![[2PM] '쿠팡 유출' 합동조사 발표..."3,367만 건 유출"](https://image.ytn.co.kr/general/jpg/2026/0210/202602101432309382_t.jpg)
AD
■ 진행 : 이세나 앵커, 정지웅 앵커
■ 출연 : 이경민 변호사
* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기 바랍니다. 인용 시 [YTN 뉴스퀘어 2PM] 명시해주시기 바랍니다.
[앵커]
조금 전 쿠팡 유출 사고의 민관합동조사단 조사 결과가 나왔습니다. 이경민 변호사와 짚어보겠습니다. 유출된 규모부터 보면 336만 건. 당초 밝혀졌던 규모보다 소폭 늘어난 것 같아요.
[이경민]
그렇습니다. 쿠팡에서 처음 침해 사고 사실을 인지를 한 게 작년 11월 17일이었고요. 그래서 자체 조사를 했었는데 그때 당시에 확인을 하고 나서 19일에 한국인터넷진흥원에 신고를 하고 나서 1차적으로 발표를 했을 때는 4500개 정도 계정이 침해가 됐다고 했었지만 그런데 정부에서 어느 정도 확인을 해 본 결과 3300만 개 정도 되는 개인정보가 유출됐다고 그때 인지를 했었고 그래서 11월 30일에 민간합동조사단이 꾸려져서 오늘 그 결과가 나왔다고 보시면 될 것 같은데 그렇게 확인한 결과, 3367만 개 정도 된다. 그렇게 결과가 나왔다고 보시면 되겠습니다.
[앵커]
조사결과를 보면 일단 고객이 주문한 상품 목록은 물론이고요. 공동현관 비밀번호까지 유출됐다고 그래요.
[이경민]
크게 4가지 정도로 유출이 됐다고 보시면 될 것 같은데 일단 내정보 수정 페이지, 거기서 이름하고 이메일 주소, 이게 한 3367만여 건이 유출됐고요. 그리고 배송지 목록 페이지에서는 성명, 전화번호 그리고 배송지 주소 그리고 현관 비밀번호까지 조회가 됐는데 그게 한 1억 4000여 회 정도 조회됐습니다. 그리고 배송정보 수정페이지에서는 성명, 전화번호, 배송지 주소, 공동현관 비밀번호까지 5만 회 정도 조회가 됐고 그리고 주문목록 페이지에서는 최근 주문한 상품 목록, 이 부분에 대해서 10만여 건 조회가 됐는데 방금 말씀드렸던 아까 배송지 목록 페이지에서는 본인만 배송을 받은 게 아니라 우리가 제3자, 그러니까 가족이라든지 아니면 제3자한테도 배송을 그렇게 보낼 수 있거든요. 그렇게 따지면 제3자들의 주소까지도 노출되기 때문에 그러면 오늘 발표한 결과보다도 더 많아질 가능성도 배제할 수 없는 것 같습니다.
[앵커]
지금 유출 사건 피의자가 쿠팡에 보낸 메일도 일부 공개됐는데요. 화면 함께 보도록 하겠습니다. 지난해 11월 25일입니다. 지난해 11월 25일입니다. 피의자가 쿠팡에 보낸 메일인데요. '쿠팡 시스템의 취약점으로 수십억 개의 사용자 개인정보 항목이유출될 위험에 처해 있다'고 적혀 있고요. 한국의 쿠팡 사용자 데이터의 경우1억 2천만 개 이상의 배송 주소,5억 6천만 개 이상의 주문 정보 등을확인할 수 있다고 강조합니다. 이 사진은 실제로 피의자가 쿠팡에 보낸한국 고객의 주문 정보인데요. 주소는 물론 휴대폰 번호,공동현관 출입 방법이 적혀 있고요. 생리대와 스마트폰 거치대,아령과 폼롤러 등 주문 내역이 빼곡하게 구체적으로 담겨 있습니다. 이렇게 피의자가 쿠팡 측에 메일을 보냈는데 사실 일반적으로 협박을 할 때는 메일을 보내면서 금전을 요구하거나 하잖아요. 그런 건 없었다고 해요.
