쿠팡 개인정보 유출, 해킹 아닌 관리 부실…조여오는 책임론

정수인 기자 2026. 2. 11. 09:14
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

과기부 "관리 문제 분명"…과징금·손배 책임 가시화

최대 1조 과징금 책정될 수도…미국 현지 소송도 주목

[그래픽] 쿠팡 개인정보 유출 사고 조사 결과 주요 내용[출처: 연합뉴스 자료사진]

(서울=연합인포맥스) 정수인 기자 = 대규모 개인정보 유출 사태를 두고 쿠팡의 책임이 무거워지고 있다. 지난해 11월 발생한 개인정보 유출 사고가 해킹이 아닌 내부 관리 부실에 따른 인재(人災)였다는 민관합동조사단의 조사 결과가 나오면서다.

첫 공식 조사 결과가 발표되면서 쿠팡에 대한 제재, 손해배상소송 등이 본격화할 것으로 전망됐다.

11일 관련 업계에 따르면 최우혁 과기정통부 정보보호네트워크정책실장은 전날 쿠팡 침해사고에 대한 민관합동조사단의 조사 결과를 발표했다.

최 실장은 이번 침해사고에 대해 "이것은 분명히 관리의 문제"라면서 "지능화된 공격으로 보기는 어려울 것"이라고 진단했다.

◇인증체계·키 관리 허점 드러나…1년여 몰랐다

조사단에 따르면 내 정보 수정 페이지에서 성명과 이메일 3천367만여 건이 유출됐고, 성명, 전화번호, 주소 등이 포함된 배송지 목록 페이지가 1억4천여회 조회됐다. 배송지 목록 수정 페이지 5만여 회, 주문목록 페이지 10만여 회 조회도 확인됐다.

조사단은 쿠팡의 문제 직원이 이용자 인증 시스템의 취약점을 악용해 접근했다고 밝혔다. 해당 직원은 쿠팡 재직 당시 이용자 인증 시스템 설계 및 개발 업무를 수행한 백엔드 개발자로, 재직 때 탈취한 서명키를 활용해 위·변조 전자 출입증을 만들었다.

쿠팡은 지난해 11월 개인정보 유출 의심 메일을 받기 전까지 이런 대규모 정보 유출을 모르고 있었다. 조사단은 이에 대해 "인증체계 관리상의 문제점을 강하게 지적하고, 키 관리 시스템도 지금도 제대로 안 되고 있다는 점도 정확하게 지적했다"고 강조했다.

쿠팡이 정상적인 발급 절차를 거친 전자 출입증인지 여부를 검증하는 체계가 있었고, 퇴사자 등 내부자로 인해 서명키와 같은 주요 정보가 탈취될 수 있는 위협에 대한 대응체계가 마련됐다면 이런 대규모 정보 유출사태를 막을 수 있었다는 이야기다.

쿠팡 침해사고 민관합동조사단 조사결과 브리핑[출처: 연합뉴스 자료사진]

◇관리 부실 결론…과징금 등 제재 수위 촉각

민관합동조사단이 이번 사태의 책임이 쿠팡의 관리 소홀에 있다는 점을 명확히 한 만큼 제재 수위도 높아질 것으로 보인다. 3천300만 건이 넘는 역대급 유출 규모에 신고 지연, 자료 보전 명령 위반 등 법적 쟁점도 확인된 상황이다.

개인정보보호법은 개인정보 유출 사고 시 관련 전체 매출액의 3%까지 과징금을 부과할 수 있다. 2024년 연결감사보고서상 쿠팡의 매출액은 38조2천988억 원이다. 단순 계산 시 최대 1조 원대 과징금이 책정될 수 있다.

기업 책임에 대한 판단 결과는 손해배상 소송에도 직·간접적인 영향을 줄 수 있다.

위더피플 법률사무소는 지난 달 국내 주주들을 대리해 미국 워싱턴 서부 연방법원에 쿠팡Inc를 비롯해 김범석 의장 등 주요 임원을 대상으로 주주 기망 집단소송(Class Action)을 제기했다.

이들은 대규모 개인정보 유출 사태 여파로 쿠팡 주가가 급락하면서 손실을 봤고, 쿠팡 측이 이와 관련해 허위 정보나 부실한 내용을 공시했다고 주장했다.

쿠팡 정보 유출 피해자들은 이달 뉴욕 동부연방법원에 쿠팡 모회사인 쿠팡Inc와 김범석 의장을 상대로 손해배상을 청구하는 소송을 제기했다.

소송을 대리하는 한국 법무법인 대륜의 현지 법인인 미국 로펌 SJKP는 전체 손해배상 규모를 간접적으로 예측하기 위해 유사한 대규모 사건을 참고할 필요가 있다고 했다.

대표적으로 신용평가사 에퀴팩스(Equifax)는 1억4천700만 명의 정보 유출 사고로 7억 달러 배상에 합의해야 했고, T모바일은 고객 개인정보 유출로 합의금 3억5천만달러를 냈다.

◇쿠팡, 조사단 누락 내용 언급하면서 관리 부실 지적에는 침묵

민관합동조사단의 발표 이후에도 쿠팡은 여전히 개인정보가 외부에서 활용된 사실이 확인되지 않았다거나 문제 직원의 국적을 굳이 언급하는 등 책임있는 모습과는 거리를 보였다.

쿠팡은 전날 입장문에서 "지난해 중국 국적의 전(前) 직원이 3천300만 개 이상의 고객 계정이 포함된 데이터에 부적절하게 접근해 약 3천 개 계정의 정보를 저장했다"며 "국내에서 거주하던 해당 직원은 스스로 작성한 소프트웨어 프로그램으로 약 1억4천만 회의 자동 조회를 수행했다"고 했다. 그러면서 "해당 데이터가 추가로 제삼자에 의해 열람되거나 활용된 정황은 없다"고 밝혔다.

또한 쿠팡은 공격자가 접근한 계정 정보 중 공용현관 출입코드가 포함된 사례는 2천609건이었으나, 해당 내용이 조사단의 보고서상 누락되어있다고 지적했다.

이어 "전 직원은 결제 정보, 금융 정보, 사용자 ID 및 비밀번호, 정부 발급 신분증 등 고도 민감 고객 정보에 접근하지 않았다"며 "이러한 사실은 클라우드 플랫폼 제공 업체인 아카마이(Akamai)의 보안 로그를 통해 검증되었다"고 설명했다.

다만 쿠팡 측은 관리 부실 지적과 관련해서는 별도 입장을 밝히지 않았다.

sijung@yna.co.kr

<저작권자 (c) 연합인포맥스, 무단전재 및 재배포 금지, AI 학습 및 활용 금지>본 기사는 인포맥스 금융정보 단말기에서 09시 09분에 서비스된 기사입니다.

Copyright © YONHAPINFOMAX