<div><figure><img src="https://www.tfmedia.co.kr/data/photos/20251249/art_17646451294882_214526.jpg" /></figure>(조세금융신문=진민경 기자) 쿠팡에서 3000만건이 넘는 대규모 개인정보 유출 사고가 발생한 가운데 금융감독원이 쿠팡의 핀테크 자회사 쿠팡페이 대상 현장조사에 돌입한 것으로 파악된다.2일 금융권에 따르면 이날 오전 금감원은 쿠팡페이에 1주일간의 현장조사 예고통지서를 발송했다. 쿠팡페이는 쿠팡 내 간편결제를 담당하는 전자지급결제대행(PG)사다.앞서 금감원은 지난달 28일 쿠팡페이에 쿠팡 본사 해킹 사고와 결제 정보 유출 관련 연관성이 있는지 확인하라고 지시했고, 쿠팡페이로부터 ‘쿠팡 해킹 사고와 연관 없다’는 답변을 받았으나 직접 사실관계 확인을 위해 현장조사를 결정했다. 이번 해킹 사고로 발생한 정보 유출 피해자만 3370만명에 달하는 등 사안의 중대함도 고려됐다.금감원은 쿠팡페이 대상 현장점검을 통해 결제 정보 유출 관련 연관성을 집중 점검하고, 전자금융거래법상 안정성 확보 의무 준수 여부와 금융 관계법령 위규사항 등을 살펴볼 것으로 관측된다.금감원은 최근 금융권에서 발생한 일련의 해킹 사고를 중대한 리스크로 인식하고 있다. 지난 1일 개최된 기자간담회에서 이찬진 금감원장은 “롯데카드와 쿠팡의 해킹사고를 보면 우리 보안 시스템 투자는 미국과는 비교할 것도 없고, (글로벌) 평균에 비춰서도 형편없다”고 지적했다.[조세금융신문(tfmedia.co.kr), 무단전재 및 재배포 금지]</div>

