민변홈
기능개선요청  로그인

[안전한 쿠팡만들기 공동행동][공동 성명] 개인정보 3천만 건, 배송정보 1억 4천건 유출, 쿠팡 김범석 의장은 국민 앞에 사죄하라

  • 2026-02-11
  • 2
  • 일반게시판

안전한 쿠팡만들기 공동행동 공동성명

개인정보 3천만 건, 배송정보 1억 4천건 유출, 쿠팡 김범석 의장은 국민 앞에 사죄하라

    1. 정부의 쿠팡 개인정보 유출사태 민관합동조사 결과가 오늘(2/10) 발표되었다. 사태 직후부터 쿠팡은 개인정보 유출 건수가 4천 5백여 건에 불과하다며, 정부의 조사와 수사기관의 수사가 ‘부당한 차별’이라는 입장을 고수해왔다. 그러나 오늘 발표된 조사결과에 따르면 쿠팡을 통해 유출된 개인정보는 3,367만여 건에 달했다. 심지어 배송지 목록 페이지는 1억 4천여 건이 불법조회되었으며, 주문목록 페이지는 10만여 건이 조회되었다. 이름, 전화번호, 주소는 물론 공동현관 비밀번호, 최근 주문한 상품목록까지 모두 유출된 것이다. 쿠팡 김범석 의장은 지금 당장 국회에 출석해 국민 앞에 사죄하라. 시민들을 기만하는 할인 쿠폰 제공을 중단하고, 제대로 된 피해보상대책과 재발방지 대책을 내놔라. 나아가 쿠팡 노동자 과로사 문제와 입점업체 갑질, 알고리즘 조작과 소비자 기만, 정관계 로비 등 쿠팡이 저지른 모든 불법·위법행위에 대해서도 개선대책을 마련하라.   2. 민관합동조사단 조사결과에 따르면 공격자는 퇴사 이후에도 기존의 서명키를 탈튀해 전자 출입증을 위·변조하고, 취약점을 악용한 공격 테스트까지 진행한 것으로 확인됐다. 그러나 쿠팡은 전 직원인 공격자가 2,313개의 IP를 이용해 약 7개월 간 대규모 개인정보를 유출하는데도 그 사실을 몰랐고, 공격자가 쿠팡에 그 사실을 알린 후에야 인지했다. 대한민국 성인 대부분의 개인정보를 보유하고 있는 대기업이라고는 믿을 수 없는 수준의 보안시스템이다. 더 심각한 점은 이번 조사결과만으로는 개인정보 조회로 끝났는지, 그 결과가 제3자에게 유출되었는지 명확히 알 수 없다는 점이다. 만약 유출·조회된 개인정보, 배송지 주소, 주문내역 등의 정보가 사이버범죄 집단이나 다른 해외 이커머스 기업에게까지 전달되었다면 그 피해는 돈으로 따질 수 없는 수준이다. 퇴직에 앙심을 품은 전 직원이 회사가 보유한 3천만명의 개인정보를 유출해 제3자에게 판매하지 않고 쿠팡 측에 협박성 메일만 보냈다는 조사결과를 과연 어떤 시민이 그대로 믿겠는가. 수사기관은 추가 수사를 통해 제3자 유출 여부에 대해서도 철저히 밝혀내야 한다.   3. 이런 상황에서도 쿠팡은 적반하장이다. 쿠팡은 이번 사태 초기부터 반성은 커녕 셀프 축소 발표와 신고지연을 통한 정보유출 책임 축소와 은폐까지 시도했다. 게다가 미국 정부 로비를 통해 통상압박을 일삼고, 오는 23일에는 미국 하원에 로저스 대표가 출석해 한국 정부의 차별적인 대우를 비판하는 청문회를 연다고 한다. 미국 하원에서 쿠팡 측에 보낸 서한에는 “공정거래위원회를 포함한 한국 정부 기관들이 미국 기술 기업을 표적 삼아 차별적 규제를 강화하고 있으며, 미국 시민에 대한 형사처벌 위협까지 제기하고 있다”며 조사 착수 이유를 밝히고, 2020년부터 현재까지 쿠팡과 한국 공정위, 국정원 등 한국 정부 기관 간에 오간 모든 문서와 대화를 제출하라는 요구도 담긴 것으로 알려졌다. 쿠팡의 로비를 받아 제대로 된 사실관계조차 확인하지 않고 일방적으로 쿠팡을 비호하는 미국 정계도 문제지만, 자신들의 불법을 덮기위해 이 사안을 양국의 외교사안으로 몰고가는 쿠팡의 행태는 전례없는 것이다. 쿠팡 김범석 의장은 미국 로비를 즉각 중단하고, 한국의 소비자들에게 제대로 된 사과와 보상대책을 내놔라.   4. 또한 이번 조사결과는 현행 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 제도의 실효성에 대해서도 근본적인 점검이 필요함을 보여준다. 사고가 발생할 때마다 정부는 인증 심사 요구사항을 강화하는 방식으로 대응해왔으나, 정작 기업들이 상시적이고 전문적인 보안 인력을 충분히 확보하도록 유도하는 제도적 장치는 미흡하다. 비용 부담을 이유로 기업들은 인력 충원 대신 문서·절차 중심의 형식적 대응에 머무르고, 인증은 유지되지만 실제 보안 역량은 개선되지 않는 악순환이 반복되고 있다. 정부는 인증 항목을 늘리는 방식의 규제 강화가 아니라, 일정 규모 이상의 플랫폼 기업에 대해 정보보호 전담 인력 최소 기준을 법제화하고, CISO 권한과 독립성을 실질적으로 보장하는 방향으로 제도를 개선해야 한다. 또한 인증 심사 시 인력 규모·전문성·근속 안정성 등을 핵심 평가 요소로 반영하여 '사람 중심의 보안체계'가 작동하도록 제도를 재설계해야 한다. 보안은 서류가 아니라 인력과 조직 문화에서 출발한다는 점을 분명히 해야 한다.   5. 쿠팡 사태를 대응하는 정부와 국회의 좌고우면은 납득하기 어렵다. 청문회 이후 진행하겠다던 국정조사는 어느 새 사라져버렸고, 약속했던 집단소송법이나 플랫폼 독과점법의 도입은커녕 대형마트 온라인 영업규제를 풀겠다는 기상천외한 방안을 들고나왔다. 도대체 정부와 국회는 진지하게 이 문제를 해결할 의지가 있는지 묻지 않을 수 없다. 정부와 국회는 통상압박을 이유로 이 문제를 축소하려는 시도를 중단하라. 개인정보보호위원회는 발표된 민관합동조사 결과를 바탕으로 쿠팡에 천문학적인 과징금을 내리고, 수사기관은 쿠팡의 불법행위와 축소 은폐 시도에 대한 선처없는 수사와 처벌을 내려야 한다. 또한 정부와 국회는 집단소송법, 징벌적손배제, 입증책임 완화를 통해 개인정보를 유출당한 시민들이 제대로 된 피해구제를 받을 수 있도록 하고, 쿠팡의 시장독과점 문제 해결을 위한 온라인 플랫폼 독점규제법 등을 즉각 제정해야 한다.  끝.
목록