[이경민]
그렇습니다. 일반화시킬 수는 없겠지만 그런데 보통 해외 사례에서는 이렇게 협박성 이메일을 먼저 보내고요. 그러면 이 기업에서도 우리 지금 개인정보가 유출됐는지 확인을 해 봅니다. 그러면 확인했을 때 이게 유출되면 결국 이 부분에 대해서 공표를 할 수밖에 없거든요. 그러면 그 부분이 공표되는 순간 그러면 이거는 이 기업에서 개인정보가 나온 게 맞다, 이게 인증이 된다고 보면 될 것 같습니다. 그러면 이 개인정보를 가지고 거래를 할 수 있는 것이 다크웹이라든지 아니면 해커포럼, 이런 시장에서 거래가 되는데 기업에서 우리 정보가 유출된 거 맞다고 인증을 받는 순간 가격이 2~3배 정도 뛰게 됩니다. 그러면 그때 어느 정도 본인이 원하는 금액을 더 가져갈 수 있기 때문에 기업에 대해서는 금전적으로 협박을 하지 않는 경우도 있고요. 그리고 다른 목적으로 삼는다고 할 것 같으면 해고를 당한 상태였기 때문에 아마 쿠팡에 대해서 앙심을 품었을 수 있거든요. 그래서 그런 것도 생각했을 때는 금전보다는 개인정보가 유출됐다고 하면서 쿠팡 이미지를 깎아내리는 그런 쪽으로도 의도를 했기 때문에 이렇게 이메일을 보냈던 게 아닌가. 그래서 이 부분은 아직까지도 이메일을 보낸 사람이 지금 개인정보를 유출했던 그 사람이 맞는지도 지금 확인해야 되는 부분이라서 아마 수사를 통해서 어떤 목적이었는지가 밝혀지게 될 것 같습니다.
[앵커]
어쨌건 엄청난 양의 민감한 정보들을 메일에 담고 있었는데 이 유출된 정보들이 다른 웹으로 유출됐는지도 밝혀졌습니까?
[이경민]
일단 확인해 본 결과, 이렇게 전자출입증을 이용해서 쿠팡의 서버 취약한 점을 이용해서 들어갔고 그래서 들어가서 개인정보를 탈취한 부분까지는 확인이 됐는데 그런데 거기서도 명령어 자체가 여기서 해외 클라우드 서버를 통해서 유출할 수 있다, 할 수는 있다고 되어 있지만 정말 그게 유출이 됐는지까지는 기록이 남아 있지 않아서 확인을 못 했거든요. 그래서 그런 부분들에 대해서는 가능성도 사실은 존재하지만 오늘 민간합동조사단의 결과에서는 사실 그 부분까지는 파악을 하기는 현실적으로 어려웠던 것 같습니다.
[앵커]
피의자가, 여기서 공격자라고 표현을 하는데 어떻게 고객정보를 유출했는지도 확인이 됐잖아요. 이거 자세히 설명을 해 주시죠.
[이경민]
그러니까 우리가 소위 말하는 그양 정상적으로 들어갈 때는 우리가 아이디랑 패스워드를 입력하지 않습니까? 그렇게 입력을 하면 전자출입증이 발급됩니다. 그러면 전자출입증이 발급되고 쿠팡의 관문서버라는 곳에서 전자출입증이 있으니까 이렇게 들어가도록 해 주면 되겠네라고 해서 그렇게 정상적인 시스템을 통해서 들어가게 되는데 그런데 지금 공격자 같은 경우에는 재직 당시에 이용자 인증시스템을 관리하는 개발자였거든요. 개발자였다 보니까 쿠팡에서 퇴사를 하면서도 서명키를 갖고 있었다고 합니다. 그 서명키를 가지고 있었고 갱신됐어야 하는데 갱신이 되지 않았다 보니까 이 서명키를 이용해서 아까 말씀드린 전자출입증을 위조했든 변조했든 그렇게 발생이 되는 겁니다. 그렇게 위조변호된 전자 출입증을 바탕으로 취약한 서버에 들어가게 되면 그러면 사실 이게 위조가 됐는지 변조가 됐는지를 거를 수 있는 조치가 없다 보니까 쿠팡 내에서 자연스럽다고 로그인 절차가 이뤄졌고 그게 보니까 2025년 1월 이전에 이미 개발자였다 보니까 이 시스템이 취약하구나라는 걸 인지하고 있었고요. 그리고 1월에 이 부분에 대해서 사전적으로 테스트도 해 봤다고 합니다. 이게 되니까 여부를 테스트해 봤고 그게 된다고 파악되니까 4월부터 11월까지 계속 자동적으로 어떻게 보면 매크로를 통해서 그런 명령어를 입력시켜서 3000만 건 이상의 정보를 탈취해냈다고 할 수 있을 것 같습니다.
