e경제일보 - 경제의 새로운 지평을 여는 웹4.0 선도 미디어

e경제일보 - 정확한 뉴스와 깊이 있는 분석

검색

패밀리 사이트: 아주일보; 베트남

회원서비스: 로그인; 회원가입; 지면보기; 네이버블로그

2026.03.04 수요일

맑음 서울 7˚C

맑음 부산 9˚C

맑음 대구 7˚C

맑음 인천 5˚C

맑음 광주 5˚C

맑음 대전 5˚C

구름 울산 6˚C

구름 강릉 3˚C

흐림 제주 9˚C

검색결과 총 32건

쿠팡Inc, 개인정보 유출 3300만개 중 20만개 대만 계정 확인 [이코노믹데일리] 쿠팡의 모회사인 쿠팡Inc가 대규모 개인정보 유출 사건과 관련해 전체 유출 계정 중 일부가 해외 계정으로 확인돼면서 파장이 일고 있다. 회사 측은 사건 경위와 유출 범위를 공개하며 재발 방지 대책 마련에 나섰지만 과거에도 유사한 개인정보 논란이 반복됐다는 점에서 이용자 불안은 쉽게 가라앉지 않는 분위기다. 25일 쿠팡Inc에 따르면 지난해 11월 29일 발생한 내부 직원의 무단 접근 사건으로 노출된 계정 3300만개 가운데 약 20만개는 대만 소재 계정인 것으로 확인됐다. 해당 직원은 권한을 악용해 대규모 고객 정보에 접근했으며 이 중 실제로 외부에 저장한 데이터는 1개 계정으로 파악됐다. 다만 한국과 대만을 합산해 외부 저장이 확인된 계정은 총 3000개에 달하는 것으로 집계됐다. 대만 계정 20만개에서 접근된 정보에는 이름, 이메일 주소, 전화번호, 배송지 주소, 일부 주문 내역 등이 포함됐다. 쿠팡Inc 측은 금융 정보나 결제 데이터, 비밀번호 등 민감 정보는 유출되지 않았다고 강조했다. 이어 쿠팡Inc는 "맨디언트 등 제3자 포렌식 및 사이버보안 전문가들은 고도 민감 정보가 대만을 포함해 그 어느 지역에서도 유출된 바 없다고 확인했다"고 덧붙였다. 현지 대응도 진행 중이다. 쿠팡 대만 법인은 피해 고객에게 개별 통보를 실시하고 보상 차원의 구매 이용권을 다음 달 8일부터 지급할 예정이다. 또한 관련 법에 따라 필요한 책임과 의무를 다하겠다고 설명였다. 그러나 쿠팡의 개인정보 보호 논란은 이번이 처음이 아니다. 앞서 2021년에는 배송기사 앱을 통한 고객 정보 노출 문제가 제기됐고 2023년에도 내부 시스템 관리 미흡으로 일부 고객 정보 접근 가능성이 제기된 바 있다. 당시에도 회사는 실제 외부 유출은 없었다고 해명했지만 개인정보 관리 체계 전반에 대한 우려가 꾸준히 제기돼 왔다. 특히 이번 사건은 외부 해킹이 아닌 내부 직원의 권한 남용으로 발생했다는 점에서 관리·감독 책임 문제가 더욱 부각되고 있다. 전문가들은 내부 통제 시스템과 접근 권한 관리, 이상 징후 탐지 체계 강화가 필요하다고 지적한다. 국내외 전자상거래 시장에서 쿠팡의 영향력이 커진 만큼 방대한 고객 데이터를 안전하게 관리할 책임도 커졌다는 평가다. 이용자 신뢰가 핵심 경쟁력인 플랫폼 기업 특성상 개인정보 보호 체계의 신뢰 회복이 향후 사업 지속성에도 중요한 변수로 작용할 전망이다.
2026-02-25 11:08:44
고배당기업, 배당 결의 후 '밸류업 공시' 작성해야 세제 혜택 [이코노믹데일리] 앞으로 고배당기업은 정기주주총회에서 이익배당을 결의한 다음 날까지 한국거래소 상장공시제출시스템에 과세특례 요건을 모두 갖췄음을 보여주는 실적을 포함해 기업가치 제고계획(밸류업) 공시를 작성해야 한다. 24일 금융위원회는 이 같은 내용이 담긴 조세특례제한법 시행령 개정안이 이날 국무회의에서 의결됐다고 밝혔다. 앞서 지난해 12월 조세특례제한법이 개정됨에 따라 주식 배당소득 분리과세가 도입됐다. 해당 법 개정안은 배당소득 과세특례 대상기업(고배당기업)이 특례 요건을 모두 갖췄음을 대통령령이 정하는 방법으로 공시하도록 위임했다. 이날 국무회의에서 의결된 동법 시행령 개정안은 고배당기업의 공시방법으로 '기업가치 제고계획 공시'를 따르도록 규정하고 있다. 기업가치 제고계획 공시는 상장기업이 개별 특성에 따라 자체적으로 작성하는 공시인만큼 배당 관련 실적 외에 어떤 항목을 포함할지, 어느 정도 분량으로 서술할지 등의 작성 내용은 원칙적으로 기업의 선택에 따른다. 올해는 고배당기업의 기업가치 제고계획 공시 첫 해임을 감안해 배당소득 특례요건 충족 사실, ROE·배당성향 목표, 자본적지출(CAPEX) 목표와 같은 핵심 내용만 공시 본문에 기재하는 등 기존의 기업가치 제고계획보다 간소화된 약식 공시도 허용한다. 한국거래소는 고배당 기업의 공시를 지원하기 위해 기업가치 제고계획 공시서식과 기재상 주의사항을 개정하고, 공시에 참고할 수 있는 약식공시 사례를 기업가치 제고계획 가이드라인 해설서에 반영할 계획이다. 또한 두 차례의 온라인 설명회(3월 4·9일) 개최, 이메일 발송, 거래소 상장공시시스템(KIND) 팝업창 안내 등을 통해 고배당기업이 빠짐없이 공시에 참여할 수 있도록 충실히 안내한다. 이와 함께 3월 말 상장기업들의 주주총회가 집중돼 있음을 감안해 고배당 기업을 대상으로 한달 간 1대1 공시 컨설팅을 제공하는 등 기업가치 제고계획 공시 작성을 적극 지원해 나갈 예정이다. 이번 조세특례제한법 시행령 개정으로 세제 혜택과 기업가치 제고계획 공시가 연계됨에 따라 상장기업들의 기업가치 제고계획 공시 참여가 대폭 제고될 것으로 예상된다. 아울러 기업들이 기업가치 제고계획을 통해 주주 및 시장참여자와 적극 소통하는 과정에서 주주가치를 존중하는 기업 경영문화가 시장에 한층 더 깊게 뿌리 내릴 것으로 관측된다. 금융위 관계자는 "배당을 통해 주주환원에 힘쓴 우수한 기업들이 기업가치 제고계획 공시를 통해 시장에서 적정한 평가를 받게 되고, 이는 기업의 원활한 자금 조달과 재투자로 이어져 기업·투자자·시장 모두가 동반 성장하는 자본시장의 선순환 체계 구축에도 기여할 것"이라고 말했다.
2026-02-24 16:52:33