<div>2019년 해킹 사고와 같은 취약점에 다시 당해금감원 현장 조사 결과 따라 네이버 합병 영향업비트 전사적 비상대응 가동, 신뢰회복 시급[서울=뉴스핌] 채송무 기자 = 가상자산거래소 업비트 해킹 사고의 후폭풍이 예사롭지 않다. 그룹의 미래 비전인 네이버파이낸셜과 합병에 영향을 줄 뿐 아니라 가상자산거래소 간 경쟁의 지형에 변화까지 가져올 수 있다는 분석이 나온다.업비트는 지난 11월 27일 해킹을 통해 445억원 규모의 가상자산이 유출됐다고 발표했다. 문제는 지난 2019년 11월 27일 580억원 상당의 자산이 유출된 사안과 정확히 같은 날짜, 유사한 '핫월렛'의 취약점을 노린 공격에 다시 당했다는 것이다.업계와 보안 전문가들은 이번 공격과 관련해 보안이 근본적으로 개선되지 않았음을 보여주는 해킹이었다고 평가하며, 구조적 내부 통제 실패의 가능성을 지적하고 있다.<figure><img src="https://img.newspim.com/news/2025/11/28/251128145103362_w.jpg" /></figure>한 업계 관계자는 "해킹이 성공했다는 것은 결국 중앙화 거래소가 가진 구조적 한계가 여전히 해결되지 않았다는 것"이라며 "핫월렛 관리 체계, 내부 승인 절차, 접근 통제 등의 문제가 이어지고 있다는 뜻"이라고 말했다.사건 이후 금융감독원과 금융보안원, 한국인터넷진흥원 등이 업비트에 대한 현장 점검에 착수한 가운데, 당국이 업비트 해킹 사고를 어떻게 평가할지에 따라 사태의 파장은 더 커질 수도 있다.이억원 금융위원장과 금융당국은 최근 롯데카드의 대규모 해킹 및 개인정보 유출 사고를 계기로 중대한 보안 사고에 대해 총매출의 최대 3%까지 부과 가능한 징벌적 과징금 체계 도입을 예고한 바 있다. 이 위원장은 정보 유출 여부를 넘어 '중대한 보안 위반' 자체를 강력 제재 대상에 포함하겠다고 여러 차례 밝힌 바 있다.업비트 해킹은 피해 규모, 반복성, 국내 1위 사업자라는 상징성 측면에서 징벌적 제재 대상에 포함될 수도 있다는 지적이다. 금융위원회 관계자 역시 "금감원 등의 현장 조사 결과에 따라 결정될 것"이라면서도 "반복성과 유사성이 있다면 징벌적 제재 대상이 될 수도 있다"고 평가했다.금융위 관계자에 따르면 현장 조사를 통해 업비트가 단순 피해자인지, 컨설팅 등 보완이 필요한 수준인지, 보안에 심각한 문제가 있는지 여부를 판단한다. 업비트의 보안이 심각한 관리 부실 문제가 있다는 쪽으로 결론이 나게 된다면 향후 합병 과정에도 영향을 미칠 수 있다.업계에서는 벌써 당국이 '해킹을 빌미로 합병 승인 절차를 지연시킬 수 있다'는 관측도 나오고 있다. 합병이 성사될 경우 20조원 규모의 빅테크 공룡이 탄생하는 만큼, 감독 당국은 네이버파이낸셜과 두나무 통합체의 보안과 내부 통제 능력을 한층 더 엄격한 기준으로 들여다볼 가능성이 크다.금융당국이 이번 사고를 통해 두나무에 대해 구조적 보안 리스크가 해소되지 않은 상태에서 몸집부터 키우려 했다는 인식을 굳인다면 승인 일정은 물론 통합 이후 사업 확장 전략에도 제동이 걸릴 수 있다.사안의 중대성을 인식한 듯 업비트는 사고 직후 전사적 비상대응체계를 가동하며, 지갑 시스템을 전면 개편하고 보안 시스템 전반을 재점검하고 있다.통상 침해 사고를 입은 지갑은 보안 취약이 생기며 불안정해지는데, 기존 지갑 주소를 전면 삭제하고 새로운 주소를 발급하고 있는 것이다. 업비트는 보안시스템을 전면적으로 다시 살펴본 후 시스템 전반에 대한 보완에도 나설 계획이다.업비트의 후속 조치가 시장의 신뢰 회복에 도움이 될지도 관심사다. 업계에서는 이번 사고를 계기로 거래소의 자산 보호 역량에 대한 신뢰가 훼손됐다는 점을 핵심으로 보고 있다. 국내 가상자산 시장의 지형 변화를 앞당기는 트리거가 될 수도 있다. 한 업계 관계자는 "거래소에 대한 신뢰가 흔들리면 규제와 감독은 강화될 수밖에 없고, 투자자들은 중앙화 거래소의 대안으로 개인 지갑이나 DEX에 눈을 돌릴수도 있다"고 말했다.dedanhi@newspim.com</div>

2019년 해킹 사고와 같은 취약점에 다시 당해. 금감원 현장 조사 결과 따라 네이버 합병 영향. 업비트 전사적 비상대응 가동, 신뢰회복 시급

업비트 해킹 심각성 조사 착수...당국, 네이버와 합병 지연 가능성도

<div>■ 경찰 "쿠팡 계정유출 피의자 IP 추적중…취약점도 조사"■ "유출된 정보 범죄 조직에 흘러가나"…2차 피해 막으려면■ 당국, 업비트 해킹 심각성 조사 착수…합병지연 가능성도■ 650억달러 국민연금 '외환스와프' 연장…내년 더 늘어날까■ AI 거품보다 투자자 '공포' 먼저 꺼졌다…내년 증시 장밋빛?<figure><img src="https://img.newspim.com/news/2025/12/01/2512011430545530.jpg" /></figure></div>

■ 경찰 "쿠팡 계정유출 피의자 IP 추적중…취약점도 조사" ■ "유출된 정보 범죄 조직에 흘러가나"…2차 피해 막으려면. ■ 당국, 업비트 해킹 심각성 조사 착수…합병지연 가능성도

