쿠팡, 역대급 개인정보 유출…한·미 동시 집단소송 [뉴스in뉴스]

[앵커]

쿠팡에서 발생한 대규모 개인정보 유출 사태의 파장이 갈수록 커지고 있습니다.

국회 청문회가 일주일 앞으로 다가온 가운데 국내법인 대표가 사퇴했지만, 국내 뿐만 아니라 미국 본사를 상대로 한 집단소송 움직임까지 일고 있습니다.

경제산업부 이재희 기자와 함께 자세한 이야기 나눠보겠습니다.

이 기자, 쿠팡이 결국 국내 법인 대표를 교체했네요.

[기자]

네 그제 쿠팡 국내 법인의 박대준 대표가 이번 사태의 책임을 통감한다며 직을 내려놨습니다.

이번 개인정보 유출 사태 11일 만입니다.

[박대준/쿠팡 대표/2일 : "제가 지금 현재 이 사건에 대해서 전체 책임을 지고 있고 제가 한국법인의 대표로서 끝까지 책임을 지고 사태가 조기에 수습될 수 있도록 최선의 노력을 다하겠습니다."]

쿠팡 모회사이자 미국 기업인 쿠팡Inc의 해럴드 로저스 최고관리책임자가 임시 대표를 맡게 됐습니다.

국회 청문회가 일주일 앞으로 다가온 상황인데, 쿠팡에 실질적 지배력을 행사하는 김범석 의장을 보호하기 위한 '꼬리자르기'라는 비판이 나옵니다.

국회는 오는 17일 청문회에 김 의장 등을 증인으로 채택했지만 김 의장은 출석 여부를 밝히지 않고 있습니다.

[앵커]

이번 개인정보 유출 사태 '역대급'이라는 말까지 나오는데, 어떤 정보가 얼마나 유출된건지 다시 짚어볼까요.

[기자]

네 조사 결과 유출된 계정의 수, 약 3천3백70만 개입니다.

쿠팡 구매 이력이 있는 고객 수가 약 2천5백만 명 정도거든요.

사실상 쿠팡 가입자 전원의 정보가 털렸다고 보시면 됩니다.

가입자들의 이름은 물론 배송지 주소록에 있는 전화번호와 주소, 공동현관 비밀번호까지 빠져나간 것으로 보이고요.

단 카드 정보 등 결제 정보와 패스워드 등 로그인 관련 정보는 유출되지 않은 것으로 알려졌습니다.

[앵커]

수천만 명의 정보가 한꺼번에 유출이 된 경위가 궁금한데요?

[기자]

아직 유출 경로가 명확히 밝혀지진 않았는데요.

유력 용의자는 지금은 쿠팡에서 퇴사한 중국 국적의 전직 직원입니다.

이 직원, 쿠팡의 인증 시스템 개발자였던 것으로 전해졌습니다.

쿠팡 내부 시스템에 접속하기 위해서는 '인증 토큰'이라는 출입증과, 출입증에 찍어주는 '도장' 격인 '서명키'가 필요한데요.

이 직원이 퇴사 뒤에도 서명키를 갱신하지 않고 그대로 둔 것으로 파악됐습니다.

담당자가 퇴사하면 서명키를 삭제하거나 갱신하는 게 기본적인 보안 절차인데, 지켜지지 않은 겁니다.

경찰은 쿠팡에 대한 압수수색 영장에 이 직원을 정보통신망 침입과 비밀누설 등 혐의 피의자로 적시했습니다.

[앵커]

이번 사태에 대한 쿠팡 측의 태도도 늑장 대응, 부실 대응 비판을 받고 있죠.

[기자]

네.

쿠팡의 구매 내역 등을 해킹했다는 협박 메일을 받은 고객이 이를 쿠팡에 처음 알린 건 지난달 16일입니다.

그런데도 쿠팡은 나흘 뒤인, 20일에야 개인정보보호위원회에 신고했습니다.

관련 법상 정보 유출을 인지한 뒤 72시간 내 신고해야 하거든요.

하지만 쿠팡은 사실관계 확인을 거쳐 18일에 유출 사실을 최초 인지했단 입장입니다.

경찰 신고는 이보다 일주일 뒤인 25일에야 이뤄졌습니다.

또 고객에게 보낸 공지를 보면 '유출'이 아닌 '노출' 사고라고 적었습니다.

공식 사과문에도 '고객 정보에 대한 무단 접근'이란 표현 뿐. '유출' 언급은 없었는데, 사고 심각성을 축소한 것으로 볼 수 있는 대목입니다.

개인정보위 지적 뒤에야 문구를 노출에서 유출로 수정했습니다.

또 쿠팡 탈퇴 과정이 지나치게 복잡하다는 비판도 꾸준히 나오는데, 개인정보위는 회원 탈퇴 절차도 간소화하라고 요구했습니다.

[앵커]

또 우려되는 것이 유출된 개인정보를 악용하는 2차 피해일텐데요.

지금까지 피해 사례 있습니까?

[기자]

이번 사태 이후 쿠팡 계정에 비정상적인 로그인 시도가 있었다는 신고가 이어지고 있는데요.

또 쿠팡 사칭 스미싱 문자와 스팸 전화가 잇따른다는 제보도 접수됐습니다.

하지만 쿠팡 측은 로그인 관련 정보는 유출되지 않았고, 유출 정보를 이용한 2차 피해 의심 사례도 발견되지 않았다는 입장입니다.

하지만 소비자들의 불안 심리를 악용한 범죄가 발견되고 있습니다.

먼저 피싱범이 고객이 신청하지 않은 카드가 쿠팡 개인정보 유출로 발급됐다고 속여, 휴대전화에 원격제어 앱을 설치하게 유도하는 범죄가 경찰에 접수됐습니다.

또 쿠팡 사태와 관련해 물품 배송이 지연되거나 누락될 수 있다며 특정 링크에 접속하도록 유도하는 수법도 발견됐습니다.

경찰은 출처 불명의 메시지나 인터넷 주소는 절대 누르지 말고 즉시 삭제하라고 당부했습니다.

[앵커]

쿠팡에 대한 집단 손해배상 움직임도 커지고 있죠.

[기자]

네, 법무법인별로 집단 소송 참여 의사를 밝힌 사람이 많게는 수천명에 이르는 것으로 알려졌습니다.

다만 과거 사례를 비춰봤을 때 배상액은 소액에 그칠 것으로 보입니다.

2014년 KB국민, NH농협, 롯데카드, 2016년 인터파크, 모두투어 등에서 개인정보 유출 사건이 있었는데요.

법원은 1인당 최대 10만원을 배상하라고 판결했습니다.

변수는 쿠팡 미국 본사에 대한 미국 내 집단소송입니다.

미국은 징벌적 손해배상 제도가 있어서 중대한 과실이 있는 기업에 대해 배상 규모가 크게 책정되는 경우가 많습니다.

2021년 미국의 이동통신사 T모바일은 고객 7천6백여만 명의 개인정보가 유출돼 합의금으로 약 5천억 원을 지출했습니다.

[앵커]

네, 이 기자, 잘 들었습니다.

영상편집:신선미

■ 제보하기
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : kbs1234@kbs.co.kr
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 카카오 '마이뷰', 유튜브에서 KBS뉴스를 구독해주세요!

이재희 기자 (leej@kbs.co.kr)