국세청이라더니 일본 도메인 메일…연말정산 노린 '시즌형 피싱' 주의보 [이코노믹데일리] 정부·금융기관을 사칭한 피싱 메일이 해마다 비슷한 수법으로 반복되며 기승을 부리고 있다. 공공기관 명칭과 로고를 앞세운 이른바 '고전형 피싱'이지만 연말정산과 세금 신고 등 특정 시기와 맞물리면 여전히 적지 않은 이용자들이 피해 위험에 노출되고 있다. 9일 일부 이용자에게 발송된 '국세청(National Tax Service)'를 명칭으로 내건 메일은 발신 주소가 일본 개인 도메인 계정으로 확인된다. 전형적인 피싱 사례로 실제 국세청과 무관한 메일이지만 연말·연초 세금 신고 시기와 맞물리면 매년 비슷한 방식으로 재등장하는 것이 특징이다. 이번 메일은 '세금 환급', '미납 세금 안내', '계정 확인 요청' 등의 문구로 수신자의 불안을 자극한 뒤 링크 클릭이나 개인정보 입력을 유도하는 구조로 설계됐다. 국세청을 의미하는 영문 명칭을 사용하고 공공기관 로고를 흉내 내 신뢰도를 높이지만 발신 주소가 국세청 공식 도메인과 전혀 무관하다는 점에서 피싱 여부를 쉽게 가려낼 수 있다. 공공기관이 해외 개인 메일 계정으로 안내 메일을 발송하는 일은 없다는 점이 핵심적인 판단 기준이다. 이 같은 수법은 단발성이 아니라 '시즌형 피싱'에 가깝다. 세금 신고, 연말정산, 환급 신청 등 특정 시기에 맞춰 거의 동일한 문구와 형식을 바꿔가며 반복된다. 최근 안랩이 발표한 '2025년 4분기 피싱 문자 트렌드 보고서'에 따르면 지난해 4분기 가장 많이 발생한 피싱 공격 유형은 금융기관 사칭으로 전체의 46.93%를 차지했다. 정부·공공기관 사칭 역시 16.93%로 두 번째로 높은 비중을 기록했다. 국세청, 건강보험공단, 경찰청 등 공공기관 명칭을 내세운 피싱은 특정 분기마다 반복적으로 등장하는 대표 유형으로 분류된다. 특히 금융기관 사칭 피싱은 직전 분기 대비 343.6% 증가하며 급증했다. '카드 발급 완료', '거래 내역 확인' 등과 마찬가지로 공공기관 사칭 역시 '미확인 내역', '즉시 조치 필요' 같은 표현을 사용해 사용자의 불안 심리를 자극한다. 문자나 메일 본문에 포함된 링크를 클릭하면 가짜 홈페이지로 연결되거나, 허위 고객센터 번호로 전화를 유도해 개인정보를 탈취하는 방식이다. 실제 공공기관 안내와 혼동해 무심코 링크를 누를 가능성이 높고 특히 이메일 주소, 계좌 정보, 인증번호 입력을 요구하는 순간 이미 피해로 이어질 수 있다. 국세청을 비롯한 정부 기관은 세금 관련 안내를 메일로 하더라도 개인정보 입력이나 외부 링크 클릭을 요구하지 않는다. 익숙한 사칭, 반복되는 수법일수록 경계심을 낮추지 않는 것이 무엇보다 중요해지고 있다. 안랩은 "피싱 문자 공격은 꾸준히 진화하고 있지만 금전·구직 등 관심도가 높은 이슈나 사용자의 일상과 밀접한 계절적 소재를 활용하기 때문에 작년과 유사한 패턴이 올해에도 이어질 수 있다"며 "설 연휴를 앞둔 만큼 가족과 지인에게 대표적인 피싱 수법을 미리 공유하며 경각심을 높인다면 피해를 충분히 예방할 수 있을 것"이라고 설명했다.
2026-02-09 10:52:33
개인정보 유출 책임 물었다…개보위, 한국연구재단 7억·티머니 5억 과징금 부과 [이코노믹데일리] 개인정보보호위원회가 대규모 개인정보 유출 사고를 일으킨 한국연구재단과 티머니에 대해 총 12억원에 해당하는 과징금을 부과했다. 한국연구재단과 티머니에 해킹 피해를 막지 못한 일부 과실이 있다고 판단한 것으로 풀이된다. 29일 개인정보보호위원회에 따르면 지난 28일 제2회 전체회의를 열고 개인정보 보호 법규를 위반한 한국연구재단에 과징금 7억300만원과 과태료 480만원을 부과하고 처분 결과를 개인정보위와 연구재단 홈페이지에 공표하기로 의결했다. 개인정보위 조사 결과 한국연구재단이 운영하는 온라인 논문 투고 시스템 'JAMS'에서는 지난해 6월 6일 해커가 '비밀번호 찾기' URL에 존재하던 취약점을 악용해 회원 약 12만명의 개인정보를 열람한 것으로 확인됐다. 성명과 ID, 이메일, 휴대전화번호, 계좌번호 등 총 44개 항목이 유출됐다. 해당 취약점은 지난 2013년부터 존재했지만 장기간 탐지·개선되지 않았고 연구재단은 JAMS 포털만 점검한 후 1600여개 학회 페이지에 대해서는 취약점 점검을 실시하지 않은 것으로 나타났다. 또한 개인정보위는 한국연구재단이 유출 사실을 통지하면서 휴대전화번호와 계좌번호, 연구자등록번호 등 주요 유출 항목을 누락해 통지하는 등 대응도 미흡했다고 지적했다. 일부 회원이 임의로 기재한 주민등록번호 116건이 함께 유출됐음에도 사전 탐지 이후 후속 조치를 하지 않은 점도 문제점으로 파악됐다. 해킹 이후에도 충분한 보안 개선 없이 시스템을 운영하다 회원 명의 도용이라는 2차 피해까지 발생한 것으로 알려졌다. 개인정보위는 이날 '개인정보 보호법'에 따른 안전조치 의무를 위반한 티머니에 대해서도 과징금 5억3400만원을 부과하고 시정명령과 공표 명령을 의결했다. 티머니는 지난해 3월 13일부터 25일까지 '티머니 카드&페이' 웹사이트에서 발생한 '크리덴셜 스터핑' 공격으로 5만1691명의 개인정보를 유출했다. 개인정보위의 조사에 따르면 해커는 국내외 9647개 IP 주소를 이용해 1200만회가 넘는 로그인 시도를 감행했고 이 중 5만1691개 계정에 로그인해 개인정보가 포함된 페이지에 접근했다. 이 과정에서 4131개 계정의 잔여 'T마일리지' 약 1400만원이 탈취되는 추가 피해도 발생했다. 개인정보위는 비정상적인 대량 로그인 시도라는 명백한 이상 징후가 있었음에도 침입 탐지와 차단 조치가 제대로 이뤄지지 않았다고 판단했다. 개인정보위는 관련 부처에 JAMS 관리·운영 실태 점검을 강화하고 산하 기관의 적극적인 개인정보 보호 투자 유인을 마련할 수 있도록 해 줄 것을 요청했다. 또한 최근 크리덴셜 스터핑 해킹 공격이 빈번하게 발생하는 것으로 분석돼 비정상 접속 등 이상행위에 대한 침입 탐지·차단 조치를 포함한 보안대책을 점검·강화할 것을 당부했다.
2026-01-29 16:24:14