[뉴스핌 이 시각 PICK] "유출된 정보 범죄 조직에 흘러가나" 外

<div><figure><img src="https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202512/01/01a1810e-eb54-47a7-aba0-9e7bd7ccc378.jpg" /></figure>이찬진 금융감독원장이 잇따르는 금융보안 사고와 관련해 “국내 기업의 보안 투자 수준이 형편없다”고 비판했다. 이 원장은 금융소비자 보호에 초점을 맞춘 조직 개편안 윤곽을 공개하며 금융사의 불법·불완전행위에 대한 강도 높은 감독·제재도 예고했다.이 원장은 1일 서울 여의도 금감원 본원에서 취임 뒤 첫 기자간담회를 열고 이 같은 입장을 밝혔다. 먼저 최근 국내 최대 가상자산 거래소 업비트의 445억원 규모 해킹 사태에 대해 “즉시 검사에 착수했다”며 “북한 연루 가능성까지 제기된 상황에서 그냥 넘길 수 있는 성격의 사안이 아니다”라고 말했다.<figure><img src="https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202512/01/c830d338-8c17-43ae-bd97-ff24843ffaa8.jpg" /></figure>지난 9월 297만명의 개인정보가 유출된 것으로 드러난 롯데카드 사태에 대해선 “조사가 거의 마무리 단계로, 향후 엄정한 제재 조치가 진행될 것”이라고 예고했다. 다만 업비트를 대상으로 한 제재 가능성에 대해선 “가상자산업권은 이용자보호법상 일반 금융회사와 제재 방식이 다르다”며 “보안·안정성 기준을 보다 엄격하게 마련해 2단계 디지털자산 입법에 반영할 것”이라고 설명했다.이 원장은 최근 쿠팡 등에서도 잇따르고 있는 개인정보 유출을 언급하며 강도 높게 비판했다. 그는 “우리나라 기업 보안 시스템 투자 수준은 미국은 비교할 것도 없고 다른 나라에 비해 형편없다”며 “보안이 뚫리면 회사가 망할 수 있다는 의식이 있어야 한다”고 지적했다. 금감원은 금융위원회와 함께 금융소비자보호법상 보안·제재 수준을 자본시장법에 준하는 정도로 강화하는 방안을 논의 중이다.최근 네이버파이낸셜과 두나무의 지분교환으로 불거진 빅테크의 금융 진출에 대해서도 경계하는 목소리를 냈다. 빅테크가 금융·가상자산·스테이블코인과 결합하면 기존 규제로는 관리할 수 없다는 우려에 대한 입장이다. 이 원장은 “내년 2~3월 증권신고서가 제출되면 현업 부서가 감독 우려 사항을 구체적으로 기술하도록 할 것”이라며 “규제 입법이 제대로 안 돼있는 상황에서 별도 규제 장치 없이 들어오는 것이 시장에 어떤 영향을 줄지 주목하고 있다”고 덧붙였다.지난 8월 취임 때부터 강조한 ‘금융소비자 보호’에 초점을 맞춘 이찬진호 조직 개편안의 윤곽도 공개했다. 핵심은 금융소비자 피해를 사후가 아닌 사전에 막는 컨트럴타워 역할을 할 ‘소비자 보호·감독 총괄 본부’ 신설이다. 현재 별도로 있는 금융소비자보호처의 일부 기능을 따로 떼 본부로 격상하고, 은행·보험·자본시장 등 권역별 소비자보호 관련 감독·검사 업무를 맡을 전망이다. 이 원장은 “고위험 상품에 대한 제조·판매 책임을 각각 명확히 정의하고 사전 점검에 나설 것”이라며 “이달 내 조직개편 마치고 다음 달 10일 내 인사도 마무리하겠다”고 했다.<figure><img src="https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202512/01/f9016c87-aa7a-4b65-bc3b-7d10e1aaf71c.jpg" /></figure>최근 금감원은 홍콩H지수 주가연계증권(ELS) 사태와 관련해 은행 5곳에 총 2조원의 과징금·과태료 부과를 사전 통지했다. 지난 2021년 금소법 시행 이후 역대 최대 규모로, 기관·임직원 제재안도 함께 통보됐다. 이와 관련해 이 원장은 “소비자보호 관점에서 금융당국 입장을 보여주는 상징적인 리딩 케이스(대표 사례)”라며 “과징금 확정 전까지는 위험가중자산(RWA) 반영을 유예하는 등 모험자본 공급과 생산적 금융 참여에 영향 없도록 금융위와 방안을 논의 중”이라고 설명했다.이 원장은 금융지주사의 지배구조와 경영 승계 절차를 두고도 쓴소리를 했다. 일부 회장들이 연임을 위해 절차를 비정상적으로 운영하는 것 같다며 지배구조 확립을 위한 태스크포스(TF) 도입도 예고했다. 이 원장은 “금융지주사 이사회 구성의 불균형에 대한 의문이 제기된다”며 “지배구조 관련 TF 출범해 특정 경영인이 연임하려고 이사회 자기 사람 구성하고 실질 경쟁 안 되는 들러리 세우는 것 견제할 것”이라고 강조했다.한편 금감원이 최근 증권사의 해외 투자 적절성을 두고 특별점검을 나선 것과 관련해 이 원장은 “(서학개미의) 해외 주식 투자를 직접적으로 규제한다는 차원이 전혀 아니다”며 “오죽하면 청년들이 해외 투자를 하겠느냐 하는 것에 대해선 개인적으로 정서적으로 공감대가 있다”고 말했다.</div>

