 4500건이었던 피해 규모를 11일 만에 3370만 건으로 정정한 전례가 있어서 소비자들은 쿠팡의 해명을 그대로 믿기 어렵다는 반응입니다. 특히 우려되는 건 '타깃형 스미싱'인데요. 범죄 조직이 이름, 주소, 최근 주문 정보를 활용해서 "고객님, 댁 앞에 주문하신 물건을 뒀습니다"라는 식의 문자를 보내면, 의심 없이 열어볼 수밖에 없겠죠. 한국인터넷진흥원도 '피해 보상', '환불' 같은 키워드로 피싱 시도가 예상된다고 경고했습니다. 실제로 쿠팡은 유출 정보를 공개하겠다는 협박 이메일을 받은 것으로 확인됐고요. 집단소송을 준비하는 인터넷 카페도 10여 개나 생겼습니다. 다만 과거 사례를 보면 승소해도 1인당 배상액은 최대 10만 원 정도입니다.
◆ 조태현 : 알겠습니다. 이럴 때마다 항상 나오는 게 솜방망이 처벌 같은 이야기인데, 다른 곳에 규제를 할 게 아니라 이런 안전 보안과 관련된 규제는 조금 더 자세히 들여다볼 필요는 있어 보입니다. 정부 차원의 대응 한번 살펴보죠.
◇ 허란 : 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 긴급 관계부처 장관회의가 열렸습니다. 정부는 민관 합동 조사단을 가동하고 있고요, 쿠팡이 개인정보보호 관련 안전조치 의무를 위반했는지 조사 중입니다. 개인정보보호위원회가 역대 최대 규모의 과징금 부과를 검토할 것이란 예상도 나옵니다. 서울경찰청 사이버수사대는 쿠팡으로부터 서버 등 관련 자료를 확보해 수사에 들어간 상태입니다.
◆ 조태현 : 쿠팡 최근 들어서 잡음이 굉장히 많은 회사죠. 이번 기회로 맹성이 필요하지 않나 라는 생각이 듭니다.
YTN 김양원 (kimyw@ytnradio.kr)
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]