티웨이항공, 싱가포르 여행객에 '조호르바루' 셔틀버스 티켓 무료 증정 [이코노믹데일리] 티웨이항공이 내년 3월 31일까지 홈페이지에서 인천-싱가포르, 제주-싱가포르 노선 항공권을 예약하는 승객들에게 싱가포르-말레이시아 조호르바루 셔틀버스 티켓을 제공한다. 30일 티웨이항공에 따르면 이번 이벤트 참여 대상은 티웨이항공 싱가포르 노선을 예약한 승객 중 싱가포르 비거주자다. 무료 셔틀버스 신청 페이지에서 티켓 교부 신청서를 작성해 온라인으로 제출하면 된다. 티켓 교부 신청서는 싱가포르 창이공항 도착 최대 30일 전부터 최소 72시간 전까지 제출해야 한다. 신청서를 제출한 후에는 이메일 발신자명 'Transtar'로부터 티켓이 발송되며, 싱가포르 창이공항 1터미널 혹은 4터미널의 TS1 셔틀버스 정류장에서 운전 기사에게 전자 티켓을 제시 후 버스에 탑승하면 약 2시간 후 말레이시아 조호르바루에 도착할 수 있다. 티웨이항공 관계자는 "티웨이항공을 이용해 싱가포르 여행을 계획하는 분들이 다채로운 여행 경험을 할 수 있도록 이벤트를 준비했다"며 "안전 운항을 최우선으로 편의 증진을 위해 지속적으로 노력하겠다"고 말했다.
2025-12-30 10:44:23
쿠팡 "유출자 검거, 유출 정황 없다"…정부 즉각 반발 [이코노믹데일리] 쿠팡이 개인정보 유출 사태와 관련해 유출자를 특정했고 노트북과 하드 드라이브 등을 회수했다고 전했다. 이에 정부는 일방적 발표라며 반발하고 있다. 26일 업계에 따르면 쿠팡은 지난 25일 개인정보 유출 사태와 관련해 유출자를 특정했고 고객 정보 유출에 사용된 모든 장치와 하드 드라이브를 회수해 확보했다고 밝혔다. 쿠팡은 디지털 지문 등 포렌식 증거를 활용해 전직 직원을 특정했으며 유출자가 범행을 자백하고 접근 방식과 저장 범위를 구체적으로 진술했다고 설명했다. 쿠팡에 따르면 유출자는 재직 중 취득한 내부 보안 키를 탈취해 퇴사 후 3300만개 계정의 기본 고객 정보에 접근했다. 다만 실제로 저장한 정보는 약 3000개 계정에 한정됐고 저장 정보에는 이름, 이메일, 전화번호, 주소 일부, 주문 정보가 포함됐다. 공동현관 출입번호는 2609개가 포함됐고 결제 정보, 로그인 관련 정보, 개인통관고유번호 접근은 없었다는 게 쿠팡 측 설명이다. 쿠팡은 유출자가 개인용 데스크톱PC와 맥북 에어를 사용해 불법 접근을 수행했고 데스크톱PC와 하드 드라이브 4개에서 공격 스크립트를 발견했다고 전했다. 쿠팡에 따르면 유출자는 언론 보도 이후 저장 정보를 삭제했고 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 있는 에코백에 넣고 벽돌을 채워 인근 하천에 던졌다고 진술했다. 유출자가 제공한 지도와 설명을 바탕으로 잠수부들은 해당 하천에서 노트북을 건져냈으며 유출 정보를 제3자에 전송한 정황은 없었다고 쿠팡은 주장했다. 쿠팡은 사건 초기부터 맨디언트, 팔로알토네트웍스, 언스트앤영 등 글로벌 보안업체 3곳에 포렌식 조사를 의뢰했고 현재까지 결과가 유출자 진술과 부합한다고 말했다. 또 쿠팡은 향후 조사 경과에 따라 안내를 이어가고 고객 보상 방안도 조만간 별도로 발표하겠다는 입장이다. 정부는 쿠팡 자체 조사 발표 직후 불쾌감을 드러냈다. 과학기술정보통신부는 "민관합동조사단에서 조사 중인 사항을 쿠팡이 일방적으로 대외에 알린 것에 대해 쿠팡에 강력히 항의했다"며 "쿠팡이 주장하는 사항은 민관합동조사단에 의해 확인되지 않았다"고 밝혔다. 현재 공정거래위원회는 쿠팡 영업정지를 검토 중이며 국세청은 조사 4국을 파견해 세무 조사를 진행 중이다.
2025-12-26 08:49:11
쿠팡 "개인정보 유출 전직 직원 자백… 외부 전송은 없는 것으로 확인" [이코노믹데일리] 쿠팡은 최근 발생한 개인정보 유출 사건과 관련하여 포렌식 증거를 토대로 유출자인 전직 직원을 특정했으며 탈취에 사용된 장비 일체를 회수하고 외부 전송은 없었음을 확인했다고 25일 밝혔다. 쿠팡은 이날 발표한 보도자료를 통해 "디지털 지문 등 포렌식 증거를 활용해 유출자를 특정했다"며 "해당 직원은 행위 일체를 자백하고 구체적인 정보 접근 방식에 대해 진술했다"고 설명했다. 보안업체와 쿠팡의 합동 조사 결과에 따르면 유출자는 재직 시 확보한 내부 보안 키를 이용해 고객 계정 3300만 개의 기본 정보에 접근했다. 이 중 실제 기기에 저장된 정보는 약 3000개 계정이다. 유출 항목에는 이름, 이메일, 전화번호, 주소, 일부 주문정보가 포함됐으며 공동현관 출입번호 2609개도 포함된 것으로 드러났다. 다만 결제 정보나 로그인 정보, 개인통관고유번호에 대한 접근은 없었던 것으로 조사됐다. 유출자는 사건 보도 직후 저장했던 정보를 모두 삭제했다고 진술했다. 쿠팡은 유출자가 범행에 사용한 뒤 파손해 하천에 버린 노트북을 수색 끝에 회수했으며 해당 기기의 일련번호가 유출자의 아이클라우드 계정과 일치하는 것을 확인했다. 또한 회수된 데스크톱 PC와 하드디스크 4개를 분석한 결과 공격에 쓰인 스크립트 등 물증도 확보했다. 쿠팡은 맨디언트, 팔로알토 네트웍스 등 글로벌 보안업체에 의뢰해 조사를 진행해왔으며 현재까지의 조사 결과는 유출자의 진술과 부합한다고 강조했다. 쿠팡은 확보된 진술서와 장치 등 관련 자료를 정부 당국에 제출하고 있다. 다만 기업인 쿠팡이 직접 유출자의 진술을 확보하게 된 구체적 경위에 대해서는 "확인해 줄 수 없다"는 입장을 밝혔다. 쿠팡 측은 "이번 사태로 국민들이 겪은 걱정과 불편에 대해 진심으로 사과드린다"며 "향후 조사 경과를 지속적으로 안내하고 조만간 별도의 고객 보상 방안을 발표할 것"이라고 덧붙였다.
2025-12-25 16:45:57