이찬진 금융감독원장이 잇따르는 금융보안 사고와 관련해 “국내 기업의 보안 투자 수준이 형편없다”고 비판했다. 이 원장은 금융소비자 보호에 초점을 맞춘 조직 개편안 윤곽을 공개하며 금융사의 불법·불완전행위에 대한 강도 높은 감독·제재도 예고했다.

이찬진 "보안 투자 형편없어"…업비트·롯데카드 등 해킹에 규제 강화 예고

<div><figure><img src="https://newsimg.sedaily.com/2025/12/01/2H1K957YR2_1.jpg" /></figure>대규모 고객 정보가 유출된 쿠팡이 미국 증권거래위원회(SEC)에는 ‘주기적으로 모의 보안 훈련을 실시해 사이버 사고 대응·복구 능력을 강화하고 있다’고 보고한 것으로 확인됐다. 그러나 실제로는 쿠팡의 정보기술(IT) 예산 대비 정보 보호 투자액 비중이 줄어들고 IT 인력 내 정보 보호 전담 인력 비율 역시 감소한 것으로 나타났다. 결국 대규모 개인정보 유출 사태까지 터지면서 쿠팡의 보안·운영 관리 전반에 허점이 드러났다는 지적이 나온다.1일 미국 SEC에 쿠팡이 올해 2월 제출한 ‘10-K’ 보고서에 따르면 쿠팡은 사이버 보안 분야 위협이 날로 증가하고 있다며 “주기적으로(periodically) 사이버 테이블톱(Cyber Tabletop) 훈련을 실시해 사이버 사고에 대응하고 복구할 수 있는 능력을 강화하고 있다”고 밝혔다. 사이버 테이블톱 훈련은 사이버 위협에 대응하는 모의 보안 훈련으로 랜섬웨어, 피싱, 내부자 위협 등 다양한 사이버 공격 시나리오를 아우른다.<figure><img src="https://newsimg.sedaily.com/2025/12/01/2H1K957YR2_2.jpg" /></figure>쿠팡의 모기업 쿠팡Inc는 미국 뉴욕증권거래소(NYSE)에 상장돼 10-K 보고서 등 각종 공시 의무가 있다.쿠팡은 또 정보보호최고책임자(CISO) 산하에 약 200명의 전담 보안 인력이 정보 보안 업무를 수행하고 있으며 외부 컨설팅을 통한 전문 자문도 활용하고 있다고 밝혔다. 아울러 보안 관련 국제 인증을 매년 받고 있다는 점도 강조했다. 쿠팡이 사이버 테이블톱 훈련 내용과 구체적인 보안 인력 규모를 SEC 보고서에 공개한 것은 이번이 처음이다.전 세계적으로 사이버 위협 우려가 커지면서 쿠팡이 올해 처음으로 SEC 보고서에 보안 관련 내용을 구체적으로 명시했지만 정작 실효성은 없었다는 지적이 나온다. 특히 쿠팡이 이번 개인정보 유출을 5개월간 알아채지 못했다는 점은 보안 프로세스가 제대로 작동하지 않았다는 방증으로 해석된다. 국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원이 지난달 30일 쿠팡으로부터 제출받은 자료에서도 인증 담당자에게 발급되는 ‘서명키(토큰)’가 장기간 갱신되지 않은 채 방치돼 있었다는 정황이 확인됐다.쿠팡의 정보 보안 관련 투자 금액과 인력 구성도 SEC 보고서에서 강조한 ‘사이버 보안 강화 기조’와는 정반대되는 흐름이다. 한국인터넷진흥원(KISA) 정보보호 공시에 따르면 쿠팡은 올해 전체 IT 예산(약 1조 9171억 원)에서 약 890억 원(4.6%)을 정보 보호에 지출했다. 절대적 정보 보호 투자 금액 자체는 지난해보다 늘었지만 전체 예산 대비 비중은 △2022년 7.1% △2023년 6.9% △2024년 5.6%로 계속 감소하는 추세다. 지난해 쿠팡이 정보 보호 목적으로 투자한 금액도 약 660억 원으로 연 매출인 38조 2988억 원의 0.2%에 불과해 통상 매출의 0.4~0.5%를 투자한 네이버·카카오에 못 미쳤다.아울러 쿠팡의 전체 IT 인력 대비 정보 보호 전담 인력 비중도 낮아지고 있다. 올해 전체 IT 인력(약 3077명) 중 정보 보호 전담 인력 비중은 내부·외주 인력을 포함해 약 212명(6.9%)을 기록했다. 이 역시 전담 인력 자체는 지난해(약 191명)보다 늘었지만 △2022년(7.4%) △2023년(7.3%) △2024년(7.5%) 등 이전 3년 동안 쭉 7%대를 유지하던 IT 인력 내 비중은 올해 처음으로 6%대로 떨어졌다.쿠팡이 빠르게 덩치를 불리는 과정에서 내실 갖추기에는 소홀히 했다는 지적이 나오는 이유다. 이에 따라 국내는 물론 쿠팡의 모기업 쿠팡Inc가 상장된 미국 등 해외에서도 쿠팡에 책임을 물을 수 있다는 전망이 나온다. 한 자본시장 업계 관계자는 “상장된 미국 법인인 경우 정보와 관련된 보안 규정들을 충실히 지키지 않으면 미 당국이 제재를 할 수 있다”며 “이번 정보 유출에 대해 쿠팡이 책임을 지게 될 가능성을 배제할 수 없다”고 전했다.</div>