[앵커]
치밀하고 철저하게 범행을 저질렀는데 또 쿠팡 측에서는 침해 사고에 대해서 신고를 뒤늦게, 그러니까 지연한 그런 책임도 있잖아요. 이 부분은 과태료 부과 대상이라고요?
[이경민]
맞습니다. 이게 정보통신망법에 법으로 요건을 정해 놓고 있거든요. 개인정보 유출 사고가 발생하게 되먼 그 유출 사고가 발생했다는 부분을 이 기업의 최고 책임자가 인지를 하게 되고 그 인지를 한 시점부터 24시간 내에 이런 부분들에 대해서 과학기술정보통신부 장관이라든지 아니면 한국인터넷진흥원에 신고를 했어야 합니다. 그런데 신고된 시간을 보니까 24시간이 넘었거든요. 그래서 이런 부분들에 대해서는 우리가 정보통신망법에서 3000만 원 이하의 과태료를 부과하고 있고 그래서 오늘 민관합동조사단 결과에서도 과태료를 부과할 예정이다, 이렇게 결과를 냈다고 보시면 될 것 같습니다.
[앵커]
쿠팡이 정부의 자료 보전 명령에도 이걸 제대로 이행하지 않아서 5개월째 접속기록이 삭제됐다고 하는데 이것도 책임을 물을 수 있겠죠?
[이경민]
그렇습니다. 자료 보전 명령을 내리는 이유가 어떻게 보면 우리가 더 사고 사실을 파악해야 되는 부분이 있는데 이거를 쿠팡 내부에 본인들의 정보라고 해서 만약에 이걸 삭제한다든지 아니면 폐기를 한다든지 이렇게 돼버리면 사실관계를 밝히는 데 한계가 생기지 않습니까? 그래서 자료 보전 명령이라는 것을 과학기술정보통신부 장관이 내리게 되는데 이 사건 같은 경우에도 사실 그때 당시에 자료를 보전해 놔라, 이렇게 명령을 내렸었습니다. 내렸음에도 불구하고 그런데 그 부분에 대해서 이행하지 않아서 아까 제가를 말씀드린 2025년 4월부터 확인됐다고 했지만 그 이전에 웹에서 보관을 하고 있었어야 되는 기록도 삭제됐고요. 그리고 앱에서 보관하고 있어야 하는 그 기록도 삭제가 된 부분이 있다 보니까 더 어떻게 보면 침해가 있었던 부분도 있을 수 있는 부분이거든요. 그런데 그런 부분에 대해서 이걸 해태했기 때문에 결국 이 부분은 정보통신망법 위반으로 과태료 부과 대상이 아니라 오히려 형사처벌 대상이 아닙니다. 그래서 2년 이하의 징역, 2000만 원 이상의 벌금에 처해질 수 있어서 그래서 이 부분에 대해서는 수사기관에 인계를 해서 앞으로 조사를 더 이어나갈 예정이라고 밝혔습니다.
[앵커]
저희는 계속해서 쿠팡 유출사고에 대한 합동조사 결과 발표 짚어보겠습니다. 오늘 우리 정부의 조사 결과 발표에 대해서 쿠팡 측에서는 아직 별다른 입장을 밝히지 않은 것 같은데 법적으로 어떻게 대응에 나설 거라고 보세요?
[이경민]
일단은 쿠팡 입장에서는 조심스럽지만 아마 최초에는 개인의 일탈이다, 그러니까 어떻게 보면 중국인이 개인적으로 기술적인 부분을 이용해서 피해를 입힌 것이라고 갈 가능성이 조금 있어 보이고 그리고 나아가서는 본인들 입장에서는 어느 정도 개인정보가 유출되는 부분에 있어서 막을 수 있는 장치를 마련해 놓고 있었는데 그런 부분들에 대해서 기술적으로 그걸 뚫고 들어가서 그런 게 발생한 것이다. 이렇게 책임을 줄이려고 하는 그런 입장으로 가지 않을까 싶고. 사실은 그동안 쿠팡의 입장에 비춰보면 이런 입장도 발표를 안 할 가능성도 클 것 같습니다. 이런 입장보다는 그냥 어느 정도 시정하라고 합동조사단에 결과를 내놨으니 언제까지 이런 부분들은 보완을 하겠다 정도 그냥 심플하게 입장을 내놓을 것 같고 아마 앞으로 더 나아가서 개인정보보호위원회에서도 어느 정도 개인정보 유출이 됐는지도 밝혀내겠다고 했거든요. 그래서 그 부분이 발표되고 나면 그러면 그때 가서는 조금 더 법적인 책임을 줄이려는 입장을 더 내지 않을까. 그래서 앞으로 쿠팡이 어떻게 나오는지 조금 더 지켜봐야 할 것 같습니다.