美 IEEPA 관세 상시화…대미 수출기업, 환급 주체가 손익 가른다 [이코노믹데일리] 미국 대통령이 국가 비상사태를 근거로 발동하는 국제비상경제권한법(IEEPA) 관세가 위법 판결 가능성에도 불구하고 사실상 '상시 부담'으로 굳어지고 있다. 이에 따라 관세를 돌려받을 수 있느냐보다 누가 환급을 받느냐가 대미 수출기업의 손익과 비용 구조를 좌우하는 핵심 변수로 떠오른다. 관세 환급이 자동으로 이뤄지는 제도가 아닌 만큼 환급 청구 주체와 계약·거래 조건에 따라 실제 회수 여부가 달라질 수 있다는 지적이 나온다. 19일 서울 삼성동 코엑스에서 한국무역협회 주최로 개최된 '미국 IEEPA 관세 소송 전망 및 관세 환급 대응전략 설명회'에서는 미국 연방대법원의 판결 방향과 별개로 기업들이 사후 환급을 염두에 둔 선제적 준비에 나서야 한다는 의견이 잇따랐다. 전문가들은 판결 결과만 기다리다 대응 시기를 놓칠 경우 환급 가능성이 있어도 실질적인 비용 회수가 어려워질 수 있다고 경고했다. 이번 논의는 트럼프 2기 행정부가 지난 4월 무역적자와 국가 안보를 이유로 국제비상경제권한법(IEEPA)에 따라 관세를 부과한 데 대해 미국 법원이 위법 판단을 내리면서 촉발됐다. 해당 관세 조치의 효력이 연방대법원 최종 판단을 앞둔 상황에서 위법 판결이 확정될 경우 올해 납부된 관세의 환급 가능성이 거론되자 기업들의 대응 전략에 관심이 쏠리고 있다. 장상식 한국무역협회 국제무역통상연구원장은 개회사에서 "미국의 IEEPA 관세를 둘러싼 소송이 연방대법원 최종 판단을 앞두면서 판결 이후 관세 환급 가능성을 염두에 둔 기업들의 문의가 크게 늘고 있다"며 "이번 설명회는 소송 결과를 예단하기보다 판결 이후를 대비해 기업들이 무엇을 준비해야 하는지를 점검하기 위해 마련됐다"고 말했다. 그는 이어 "기업마다 거래 구조와 관세 납부 시점이 달라 일률적인 해법을 제시하기는 어렵지만 각 기업이 스스로 판단하고 대응할 수 있는 기준과 방향을 제시하는 데 초점을 맞췄다"고 설명했다. 조성대 한국무역협회 통상연구실장은 "연방대법원의 최종 판결 결과는 누구도 단정할 수 없는 상황"이라며 "환급 가능성만을 전제로 대응을 미루기보다는 정산 시점과 환급 절차를 감안해 사전에 준비하지 않으면 기업들이 혼란을 겪을 수 있다"고 말했다. 이어 "관세 환급은 자동으로 이뤄지는 제도가 아닌 만큼 통관 정보와 계약 구조, 증빙 자료를 미리 점검해둘 필요가 있다"고 밝혔다. 윤영원 법무법인 세종 파트너 변호사는 관세 환급 청구 자격이 수입 신고 주체인 '임포터 오브 레코드(Importer of Record)'에 귀속되는 구조를 짚으며 "한국 수출기업이 관세를 실질적으로 부담했더라도 미국 내 수입자가 신고 주체라면 환급금은 해당 수입자에게 먼저 귀속될 수 있다"고 설명했다. 그는 "관세를 누가 실제로 부담했는지와 관계없이 관세 신고서상 신고 주체가 누구인지가 환급 청구 자격을 결정한다는 점을 기업들이 간과하는 경우가 많다"며 구조적 오해를 지적했다. 그는 이어 "계약서나 이메일 등으로 관세 부담 주체와 환급금 귀속에 대한 합의가 명확히 남아 있지 않다면 환급이 이뤄지더라도 그 금액이 한국 기업으로 돌아오지 않을 수 있다"며 "향후 환급 가능성을 염두에 두고 수출 거래 내역과 계약 구조, 관세 부담 합의 과정을 사전에 정리해둘 필요가 있다"고 강조했다. 관세 정산 시점에 따른 절차 차이도 기업 부담을 가르는 핵심 변수로 제시됐다. 윤영원 변호사는 "관세 통관 이후 약 314일을 기준으로 정산이 이뤄지는데 정산 이전에는 신고서를 정정하는 방식(PSC)을 통해 상대적으로 간편하고 저비용으로 환급을 신청할 수 있다"면서도 "정산 이후에는 이의제기(프로테스트) 절차를 거쳐야 해 행정 절차가 복잡해지고 시간과 비용 부담이 커질 수 있다"고 말했다. 그는 "같은 환급이라도 정산 시점을 기준으로 대응 방식이 달라지기 때문에 통관일과 정산 예정 시점을 미리 파악해 두는 것이 중요하다"고 덧붙였다. 존 레너드 김앤장 법률사무소 고문(전 미국 관세국경보호청 부국장)은 환급 집행 자체의 기술적 난이도보다는 제도적 불확실성을 짚었다. 존 레너드는 "환급 집행 자체는 CBP(관세국경보호청) 시스템상 큰 기술적 어려움이 있는 사안은 아니다"라면서도 "실제 환급 여부는 법원 판결과 행정부 대응, 관세 정산 절차가 복합적으로 맞물린 결과가 될 것"이라고 설명했다. 그는 이어 "법원 판단이 나오더라도 환급이 자동으로 이뤄지는 구조는 아닌 만큼 기업이 사전에 준비하지 않으면 환급 절차에서 소외될 수 있다"며 "대법원 판결 이후에도 환급 범위와 방식에 대한 불확실성이 남아 있는 만큼 기업 차원의 사전 점검과 준비가 필요하다"고 강조했다. 업계에서는 IEEPA 관세가 단순한 통상 이슈를 넘어 계약 구조, 증빙 관리, 법무·회계 대응 역량에 따라 기업 간 손익 격차를 확대하는 구조적 리스크로 작용하고 있다는 평가가 나온다. 관세 부담이 고정비처럼 누적되는 환경에서 사후 환급과 소송 대응을 포함한 통상 리스크 관리가 대미 수출기업의 재무 전략 일부로 편입되고 있다는 분석이다.
2025-12-19 18:08:52
개보위, 개인정보 유출 2K 게임즈·부산국제금융진흥원에 과징금 3억 부과 [이코노믹데일리] 허술한 보안 관리로 해킹과 랜섬웨어 피해를 입어 이용자 개인정보를 유출하거나 훼손한 기업과 기관이 정부의 제재를 받았다. 개인정보보호위원회(이하 개인정보위)는 지난 10일 제26회 전체회의를 열고 개인정보보호법을 위반한 미국 게임사 2K 게임즈(2K Games)와 부산국제금융진흥원에 총 2억8991만원의 과징금과 1080만원의 과태료를 부과하기로 의결했다고 11일 밝혔다. 2K 게임즈는 안전조치 의무와 유출 통지 및 신고 의무를 위반해 1억9451만원의 과징금과 720만원의 과태료 처분을 받았다. 조사 결과 해커는 2K 게임즈의 헬프데스크 관리자 계정 정보를 탈취해 시스템에 무단 접속했으며 이 과정에서 한국 이용자 1만2906명을 포함한 전 세계 400만명의 이름과 이메일 및 IP 주소 등이 유출된 것으로 드러났다. 개인정보위는 2K 게임즈가 2011년부터 헬프데스크를 운영하면서 관리자 페이지 접속 시 아이디와 비밀번호 외에 별도의 안전한 인증 수단을 적용하지 않은 점을 지적했다. 또한 2K 게임즈는 2022년 9월 28일 유출 사실을 인지하고도 정당한 사유 없이 24시간을 넘겨 10월 8일에야 신고하는 등 대응이 지연된 사실도 확인됐다. 부산국제금융진흥원은 내부 보안 소홀로 랜섬웨어 공격을 허용해 개인정보를 훼손한 혐의로 과징금 9540만원과 과태료 360만 원을 부과받았다. 