대규모 고객 정보가 유출된 쿠팡이 미국 증권거래위원회(SEC)에는 ‘주기적으로 모의 보안 훈련을 실시해 사이버 사고 대응·복구 능력을 강화하고 있다’고 보고한 것으로 확인됐다. 그러나 실제로는 쿠팡의 정보기술(IT) 예산 대비 정보 보호 투자액 비중이 줄어들고 IT 인력 내 정보 보호 전담 인력 비율 역시 감소한 것으로 나타났다. 결국 대규모 개인정보 유출 사태까지 터지면서 쿠팡의 보안·운영 관리 전반에 허점이 드러났다는 지적이 나온다.

쿠팡, 美 SEC에 "보안 강화" 보고했지만…인력·투자비중 매년 줄여

<div>[서울=뉴스핌] 박성준 박찬제 기자 = 강훈식 대통령비서실장은 1일 쿠팡에서 3370만 고객의 개인정보가 유출된 것과 관련해 "기업의 책임이 명백한 경우 (징벌적 손해배상) 제도가 실효성 있게 작동할 수 있도록 개선방안을 검토하라"고 지시했다.강 비서실장은 이날 용산 대통령실에서 열린 수석보좌관회의에서 "징벌적 손해배상제도가 사실상 작동하지 않는 현실은 대규모 유출사고를 막는 데 한계가 있다"고 말했다며 전은수 대통령실 부대변인이 전했다.<figure><img src="https://img.newspim.com/news/2025/12/01/251201172708713_w.jpg" /></figure>또한 강 비서실장은 "2021년 이후 4차례나 반복된 사고는 우리 사회 전체의 개인정보보호 체계의 구조적 허점이 있음을 보여준다"고 지적했다.전 부대변인은 "강 비서실장은 AI(인공지능) 전환으로 데이터가 기업 경쟁력에 핵심된 시대에 겉으로는 가장 엄격한 보호조치를 내세우면서도 정작 실제 관리체계는 뒷문이 열려있는 형국이라고 했다"며 "과학기술정보통신부와 개인정보보호위원회에 근본적 제도보완, 현장 점검 체계 재정비,기업 보완 역량 강화 지원책 등을 신속히 보고해달라 지시했다"고 전했다.parksj@newspim.com</div>

[서울=뉴스핌] 박성준 박찬제 기자 = 강훈식 대통령비서실장은 1일 쿠팡에서 3370만 고객의 개인정보가 유출된 것과 관련해 "기업의 책임이 명백한 경우 (징벌적 손해배상) 제도가 실효성 있게 작동할 수 있도록 개선방안을 검토하라"고 지시했다.

