내부 중국인 직원 소행 추정
5개월간 인지 못한 보안 관리 구멍
SKT 1348억원 넘는 과징금 전망
국내 최대 이커머스 기업 쿠팡이 역대급 개인정보 유출 사태로 심각한 경영 위기에 직면했다.
언론 보도에 따르면 쿠팡 고객 3370만명의 개인정보가 유출된 사건은 외부 해킹이 아닌 내부 직원 소행으로 추정되면서 파장이 커지고 있다.
특히 해당 직원이 중국 국적자로 알려지면서 수사의 난항이 예상되고 있다.
🗳 의견을 들려주세요
쿠팡 개인정보 유출 사고, 어떻게 해결해야 할까?
내부자 범행에 보안 체계 ‘총체적 부실’
서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 고소장을 접수해 수사에 착수했다. 피고소인은 ‘성명불상자’로 기재됐지만, 쿠팡에 근무했던 중국 국적 직원이 유출한 것으로 전해졌다.
쿠팡은 지난 20일 입장문에서 “쿠팡 시스템과 내부 네트워크망의 외부 침입 흔적은 없다”고 밝혀 내부자 소행임을 시사했다.
문제는 해당 직원이 이미 퇴사해 한국을 떠난 것으로 알려지면서 수사가 난관에 부딪힐 가능성이 제기된다.
보안 전문가들은 범인이 ‘로 앤드 슬로’ 방식으로 보안 관제 시스템의 임계치를 넘지 않도록 조금씩 데이터를 빼냈을 것으로 추정한다.
한 전문가는 “내부 권한을 가진 사람이 정보를 유출했다면 내부 보안과 모니터링 체계에 심각한 약점이 드러난 것”이라고 지적했다.
5개월간 인지 못한 ‘늑장 대응’ 논란
더 큰 문제는 쿠팡이 5개월간 정보 유출 사실을 몰랐다는 점이다. 쿠팡은 정보 침탈 시도가 지난 6월 24일 시작된 것으로 파악하고 있지만, 이를 인지한 시점은 11월 18일이었다.
쿠팡의 올해 3분기 활성 고객은 2470만명인데, 유출된 계정은 3370만건에 달했다.
약 900만건은 휴면 회원이거나 탈퇴한 회원으로 추정되며, 개인정보보호법상 파기하거나 별도 분리 보관해야 할 ‘좀비 데이터’를 제대로 관리하지 못했다는 비판이 나온다.
참여연대는 30일 논평을 통해 “최소 5개월 동안 유출 사실을 파악하지 못한 이유와 개인정보 보호 체계를 어떻게 운용하고 있는지 철저히 밝혀야 한다”고 촉구했다.
SKT 넘는 역대 최대 과징금 전망
쿠팡이 받을 과징금 규모에 업계의 이목이 집중된다. 2023년 개정된 개인정보보호법에 따르면 법 위반 시 전체 매출액의 3%까지 과징금을 부과할 수 있다.
쿠팡의 지난해 연결 매출액은 38조2988억원으로, 이론상 최대 1조1489억원까지 과징금이 나올 수 있다.
올해 8월 SK텔레콤이 2324만명의 개인정보 유출로 1348억원의 과징금을 부과받았는데, 쿠팡은 유출 규모가 더 크고 내부자 소행이라는 점에서 가중 요인이 작용할 것으로 보인다.
업계 관계자는 “SKT는 외부 해킹이었지만 쿠팡은 내부 직원의 소행으로 추정되면서 안전조치 의무 위반이 더욱 중대하게 판단될 가능성이 크다”고 말했다.
개인정보보호위원회는 쿠팡으로부터 이달 20일과 29일 2차례에 걸쳐 유출 신고를 받아 조사를 진행 중이며, 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다.
과학기술정보통신부도 30일부터 민관합동조사단을 구성해 사고 원인 분석에 착수했다.
이제 좀 우리나라 젊은층 좀 채용하자
중국인은 보안 관련된곳에 채용하지마라 좀
지금정부는거이다중국인들이판을쳐도누구하나조사을안해요먹거리건설까지요
지금정부는거이다중국인들이판을쳐도누구하나조사을안해요먹거리건설까지요이젠댓글도반박을못하게하나봐요중복이라고하네요그럼지금정부가잘하면댓글도안하지요
쿠팡 돌았군
쿠팡 돌았군