해커는 지난 6월 진흥원 업무관리시스템에 무차별 대입 공격(Brute Force Attack)을 시도해 로그인에 성공한 뒤 서버 내 파일을 암호화하고 협박 메시지를 남겼다. 이로 인해 임직원 등 177명의 주민등록번호가 포함된 데이터가 복구 불가능한 상태로 훼손됐다. 조사 결과 진흥원은 2020년 4월부터 업무 시스템을 운영하면서 방화벽 같은 필수 보안 장비를 설치하지 않았고 윈도 운영체제 보안 업데이트조차 최신 상태로 유지하지 않은 것으로 밝혀졌다. 특히 민감한 고유식별정보인 주민등록번호를 암호화하지 않고 평문으로 저장해 피해를 키웠다는 비판을 피하기 어렵게 됐다. 이번 처분은 랜섬웨어 감염으로 데이터가 암호화되어 사용할 수 없게 된 경우를 ‘개인정보 훼손’으로 명확히 규정하고 제재했다는 점에서 의미가 크다. 개인정보위는 유출 여부가 불분명하더라도 정상적인 서비스 제공이 불가능해진 상태를 법적 처벌 대상으로 재확인했다. 개인정보위 관계자는 "개인정보 데이터베이스 등 중요 파일은 주기적으로 백업하여 별도 보관해야 하고 관리자 페이지 접속 시에는 OTP 등 2차 인증 수단을 반드시 적용해야 한다"고 강조했다.
2025-12-11 12:07:34
쿠팡, '정보 노출→유출'로 정정…"사칭 스미싱·피싱 문자 주의" [이코노믹데일리] 쿠팡이 최근 발생한 개인정보 유출과 관련해 정부 요구에 따라 통지 문구를 정정하고, 스미싱·피싱 등 2차 피해 방지를 위해 이용자 주의를 재차 안내했다. 8일 업계에 따르면 쿠팡은 전날 공지문에서 “새로운 유출 사고는 없었다”며 “앞서 11월 29일부터 안내해 드린 개인정보 유출 사고에 대해 사칭, 피싱 등 추가피해 예방을 위한 주의사항을 안내해 드리는 것”이라고 밝혔다. 쿠팡은 사고 인지 직후 관련 기관에 즉시 신고했으며, 현재 과학기술정보통신부·경찰청·개인정보보호위원회·한국인터넷진흥원·금융감독원 등과 공동 조사에 참여 중이다. 쿠팡은 “현재까지 고객의 카드·계좌번호, 비밀번호, 개인통관부호 등 결제·로그인 관련 정보는 유출되지 않았다”며 “경찰청도 전수조사 결과, 쿠팡에서 유출된 정보를 이용한 2차 피해 의심 사례는 현재까지 확인되지 않았다”고 전했다. 해당 공지문은 쿠팡 홈페이지와 함께 개인정보가 유출된 고객 약 3370만명에게 문자 안내를 별도로 발송했다. 개인정보보호위원회는 지난 3일 쿠팡에 ‘노출’로 표기된 기존 통지를 ‘유출’로 수정하고, 실제 유출 항목을 모두 반영해 재통지할 것을 요구했다. 이는 회사가 비정상 접속으로 고객 정보가 외부로 유출된 정황을 확인하고도 통지 제목에 노출이라는 표현을 사용한 점에 대한 지적에 따른 조치다. 쿠팡은 유출된 항목을 고객 이름, 이메일 주소, 배송지 주소록(연락처·주소·공동현관 출입번호 포함), 일부 주문정보라고 설명했다. 쿠팡은 “이번 사고 발생 직후 비정상 접근 경로를 즉시 차단했으며, 내부 모니터링을 한층 더 강화했다”고 강조했다. 이용자 대상 안내도 강화했다. 쿠팡은 “전화나 문자로 애플리케이션 설치를 요구하지 않는다”며 “사칭 메시지를 통한 스미싱·피싱 시도가 있을 수 있으므로 출처가 확인되지 않는 링크는 클릭하지 말고 즉시 삭제할 것을 권고한다”고 말했다. 의심스러운 연락을 받을 경우 112 또는 금융감독원 신고를 안내하고, 금융거래 안심차단 서비스 활용을 제시했다. 또한 공동주택·공동현관 출입번호 등 민감 정보가 주소록에 저장돼 있는 경우 보안을 위해 변경을 권장한다는 안내도 함께 이뤄졌다.
2025-12-08 09:29:05
쿠팡발 스미싱 공포..."새벽에 나 몰래 로그인?"… 개인정보 유출 확인, '이것'부터 챙겨라 [이코노믹데일리] 쿠팡발 대규모 개인정보 유출 사태가 일파만파 커지면서 소비자들의 불안감이 극에 달하고 있다. 온라인 커뮤니티와 소셜미디어(SNS)에는 "사용하지 않는 새벽 시간대에 로그인 기록이 있다"거나 "갑자기 스미싱 문자가 폭주한다"는 제보가 잇따르고 있다. 이에 정부와 보안 업계는 개인이 직접 유출 여부를 점검하고 2차 피해를 예방할 수 있는 구체적인 행동 요령을 제시했다. 우선 정부가 제공하는 공식 조회 서비스를 활용하는 것이 첫걸음이다. 한국인터넷진흥원(KISA)이 운영하는 '털린 내 정보 찾기 서비스'는 사용자의 아이디와 비밀번호 등 계정 정보가 다크웹과 같은 불법 경로로 유통되고 있는지 확인할 수 있는 유용한 도구다. 다만 이번 쿠팡 사태처럼 이름, 전화번호, 이메일 등 일반 개인정보가 유출된 경우에는 해당 기업이 정부에 신고한 내용을 바탕으로 확인이 진행된다. 따라서 이용자는 기업의 공식 공지 사항이나 유출 확인 페이지를 수시로 체크하고 불확실한 경우 국번 없이 118(KISA 상담센터)로 전화해 문의하는 것이 가장 빠르다. 쿠팡 측은 현재 "신용카드 번호 등 결제 정보와 비밀번호는 유출되지 않았다"고 선을 그었으나 이름과 배송지 주소, 연락처 등이 빠져나간 만큼 이를 악용한 범죄 가능성은 여전하다. 이 때문에 플랫폼 자체 '로그인 이력' 점검이 무엇보다 중요하다. 해커가 탈취한 정보를 이용해 계정에 접근했는지 파악할 수 있는 가장 확실한 증거가 되기 때문이다. 쿠팡을 비롯해 네이버, 카카오, 구글 등 대다수 플랫폼은 보안센터 메뉴를 통해 최근 로그인 시간, 접속 지역, 사용 기기 목록을 투명하게 공개하고 있다. 만약 본인이 이용하지 않은 시간대에 접속 기록이 있거나 낯선 해외 IP 접속 흔적이 발견된다면 계정 탈취를 강력히 의심해야 한다. 보안 전문가들은 "의심 정황이 포착되는 즉시 비밀번호를 변경하고 OTP(일회용 비밀번호)나 인증 앱을 활용한 '2단계 인증'을 활성화해야 한다"며 "등록된 기기 목록에서 내가 쓰지 않는 기기는 과감히 차단(로그아웃)하는 것이 기본"이라고 조언했다. 스미싱(문자 결제 사기) 문자가 급증하는 현상도 정보 유출의 강력한 간접 신호다. 통상 대형 개인정보 유출 사고가 발생하면 직후 1~3개월간 배송 오류나 환불을 빙자한 스미싱 공격이 폭증하는 경향이 있다. 따라서 모르는 번호로 온 문자의 링크(URL)는 절대 클릭하지 말고 스마트폰 설정에서 '출처를 알 수 없는 앱 설치 차단' 기능을 활성화해 악성 앱 감염을 원천 봉쇄해야 한다. 만약 피해가 현실화됐다면 유형에 따라 신고 창구를 달리해야 신속한 구제를 받을 수 있다. 단순 개인정보 유출 상담이나 신고는 KISA 118 상담센터가 담당한다. 계정 탈취나 스미싱 등 실제 사이버 범죄 피해를 입었다면 경찰청 사이버범죄 신고시스템(ECRM)을 이용해야 하며 계좌가 도용되거나 대출 사기 등 금전적 피해가 발생했다면 금융감독원 불법 금융거래 대응센터에 접수해야 한다. 보안 업계 관계자는 "유출 여부를 100% 완벽하게 차단할 수는 없지만 로그인 기록 점검과 2단계 인증 활성화만으로도 치명적인 피해는 막을 수 있다"며 "소비자 스스로가 보안의 주체가 되어 선제적으로 방어 기제를 구축해야 한다"고 강조했다.