강훈식 "쿠팡 사태, 구조적 허점…징벌적 손배제 강화 검토"

<div>[서울=뉴스핌] 송은정 기자 = 연매출 41조원에 달하는 '유통 공룡' 쿠팡의 대규모 보안 유출 사태에 대해서 예견된 보안 참사라는 지적이 나오고 있다. 쿠팡은 올해에만 정보 기술 부문에 약 1조9171억원, 이 가운데 정보보호 부문에 약 890억원을 투입했지만 대규모 개인정보 유출 사태를 막지 못했다. <figure><img src="https://img.newspim.com/news/2025/12/02/251202144013170.jpg" /></figure>2일 업계에 따르면 쿠팡은 지난 6월 24일부터 최소 5개월간 해외 서버를 통해 무단 접근을 허용하면서, 약 3370만 명의 고객 개인정보가 유출된 것으로 확인됐다. 쿠팡은 그동안 정보기술과 보안 분야에 대규모 투자를 지속해왔다. 2022년 639억원, 2023년 659억원에서 올해는 860억원까지 늘며 유통·이커머스 업계에서는 사실상 최고 수준이라는 평가를 받아왔다. 보안 조직 역시 내부 인력 165.8명, 외주 인력 49명 등 총 214.8명으로 국내 기업 중 최상위권 규모다. 업계에서는 쿠팡이 정보보호 투자에 신경을 썼음에도 허술한 보안 관리 체계와 내부 관리 실패가 정보 유출 사고를 냈다고 분석하고 있다. 전문가들은 이번 연쇄 유출 사태의 공통된 원인으로 ▲기업의 내부 권한 통제 ▲로그 관리 ▲비인가 접속 탐지 시스템의 근본적 미비를 꼽고 있다.이번 사태가 쿠팡의 기본적인 보안 관리 실패에서 비롯됐기 때문이다. 중국 국적의 전 직원이 해외에서 장기간 쿠팡 내부 시스템에 접속해 정보를 빼간 것으로 알려졌다. 쿠팡은 5개월간 이를 전혀 알지 못했다.쿠팡이 로그인에 필요한 서명키 관리, 다중 인증, 개인정보 마스킹 등 정보기술(IT) 기업의 기본적 내부통제를 지키지 않은 점과 기초적인 보안 관리도 실패, 운영·관리가 총체적으로 부실했다는 지적이다.◆쿠팡 사태, 산업 전반 보안 관리에 대해 전환점 삼아야전문가들은 이번 사건에 대해 산업 전체 보안 관리 전환점으로 삼아야 한다고 주장하고 있다. 산업계 전반에서 지난 수년간 정보보호 투자 대비 실질적인 보안 지출이 줄거나 정체된 곳이 많다는 주장이다. 일부 기업은 보안 투자를 줄이는 전략을 택했고, 이는 유출 가능성을 키운 결정적 요인이라는 지적이 뒤따르고 있다.최경진 가천대 법학과 교수는 "이번 사건을 토대로 일상 속에서의 정보 보호에 대한 기준 설립이 필요하다"라며 "단순히 쿠팡만의 문제가 아니라, 모든 기업에게 적용될 문제"라고 강조했다.이번 사태로 소비자 불안과 기업 신뢰 붕괴 우려가 커지고 있다. 