[앵커]
나중에 있을 손해배상이나 진행되는 손해배상 재판에도 관심이 쏠리는데 지금 3300만 건이 유출됐다는 거 아닙니까? 다 보상을 받을 수 있습니까?
[이경민]
우리나라는 외국 법과 다르게 직접적으로 소장을 접수한 사람에 대해서만 인정이 되거든요. 그래서 지금 같은 경우에는 일단 민간합동조사단 결과는 1차적으로는 쿠팡이 어느 정도 이런 부분들에 대해서 유출이 된 범위가 이 정도 된다라는 입장을 밝혀낸 것이고 여기에서 더 나아가서 수사기관에서는 어떤 부분이 쿠팡의 책임이 있는지, 이런 부분도 조금 드러나야 되는 부분이라서 오늘의 결과만 가지고 바로 손해배상 인정된다, 이렇게 보기는 어려울 것 같고 하지만 유의미한 참고자료는 될 것 같아서 그래서 이 부분에 대해서 추가적으로 쿠팡에 책임이 있다는 수사 결과까지 나오게 된다면 그러면 소장을 접수한 사람에 한해서 아마 위자료가 인정되지 않을까 싶습니다.
[앵커]
알겠습니다. 쿠팡 유출사고의 민관합동조사단 조사 결과에 대해서 이경민 변호사와 짚어봤습니다. 고맙습니다.
※ ’당신의 제보가 뉴스가 됩니다’
[카카오톡] YTN 검색해 채널 추가
[전화] 02-398-8585
[메일] social@ytn.co.kr
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
■ 출연 : 이경민 변호사
* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기 바랍니다. 인용 시 [YTN 뉴스퀘어 2PM] 명시해주시기 바랍니다.
[앵커]
조금 전 쿠팡 유출 사고의 민관합동조사단 조사 결과가 나왔습니다. 이경민 변호사와 짚어보겠습니다. 유출된 규모부터 보면 336만 건. 당초 밝혀졌던 규모보다 소폭 늘어난 것 같아요.
[이경민]
그렇습니다. 쿠팡에서 처음 침해 사고 사실을 인지를 한 게 작년 11월 17일이었고요. 그래서 자체 조사를 했었는데 그때 당시에 확인을 하고 나서 19일에 한국인터넷진흥원에 신고를 하고 나서 1차적으로 발표를 했을 때는 4500개 정도 계정이 침해가 됐다고 했었지만 그런데 정부에서 어느 정도 확인을 해 본 결과 3300만 개 정도 되는 개인정보가 유출됐다고 그때 인지를 했었고 그래서 11월 30일에 민간합동조사단이 꾸려져서 오늘 그 결과가 나왔다고 보시면 될 것 같은데 그렇게 확인한 결과, 3367만 개 정도 된다. 그렇게 결과가 나왔다고 보시면 되겠습니다.
[앵커]
조사결과를 보면 일단 고객이 주문한 상품 목록은 물론이고요. 공동현관 비밀번호까지 유출됐다고 그래요.