2025-12-06 09:58:30
김경훈 오픈AI 대표, "한국, 인구 대비 챗GPT 사용 1위"… 삼성·SK와 '스타게이트' 협력 가속 [이코노믹데일리] 오픈AI가 한국 시장을 글로벌 인공지능(AI) 확산의 핵심 거점으로 지목하고 국내 기업들의 AI 전환(AX)을 지원하기 위한 본격적인 행보에 나섰다. 오픈AI코리아는 삼성SDS를 첫 공식 리셀러 파트너로 선정하는 한편 삼성·SK그룹과 추진 중인 대규모 AI 인프라 구축 프로젝트인 '스타게이트'에 대해서도 협력을 지속하고 있음을 공식화했다. 김경훈 오픈AI코리아 총괄 대표는 4일 서울 중구 웨스틴조선호텔에서 취임 후 첫 기자 간담회를 열고 한국 시장 전략과 비전을 발표했다. 김 대표는 이 자리에서 "한국은 인구당 챗GPT 유료 구독자 수 기준으로 전 세계 1위를 기록하고 있으며 국가별 매출 비중에서도 2위를 차지할 만큼 AI 수용성이 높은 국가"라며 "단순한 기술 공급을 넘어 한국 기업들의 AI 전환을 돕는 최적의 파트너가 되겠다"고 강조했다. 오픈AI가 분석한 데이터에 따르면 한국 사용자들의 챗GPT 활용 패턴은 글로벌 추세와 뚜렷한 차이를 보였다. 전 세계 사용자의 29%가 운동, 건강, 생활 정보 등 실용적 조언을 얻는 데 AI를 활용하는 반면 한국 사용자의 29%는 문서 번역, 계약서 검토, 이메일 작성 등 실제 업무 산출물을 생산하는 데 집중하고 있었다. 업무 효율성을 높이려는 과업 수행 목적의 사용 비중이 월등히 높다는 의미다. 김 대표는 이러한 한국적 특성을 기업용 시장(B2B) 공략의 핵심 동력으로 꼽았다. 그는 "직원들이 이미 챗GPT 활용에 능숙하기 때문에 기업이 '챗GPT 엔터프라이즈' 등을 도입할 때 적응 기간이 매우 짧고 전환 속도가 빠르다"며 "경제적 가치가 큰 업무 대부분이 기업 내부에서 이뤄지는 만큼 기업의 AI 전환을 통해 가장 큰 경제적 효과를 창출할 수 있을 것"이라고 내다봤다. 이를 위해 오픈AI코리아는 삼성SDS와 이달 중 리셀러 파트너 계약을 체결한다. 삼성SDS는 삼성그룹 계열사뿐만 아니라 국내 다양한 산업군의 고객사에게 오픈AI의 솔루션을 공급하고 기술 지원을 담당하게 된다. 김 대표는 "삼성SDS가 첫 번째 공식 파트너가 될 예정이며 내년 초에도 대형 파트너사들과의 추가 협력을 발표할 것"이라고 밝혔다. 관심을 모았던 삼성·SK그룹과의 글로벌 AI 인프라 협력 프로젝트인 '스타게이트'에 대해서도 구체적인 언급이 나왔다. 김 대표는 "이번 주 본사 스타게이트 팀이 방한해 두 그룹과 미팅을 가졌다"며 "아직 초기 단계이지만 한국의 발전에 도움이 되는 방향으로 논의가 진행되고 있다"고 설명했다. 오픈AI는 삼성전자와 고성능·저전력 메모리 공급 및 해상 데이터센터 구축(삼성물산·삼성중공업) 등에서 협력을 논의 중이며, SK하이닉스와는 고대역폭메모리(HBM) 공급, SK텔레콤과는 AI 데이터센터 구축을 협의하고 있다. 김 대표는 "모델 개발 속도가 빨라지면서 글로벌 인프라 확보가 필수적"이라며 "오픈AI가 직접 대규모 투자를 할 여력은 없기에 삼성, SK, 오라클, 소프트뱅크 등 글로벌 기업들과 힘을 합쳐 인프라를 구축하려는 것"이라고 부연했다. 최근 샘 올트먼 CEO가 사내에 발령한 '코드레드(비상 운영체계)'에 대해서는 우려를 일축했다. 구글 등 경쟁사의 추격에 대응하기 위한 조치라는 해석에 대해 김 대표는 "밤낮없이 일하는 스타트업 특성상 구성원들에게 더 큰 동기부여를 주기 위한 메시지였다"며 "한국 지사 운영이나 국내 파트너십에는 전혀 영향이 없으며 오히려 내부적으로는 자극제가 되고 있다"고 설명했다. 국내 규제 환경인 'AI 기본법'에 대해서도 긍정적인 입장을 내비쳤다. 김 대표는 "정부 관계자들과 만나보면 AI 기술에 대한 이해도가 매우 높다"며 "우려와 달리 법안이 좋은 방향으로 가고 있다고 판단하며 과학기술정보통신부와 긴밀히 소통하며 한국만의 법 체계 안에서 혁신을 지원하겠다"고 말했다. 이날 간담회에서는 실제 오픈AI 기술을 도입해 성과를 내고 있는 기업 사례도 소개됐다. GS건설은 전 직원에게 챗GPT 엔터프라이즈를 배포해 보고서 초안 작성과 기술 검토 시간을 단축했으며 LG유플러스는 오픈AI의 API를 활용해 고객 상담을 지원하는 '에이전틱 콜봇'을 이달 중순 출시할 예정이다. 김 대표는 "AI는 이제 특정 분야의 신기술이 아니라 국가 경쟁력을 좌우하는 기반 인프라가 됐다"며 "오픈AI코리아는 한국 기업들과 함께 성장하며 대한민국이 글로벌 AI 강국으로 도약하는 데 기여하겠다"고 포부를 밝혔다.
2025-12-04 16:17:41