유출된 정보에는 이름, 전화번호, 이메일 주소, 배송지 정보, 공동현관 비밀번호 등 생활 밀착형 정보가 포함됐다. 주소·전화번호·구매내역이 결합되면 스미싱·피싱·전화사기 등 2차 피해로 이어질 가능성이 높은 만큼 소비자 불안은 쉽게 가라앉지 않는 모습이다.쿠팡에 대한 집단소송 참여 희망자가 빠른 속도로 증가하고 있다. 그동안 국내 이커머스(전자 상거래) 시장 1위 업체로 자리했던 쿠팡에 대한 소비자 신뢰에도 금이 가고 있다.전문가들은 "수십만, 수백만 단위의 개인정보가 무방비로 노출된 현실은 소비자의 생활권까지 잠식할 수 있다"며 "단일 기업의 손해를 넘어 산업 전체의 신뢰 기반을 갉아먹을 수 있다"고 짚었다.특히 "기업은 보안을 선택 아닌 필수 인프라로 재인식하고 내부 통제와 기술 체계를 강화해야 한다"고 덧붙였다.◆징벌적 손배 제대로 작동해야…전문가들 "정보보호에 대한 기준 설립 필요"정부는 현재 과징금 규모를 강화하는 방안을 검토 중이다. 국회에서도 매출액의 3%로 징벌적 과징금을 부과하는 방안 등이 발의된 상태다. 다만 징벌적 과징금을 부과 규정을 두면서도 제도가 제대로 작동하지 않으면 아무 소용이 없다.해외 주요국은 개인정보 유출에 대해 강한 징벌적 규정을 적용하고 있다. 미국에서는 개인정보 유출이 발생하면 대규모 집단소송이 즉시 제기되고, 기업은 대규모 합의금으로 소송을 마무리하는 경우가 대부분이다.유럽은 사고 발생 72시간 내에 감독기관·소비자에게 피해 사실을 통보해야 하고, 외부 보안 전문기관을 통한 포렌식과 피해자 보호 조치를 의무화하고 있다. 유럽의 개인정보보호법(GDPR)에 따르면 위반 시 전 세계 매출의 최대 4% 또는 2000만 유로 중 큰 금액을 과징금으로 부과할 수 있다.싱가포르는 연간 국내 매출이 1000만 싱가포르달러(약 113억2980만원) 이상인 법인 등이 개인정보보호법상 개인 정보의 보호, 수집, 사용 및 공개 등에 관한 규정을 어기면 연 매출의 10% 또는 100만 싱가포르 달러(약 11억3298만 원) 중 더 큰 금액을 과징금 상한으로 두는 등 강력한 제재를 운영하고 있다.현행 개인정보보호법에서는 고의·중과실 유출 시 최대 5배의 징벌 배상을 규정하고 있지만 실제 적용된 판례는 거의 없다. 징벌적 손해배상이 제대로 작동하게 되면 기업들은 스스로 보안 투자에 나설 수밖에 없는 환경이 조성된다.황석진 동국대 국제정보보호대학원 교수는 "이번 사건은 징벌적 손해배상 제도의 실효성 강화 필요성을 사회적으로 확인시켜 준 계기로, 앞으로 관련 법·제도 개선에 중요한 전환점이 될 것"이라며 "실효성 강화와 함께 혁신과 기업 활동을 저해하지 않는 세밀한 설계가 병행돼야 한다"고 설명했다.yuniya@newspim.com</div>