[이경민]
크게 4가지 정도로 유출이 됐다고 보시면 될 것 같은데 일단 내정보 수정 페이지, 거기서 이름하고 이메일 주소, 이게 한 3367만여 건이 유출됐고요. 그리고 배송지 목록 페이지에서는 성명, 전화번호 그리고 배송지 주소 그리고 현관 비밀번호까지 조회가 됐는데 그게 한 1억 4000여 회 정도 조회됐습니다. 그리고 배송정보 수정페이지에서는 성명, 전화번호, 배송지 주소, 공동현관 비밀번호까지 5만 회 정도 조회가 됐고 그리고 주문목록 페이지에서는 최근 주문한 상품 목록, 이 부분에 대해서 10만여 건 조회가 됐는데 방금 말씀드렸던 아까 배송지 목록 페이지에서는 본인만 배송을 받은 게 아니라 우리가 제3자, 그러니까 가족이라든지 아니면 제3자한테도 배송을 그렇게 보낼 수 있거든요. 그렇게 따지면 제3자들의 주소까지도 노출되기 때문에 그러면 오늘 발표한 결과보다도 더 많아질 가능성도 배제할 수 없는 것 같습니다.
[앵커]
지금 유출 사건 피의자가 쿠팡에 보낸 메일도 일부 공개됐는데요. 화면 함께 보도록 하겠습니다. 지난해 11월 25일입니다. 지난해 11월 25일입니다. 피의자가 쿠팡에 보낸 메일인데요. '쿠팡 시스템의 취약점으로 수십억 개의 사용자 개인정보 항목이유출될 위험에 처해 있다'고 적혀 있고요. 한국의 쿠팡 사용자 데이터의 경우1억 2천만 개 이상의 배송 주소,5억 6천만 개 이상의 주문 정보 등을확인할 수 있다고 강조합니다. 이 사진은 실제로 피의자가 쿠팡에 보낸한국 고객의 주문 정보인데요. 주소는 물론 휴대폰 번호,공동현관 출입 방법이 적혀 있고요. 생리대와 스마트폰 거치대,아령과 폼롤러 등 주문 내역이 빼곡하게 구체적으로 담겨 있습니다. 이렇게 피의자가 쿠팡 측에 메일을 보냈는데 사실 일반적으로 협박을 할 때는 메일을 보내면서 금전을 요구하거나 하잖아요. 그런 건 없었다고 해요.
[이경민]
그렇습니다. 일반화시킬 수는 없겠지만 그런데 보통 해외 사례에서는 이렇게 협박성 이메일을 먼저 보내고요. 그러면 이 기업에서도 우리 지금 개인정보가 유출됐는지 확인을 해 봅니다. 그러면 확인했을 때 이게 유출되면 결국 이 부분에 대해서 공표를 할 수밖에 없거든요. 그러면 그 부분이 공표되는 순간 그러면 이거는 이 기업에서 개인정보가 나온 게 맞다, 이게 인증이 된다고 보면 될 것 같습니다. 그러면 이 개인정보를 가지고 거래를 할 수 있는 것이 다크웹이라든지 아니면 해커포럼, 이런 시장에서 거래가 되는데 기업에서 우리 정보가 유출된 거 맞다고 인증을 받는 순간 가격이 2~3배 정도 뛰게 됩니다. 그러면 그때 어느 정도 본인이 원하는 금액을 더 가져갈 수 있기 때문에 기업에 대해서는 금전적으로 협박을 하지 않는 경우도 있고요. 그리고 다른 목적으로 삼는다고 할 것 같으면 해고를 당한 상태였기 때문에 아마 쿠팡에 대해서 앙심을 품었을 수 있거든요. 그래서 그런 것도 생각했을 때는 금전보다는 개인정보가 유출됐다고 하면서 쿠팡 이미지를 깎아내리는 그런 쪽으로도 의도를 했기 때문에 이렇게 이메일을 보냈던 게 아닌가. 그래서 이 부분은 아직까지도 이메일을 보낸 사람이 지금 개인정보를 유출했던 그 사람이 맞는지도 지금 확인해야 되는 부분이라서 아마 수사를 통해서 어떤 목적이었는지가 밝혀지게 될 것 같습니다.
[앵커]
어쨌건 엄청난 양의 민감한 정보들을 메일에 담고 있었는데 이 유출된 정보들이 다른 웹으로 유출됐는지도 밝혀졌습니까?
[이경민]
일단 확인해 본 결과, 이렇게 전자출입증을 이용해서 쿠팡의 서버 취약한 점을 이용해서 들어갔고 그래서 들어가서 개인정보를 탈취한 부분까지는 확인이 됐는데 그런데 거기서도 명령어 자체가 여기서 해외 클라우드 서버를 통해서 유출할 수 있다, 할 수는 있다고 되어 있지만 정말 그게 유출이 됐는지까지는 기록이 남아 있지 않아서 확인을 못 했거든요. 그래서 그런 부분들에 대해서는 가능성도 사실은 존재하지만 오늘 민간합동조사단의 결과에서는 사실 그 부분까지는 파악을 하기는 현실적으로 어려웠던 것 같습니다.