개인정보위 "쿠팡, '노출' 아닌 '유출'로 정정해 다시 알려라"… 행정지도 착수 [이코노믹데일리] 사상 최대 규모인 3370만명의 개인정보 유출 사고를 일으킨 쿠팡이 사태 초기 피해 사실을 '유출'이 아닌 '노출'로 축소 통지한 것에 대해 정부가 시정을 권고했다. 또한 정부는 이번 사태를 계기로 기업의 책임을 강화하기 위해 징벌적 손해배상제도를 현실화하고 무용론이 제기된 정보보호 인증 체계(ISMS-P)를 전면 개편하기로 했다. 개인정보보호위원회(이하 개인정보위)는 3일 긴급 전체회의를 열고 쿠팡에 개인정보 '노출' 통지를 '유출'로 정정하고 누락된 피해 항목을 포함해 이용자에게 재통지할 것을 권고했다고 밝혔다. 개인정보위 조사 결과 쿠팡은 지난달 18일 비정상적 접속으로 고객 정보가 외부로 빠져나간 사실을 확인했음에도 피해자들에게 보낸 문자메시지와 홈페이지 공지에는 '개인정보 노출'이라는 표현을 사용했다. 법적으로 '노출'은 정보가 누구나 볼 수 있는 상태를 '유출'은 통제권을 상실해 권한 없는 자에게 넘어간 상태를 뜻한다. 업계에서는 쿠팡이 집단소송이나 징벌적 배상 리스크를 줄이기 위해 의도적으로 표현을 순화한 것 아니냐는 비판이 제기돼 왔다. 이에 개인정보위는 이용자의 혼선을 막기 위해 용어를 '유출'로 명확히 수정하고 공동현관 비밀번호 등 당초 공지에서 빠진 항목까지 포함해 다시 알리도록 했다. 또한 홈페이지 초기 화면이나 팝업창에 피해 사실을 일정 기간 이상 게시하고 2차 피해 방지를 위한 전담 대응팀(Help Desk)을 확대 운영할 것을 주문했다. 송경희 개인정보위 위원장은 이날 국회 정무위원회 전체회의에 출석해 "과징금을 강화하고 징벌적 손해배상제도의 실효성을 강구할 수 있는 방안을 찾겠습니다"라고 밝혔다. 이는 전날 이재명 대통령이 "피해 규모가 3400만 건으로 방대한데도 사건이 발생하고 회사가 유출 자체를 파악하지 못했다는 게 참으로 놀랍다"며 관계 부처에 실효적인 대책 마련을 지시한 데 따른 후속 조치다. 송 위원장은 "3370만명의 개인정보가 유출됐고 이름, 이메일 주소, 배송지 정보, 주문정보 등이 유출된 것으로 확인됐다"며 "배송지 주소에는 회원뿐 아니라 가족, 지인, 받는 사람 주소와 일부 공동현관 비밀번호가 포함됐다"고 설명했다. 이어 "사업자가 개인정보 보호에 인적·물적 투자를 하도록 효과적인 유인체계를 만들겠다"고 강조했다. 정부는 이번 사고를 계기로 유명무실하다는 지적을 받아온 '정보보호 및 개인정보보호 관리체계 인증(ISMS-P)' 제도도 대대적으로 손질한다. 쿠팡은 ISMS-P 인증을 유지하고 있었음에도 이번 사고를 막지 못했다. 실제로 2020년 이후 ISMS-P 인증 기업에서 발생한 개인정보 유출 사고는 34건에 달한다. 정부는 향후 인증 심사를 기존 서류 중심에서 '모의 해킹'을 포함한 현장 심사 위주로 전환하고 중대 결함 발견 시 인증을 즉시 취소하는 ‘원스트라이크 아웃’ 제도를 도입할 방침이다. 김승주 고려대 정보보호대학원 교수는 “(정부가) ISMS-P를 현실화시키면서 모의 해킹 위주로 검토하는 것 같다”면서 “ISMS-P 평가자들이 있는데 우선 평가자들을 모아놓고 현장의 (여러) 의견을 들어봐야 한다”고 조언했다. 개인정보위 관계자는 "쿠팡이 개선 권고를 따를지 아니면 그렇지 않을지를 보면 (쿠팡이) 국내 소비자를 어떤 식으로 바라보는지 알 수 있을 것"이라며 "개인정보위로서는 우선 쿠팡에 ‘경고’를 한 셈인데 이번 개선 권고를 이행하지 않으면 나중에 실제 제재 때 영향을 줄 수 있다"고 밝혔다. 한편 쿠팡은 지난달 20일 4536개 계정 유출로 1차 신고를 했으나 이후 정밀 조사 과정에서 피해 규모가 3370만 개로 늘어나 지난달 29일 2차 신고를 접수했다. 현재 민관합동조사단이 정확한 유출 경위와 쿠팡의 보안 조치 위반 여부를 조사 중이다.
2025-12-03 15:49:43
쿠팡 3400만건 개인정보 유출…왜 韓 고객만 [이코노믹데일리] 쿠팡에서 발생한 대규모 개인정보 유출이 현재까지는 한국 고객 정보를 중심으로 확인된 가운데, 해외 고객 정보까지 포함될 경우 각국의 개인정보 규제가 동시에 적용되는 다층적 법적 리스크가 현실화될 수 있다는 분석이 제기된다. 내부 권한 관리 체계와 데이터 저장 구조에 대한 조사가 진행 중이며, 기업 매출액을 기준으로 산정되는 과징금이 최고 수준에 이를 가능성도 부상했다. 사고 규모와 경위를 고려한 규제 강화 우려가 커지면서 전자상거래 플랫폼 전반의 보안 체계 점검 필요성이 커지고 있다. 2일 업계에 따르면 쿠팡은 이름, 이메일, 전화번호, 배송지 주소, 일부 주문 이력 등이 비인가 접근으로 외부에 조회됐다는 사실을 관계 당국에 신고한 상태다. 유출 규모는 약 3400만 건으로 파악됐으며, 결제 정보나 로그인 비밀번호 등 인증 정보는 포함되지 않은 것으로 알려졌다. 비인가 접근은 6월 말 해외 서버를 통해 시작된 것으로 조사됐고, 회사가 내부에서 이상 징후를 인지한 시점은 11월 중순인 것으로 확인됐다. 해외 고객 정보 포함 여부는 조사 중이나, 현재까지 피해가 한국에 한정됐을 가능성이 높다는 분석이 나온다. 유출 혐의가 제기된 전직 중국 국적 직원은 인증 시스템 개발을 담당했던 것으로 전해졌다. 피의자 규모와 관련해 쿠팡은 “단수인지 복수인지 단정할 수 없고, 수사 중이라 밝히기 어렵다”고 설명했다. 사고가 한국 고객에만 집중된 배경으로는 데이터베이스 분리 운영 구조가 지목된다. 글로벌 전자상거래 기업들은 국가별 개인정보보호 규제를 준수하기 위해 고객 데이터를 지역별로 분리 저장하는 방식을 보편적으로 적용해 왔다. 유럽의 일반개인정보보호법(GDPR), 미국과 아시아 국가들의 데이터 국지화 규정은 기업이 각국 이용자 정보를 해당 지역 내부 또는 지정된 리전에 저장하도록 요구한다. 아마존, 알리바바 등 주요 플랫폼 역시 국가별 저장소를 구분해 운영하는 구조를 채택하고 있다. 이 같은 관행을 고려할 때 쿠팡도 한국·대만·일본 등 국가별 데이터를 분리해 관리했을 가능성이 크다는 관측이 나온다. 사건 조사 초기 단계에서 해외 고객 계정이 유출됐다는 정황은 확인되지 않았다. 사고의 핵심 문제로 지적되는 부분은 비인가 접근이 약 5개월 동안 탐지되지 않았다는 점이다. 접근 권한 관리, 인증키 회수, 퇴직자 계정 관리 등 내부 통제 절차에서 구조적 취약점이 드러난 것으로 평가된다. 개발·운영 계정은 일반 계정보다 높은 접근 권한을 보유하는데, 퇴직 이후 인증 수단이 적절히 폐기되지 않았다면 대량 정보 조회가 장기간 가능해진다. 이상 접근 패턴을 식별하는 로그 모니터링 체계가 제 기능을 하지 못한 정황도 확인되며 내부 보안 체계 전반을 재점검해야 한다는 지적이 제기된다. 