[앵커]
피의자가, 여기서 공격자라고 표현을 하는데 어떻게 고객정보를 유출했는지도 확인이 됐잖아요. 이거 자세히 설명을 해 주시죠.
[이경민]
그러니까 우리가 소위 말하는 그양 정상적으로 들어갈 때는 우리가 아이디랑 패스워드를 입력하지 않습니까? 그렇게 입력을 하면 전자출입증이 발급됩니다. 그러면 전자출입증이 발급되고 쿠팡의 관문서버라는 곳에서 전자출입증이 있으니까 이렇게 들어가도록 해 주면 되겠네라고 해서 그렇게 정상적인 시스템을 통해서 들어가게 되는데 그런데 지금 공격자 같은 경우에는 재직 당시에 이용자 인증시스템을 관리하는 개발자였거든요. 개발자였다 보니까 쿠팡에서 퇴사를 하면서도 서명키를 갖고 있었다고 합니다. 그 서명키를 가지고 있었고 갱신됐어야 하는데 갱신이 되지 않았다 보니까 이 서명키를 이용해서 아까 말씀드린 전자출입증을 위조했든 변조했든 그렇게 발생이 되는 겁니다. 그렇게 위조변호된 전자 출입증을 바탕으로 취약한 서버에 들어가게 되면 그러면 사실 이게 위조가 됐는지 변조가 됐는지를 거를 수 있는 조치가 없다 보니까 쿠팡 내에서 자연스럽다고 로그인 절차가 이뤄졌고 그게 보니까 2025년 1월 이전에 이미 개발자였다 보니까 이 시스템이 취약하구나라는 걸 인지하고 있었고요. 그리고 1월에 이 부분에 대해서 사전적으로 테스트도 해 봤다고 합니다. 이게 되니까 여부를 테스트해 봤고 그게 된다고 파악되니까 4월부터 11월까지 계속 자동적으로 어떻게 보면 매크로를 통해서 그런 명령어를 입력시켜서 3000만 건 이상의 정보를 탈취해냈다고 할 수 있을 것 같습니다.
[앵커]
치밀하고 철저하게 범행을 저질렀는데 또 쿠팡 측에서는 침해 사고에 대해서 신고를 뒤늦게, 그러니까 지연한 그런 책임도 있잖아요. 이 부분은 과태료 부과 대상이라고요?
[이경민]
맞습니다. 이게 정보통신망법에 법으로 요건을 정해 놓고 있거든요. 개인정보 유출 사고가 발생하게 되먼 그 유출 사고가 발생했다는 부분을 이 기업의 최고 책임자가 인지를 하게 되고 그 인지를 한 시점부터 24시간 내에 이런 부분들에 대해서 과학기술정보통신부 장관이라든지 아니면 한국인터넷진흥원에 신고를 했어야 합니다. 그런데 신고된 시간을 보니까 24시간이 넘었거든요. 그래서 이런 부분들에 대해서는 우리가 정보통신망법에서 3000만 원 이하의 과태료를 부과하고 있고 그래서 오늘 민관합동조사단 결과에서도 과태료를 부과할 예정이다, 이렇게 결과를 냈다고 보시면 될 것 같습니다.
[앵커]
쿠팡이 정부의 자료 보전 명령에도 이걸 제대로 이행하지 않아서 5개월째 접속기록이 삭제됐다고 하는데 이것도 책임을 물을 수 있겠죠?
[이경민]
그렇습니다. 자료 보전 명령을 내리는 이유가 어떻게 보면 우리가 더 사고 사실을 파악해야 되는 부분이 있는데 이거를 쿠팡 내부에 본인들의 정보라고 해서 만약에 이걸 삭제한다든지 아니면 폐기를 한다든지 이렇게 돼버리면 사실관계를 밝히는 데 한계가 생기지 않습니까? 그래서 자료 보전 명령이라는 것을 과학기술정보통신부 장관이 내리게 되는데 이 사건 같은 경우에도 사실 그때 당시에 자료를 보전해 놔라, 이렇게 명령을 내렸었습니다. 내렸음에도 불구하고 그런데 그 부분에 대해서 이행하지 않아서 아까 제가를 말씀드린 2025년 4월부터 확인됐다고 했지만 그 이전에 웹에서 보관을 하고 있었어야 되는 기록도 삭제됐고요. 그리고 앱에서 보관하고 있어야 하는 그 기록도 삭제가 된 부분이 있다 보니까 더 어떻게 보면 침해가 있었던 부분도 있을 수 있는 부분이거든요. 그런데 그런 부분에 대해서 이걸 해태했기 때문에 결국 이 부분은 정보통신망법 위반으로 과태료 부과 대상이 아니라 오히려 형사처벌 대상이 아닙니다. 그래서 2년 이하의 징역, 2000만 원 이상의 벌금에 처해질 수 있어서 그래서 이 부분에 대해서는 수사기관에 인계를 해서 앞으로 조사를 더 이어나갈 예정이라고 밝혔습니다.
[앵커]
저희는 계속해서 쿠팡 유출사고에 대한 합동조사 결과 발표 짚어보겠습니다. 오늘 우리 정부의 조사 결과 발표에 대해서 쿠팡 측에서는 아직 별다른 입장을 밝히지 않은 것 같은데 법적으로 어떻게 대응에 나설 거라고 보세요?
[이경민]
일단은 쿠팡 입장에서는 조심스럽지만 아마 최초에는 개인의 일탈이다, 그러니까 어떻게 보면 중국인이 개인적으로 기술적인 부분을 이용해서 피해를 입힌 것이라고 갈 가능성이 조금 있어 보이고 그리고 나아가서는 본인들 입장에서는 어느 정도 개인정보가 유출되는 부분에 있어서 막을 수 있는 장치를 마련해 놓고 있었는데 그런 부분들에 대해서 기술적으로 그걸 뚫고 들어가서 그런 게 발생한 것이다. 이렇게 책임을 줄이려고 하는 그런 입장으로 가지 않을까 싶고. 사실은 그동안 쿠팡의 입장에 비춰보면 이런 입장도 발표를 안 할 가능성도 클 것 같습니다. 이런 입장보다는 그냥 어느 정도 시정하라고 합동조사단에 결과를 내놨으니 언제까지 이런 부분들은 보완을 하겠다 정도 그냥 심플하게 입장을 내놓을 것 같고 아마 앞으로 더 나아가서 개인정보보호위원회에서도 어느 정도 개인정보 유출이 됐는지도 밝혀내겠다고 했거든요. 그래서 그 부분이 발표되고 나면 그러면 그때 가서는 조금 더 법적인 책임을 줄이려는 입장을 더 내지 않을까. 그래서 앞으로 쿠팡이 어떻게 나오는지 조금 더 지켜봐야 할 것 같습니다.
[앵커]
나중에 있을 손해배상이나 진행되는 손해배상 재판에도 관심이 쏠리는데 지금 3300만 건이 유출됐다는 거 아닙니까? 다 보상을 받을 수 있습니까?
[이경민]
우리나라는 외국 법과 다르게 직접적으로 소장을 접수한 사람에 대해서만 인정이 되거든요. 그래서 지금 같은 경우에는 일단 민간합동조사단 결과는 1차적으로는 쿠팡이 어느 정도 이런 부분들에 대해서 유출이 된 범위가 이 정도 된다라는 입장을 밝혀낸 것이고 여기에서 더 나아가서 수사기관에서는 어떤 부분이 쿠팡의 책임이 있는지, 이런 부분도 조금 드러나야 되는 부분이라서 오늘의 결과만 가지고 바로 손해배상 인정된다, 이렇게 보기는 어려울 것 같고 하지만 유의미한 참고자료는 될 것 같아서 그래서 이 부분에 대해서 추가적으로 쿠팡에 책임이 있다는 수사 결과까지 나오게 된다면 그러면 소장을 접수한 사람에 한해서 아마 위자료가 인정되지 않을까 싶습니다.
[앵커]
알겠습니다. 쿠팡 유출사고의 민관합동조사단 조사 결과에 대해서 이경민 변호사와 짚어봤습니다. 고맙습니다.
※ ’당신의 제보가 뉴스가 됩니다’
[카카오톡] YTN 검색해 채널 추가
[전화] 02-398-8585
[메일] social@ytn.co.kr
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
AD