제재 수위는 최고 단계까지 거론되는 상황이다. 개인정보보호법은 개인정보 유출 시 전체 매출의 최대 3%까지 과징금을 부과할 수 있도록 규정한다. 다만 유출 사안과 무관한 매출액은 산정 기준에서 제외될 수 있다. 쿠팡의 지난해 매출액은 41조원으로, 최대 비율인 3%를 적용할 경우 과징금 규모는 1조2000억원 이상으로 추산된다. 사고 인지·보고 과정, 관리적·기술적 보호조치 의무 준수 여부 등이 함께 판단 기준으로 적용될 전망이다. 과징금 외에도 보안 체계 개선 명령, 점검 이행 의무 강화 등 행정조치가 병행될 수 있다는 분석이 나온다. 해외 고객 정보까지 포함될 경우 규제는 국가별 법제를 따라 복합적으로 작동하게 된다. 대만 개인정보보호법(PDPA), 일본 개인정보보호법(APPI) 등은 유출 시 신고·통지 의무와 별도의 과징금·행정처분 절차를 규정하고 있어, 단일 사고가 복수 국가에서의 제재로 이어질 수 있다. 내부 조직·인력 운영 측면에서도 변화 가능성이 제기된다. 접근 권한 관리, 인증 체계, 내부 통제 절차 강화 필요성이 높아지면서, IT·보안 전문 인력 보강이 불가피하다는 분석이다. 글로벌 기업들은 대규모 유출 사고 이후 정보보호 책임자(CISO) 조직을 확대하고 데이터 거버넌스 및 준법감시 기능을 강화해 왔으며, 쿠팡도 유사한 방향의 조직 개편을 검토할 수 있다는 관측이 나온다. 쿠팡 사건은 과학기술정보통신부·개인정보보호위원회·경찰청·국가정보원 등이 참여하는 민관합동조사단이 가동 중이며, 개인정보위는 접근통제·암호화 등 법정 안전조치 준수 여부를 집중 점검하고 있다. 경찰은 비인가 접근 경위와 함께 내부자 개입 가능성에 무게를 두고 수사를 진행 중이다. 배경훈 부총리 겸 과학기술정보통신부 장관은 “징벌적 손해배상과 과징금 등을 검토해 연내 2차 관계부처 종합 대책을 발표할 수 있게 하겠다”며 “국내외 유사 사례 분석 및 신중하게 비교 검토 중”이라고 말했다.
2025-12-02 16:41:57
"3000만명 털릴 동안 몰랐다"… 인증키 도난당한 쿠팡, 국회서 뭇매 [이코노믹데일리] 단일 기업 기준 사상 최대 규모인 3300만건의 개인정보 유출 사고를 일으킨 쿠팡이 해커의 공격에 5개월 가까이 무방비로 노출됐던 것으로 정부 조사 결과 드러났다. 국회에서는 쿠팡이 사태 초기 개인정보 ‘유출’을 ‘노출’로 축소 표현해 책임을 회피하려 했다는 질타가 쏟아졌고, 박대준 쿠팡 대표는 이에 대해 공식 사과했다. 과학기술정보통신부와 국회 과학기술정보방송통신위원회(과방위)에 따르면 류제명 과기정통부 2차관은 2일 열린 국회 과방위 긴급 현안 질의에서 이번 사고의 기술적 원인과 경과를 보고했다. 과기정통부 분석 결과 해커의 공격이 식별된 기간은 지난 6월 24일부터 11월 8일까지로 약 5개월에 달했다. 류 차관은 “지난해 7월부터 올해 11월까지 전수 로그 분석을 한 결과 3천만 개 이상 계정에서 개인 정보가 유출됐다”며 “공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했다”고 밝혔다. 특히 이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 탈취되어 사용된 것으로 확인됐다. 이는 해커가 아이디나 비밀번호 없이도 마치 정상적인 시스템 권한을 가진 것처럼 서버를 드나들 수 있었다는 의미로 쿠팡의 보안 관리 체계에 치명적인 구멍이 뚫려 있었음을 시사한다. 이날 국회에서는 쿠팡의 부적절한 대응 태도에 대한 성토가 이어졌다. 특히 쿠팡이 사고 사실을 공지하면서 법적 용어인 ‘유출’ 대신 ‘노출’이라는 표현을 사용한 것이 도마 위에 올랐다. 정보보호 업계에서는 이를 두고 미국 증시에 상장된 모회사 쿠팡Inc가 직면할 수 있는 집단소송이나 징벌적 배상 리스크를 줄이기 위한 꼼수로 해석했다. ‘유출’은 통제권을 상실한 상태를, ‘노출’은 누구나 접근 가능한 상태를 의미해 법적 책임의 무게가 다를 수 있기 때문이다. 이훈기 더불어민주당 의원은 박대준 대표를 향해 “쿠팡이 사고 후 가입자들에게 보낸 문자에서 ‘유출’이 아니라 ‘노출’이라는 표현을 썼다”며 “이건 국민을 기만하는 것이다. 왜 이렇게 표현했느냐 과징금 등을 피하려 한 것이냐”고 강하게 질타했다. 이에 대해 증인으로 출석한 박대준 쿠팡 대표는 “어떤 책임을 모면하려는 의미는 아니었다”며 “의원님 지적처럼 다른 의도는 없었다”고 해명했다. 그러나 이 의원이 재차 추궁하자 박 대표는 “저희가 생각이 부족했던 것 같다”며 고개를 숙였다. 실질적 오너인 김범석 쿠팡Inc 의장의 책임론도 불거졌다. 김 의장은 한국 쿠팡 지분 100%를 보유한 모회사의 최대 주주이자 의결권 74.3%를 가진 실력자다. 그러나 이번 사태와 관련해 별다른 입장을 내놓지 않고 있다. 이 의원이 “김범석 의장이 직접 사과할 의향은 없느냐”고 묻자 박 대표는 “한국 법인에서 발생한 일이고 제 책임하에 있기 때문에 제가 다시 한번 사과 말씀 드린다”며 김 의장을 대신해 방어막을 쳤다. 이번 사건의 유력한 용의자로 거론되는 전직 중국인 직원에 대한 언급도 나왔다. 류 차관은 “현재 언급되는 공격자의 신상에 대한 정보는 경찰 수사로 확인이 필요하다”면서도 “확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3천만 건의 개인정보 유출을 주장했다”고 전했다. 현재 경찰과 민관합동조사단은 내부자 공모 가능성까지 열어두고 수사를 진행 중이다. 당초 쿠팡은 지난달 4536개 계정에서 정보가 유출됐다고 당국에 신고했으나 정부의 조사 과정에서 피해 규모가 3379만개 계정으로 눈덩이처럼 불어났다. 과기정통부는 민관합동조사단을 통해 사고 원인을 정밀 분석하고 있으며 향후 유사 사례 방지를 위한 대책 마련에 착수했다.
2025-12-02 11:27:39

12 3

많이 본 뉴스

영상

Youtube 바로가기

오피니언

[데스크 칼럼] 47% 신뢰를 자랑한 조희대…이제 책임을 말할 때다

[데스크 칼럼] 47% 신뢰를 자랑한 조희대…이제 책임을 말할 때다