[서울=뉴스핌] 송은정 기자 = 연매출 41조원에 달하는 '유통 공룡' 쿠팡의 대규모 보안 유출 사태에 대해서 예견된 보안 참사라는 지적이 나오고 있다. 쿠팡은 올해에만 정보 기술 부문에 약 1조9171억원, 이 가운데 정보보호 부문에 약 890억원을 투입했지만 대규모 개인정보 유출 사태를 막지 못했다.

[쿠팡 정보 유출] 매출 41조 쿠팡…기초적인 보안 관리도 실패했다

<div>쿠팡 3000만명 이상 개인정보 유출유출 책임 규제와 현장 간 괴리규제 UX 개선으로 보안 강화 필요[세종=뉴스핌] 이경태 기자 = 그야말로 신상이 모두 털린 시대다. 쿠팡에서만 3000만 명이 넘는 고객의 이름, 주소, 연락처가 유출됐다는 사실은 "안 털린 사람을 찾기 어렵다"는 자조까지 불러온다.지난 5년간 공식 통계로만 1억916만건의 개인정보가 유출됐다. 국민 1인당 평균 두 번씩 정보가 새어나간 셈이다. 그런데 정부가 책임 기업과 기관에 부과한 누적 과징금은 3671억여원, 과태료는 39억여원에 그쳤다. 건당으로 환산하면 과징금 3300원, 과태료 33원꼴이다. 내 정보 한 건의 값이 커피 한 잔 값도 되지 못한다.유출 책임이 있는 기업과 기관은 467곳, 민간 부문이 93.8%로 압도적이다. 더 놀라운 건 유출이 소수 대형 사업자에 집중된다는 점이다. 2025년 기준, 상위 5개 기업·기관이 전체 유출의 90%를 훌쩍 넘었다.<img src="https://img.newspim.com/news/2025/12/02/2512021742570410.jpg" />해킹만이 원인도 아니다. 민간·공공을 막론하고 업무과실과 내부사고 비중이 실제로 더 높다. 이는 '기술' 이전에 관리 체계와 일상의 허술한 절차, 위기대응 문화가 근본 원인이라는 점을 보여준다.쿠팡 사태가 드러낸 것은 규제의 강도와 현장 사이의 괴리다. 퇴사자 인증키 방치, 몇 달간 탐지되지 못한 계정 이상활동, 제대로 고지되지 않은 유출 사실 등이 바로 그것이다. 명목상 법과 규정은 있었지만 "지킬 수 있게 설계돼 있었던가"라는 본질적 질문이 남는다.현행 규제 프레임은 스타트업과 중소기업에도 대기업과 거의 같은 책임을 요구한다. 그러나 현실에서는 전문 보안 인력도, 법무팀도 없이 대표나 개발자가 겸하는 구조가 대부분이다. "지키기 어려운 규제는 시행되지 않는 법과 같다"는 뼈아픈 진실을 마주하는 시점이다.그렇다고 규제를 완화해야 한다는 얘기가 아니다. 개인정보를 허술하게 다루는 스타트업이 내 정보, 가족의 정보를 다룰 수 있다는 불신만 키울 것이다. 필요한 건 '규제 완화'가 아니라 '지키는 경험'을 바꿔주는 것, 즉 개인정보보호 규제의 UX(사용자 경험)를 개선하는 일이다.규제의 UX라고 한다면, '최소수집·목적의 명확화·보관기간·안전조치' 같은 원칙은 유지하되, 이를 실행하는 과정이 불필요하게 복잡하지 않도록 만드는 것이다.예컨대 매출과 이용자가 적은 스타트업에는 표준 약관, 개인정보처리방침, 기본 로그 및 암호화 패키지, 샘플 UI를 정부가 제공하고, 자가 점검과 신고는 자동화하며, 클라우드·SaaS 환경에 맞춘 보안설정 가이드와 진단 도구까지 내려줄 수 있어야 한다. 과실과 고의 위반을 명확히 구분해 시정·교육과 강력 제재를 나누는 것도 균형을 잡는 방법이다.그렇다면 왜 이런 변화가 꼭 필요할까. 지난 5년간 1억 건이 넘는 유출 가운데 행정처분(과태료·공표·시정 권고)이 80% 이상을 차지했고, 고발과 징계권고는 1%에도 못 미쳤다. 이 가운데 상당수 사고가 자동화·감시 기술의 부재라기보다 기본적인 관리 실수와 절차 누수에서 비롯된 것으로 집계된다는 점은, 현장의 '지키는 경험', 즉 규제의 설계 방식이 얼마나 취약한지 보여준다.모든 주체에 똑같은 규제를 강제하다 보니, 실제 보안의 '품질' 대신 형식적 법 준수와 서류행정만 늘어난 결과이기도 하다.이미 백만명 단위 개인정보가 다크웹에서 거래되고, 피해자들은 비밀번호를 바꾸며 스미싱을 걱정한다. 바뀌지 않는 구조, 너무 약한 처벌, 지키기 힘든 규제가 반복적으로 거론되는 것을 끝내려면 시스템의 UX를 바꾸는 데서 시작해야 한다.규제의 강도는 유지하면서, 실제로 지킬 수 있는 디자인과 기술을 보급해야 한다는 말이다. 이것이 '모두 털린 시대'에 우리 사회가 반드시 넘어야 할 첫 번째 관문이다.biggerthanseoul@newspim.com</div>

[세종=뉴스핌] 이경태 기자 = 그야말로 신상이 모두 털린 시대다. 쿠팡에서만 3000만 명이 넘는 고객의 이름, 주소, 연락처가 유출됐다는 사실은 "안 털린 사람을 찾기 어렵다"는 자조까지 불러온다.

[현장에서] 개인정보 규제, 지키기 쉽게 바꿀 때

<div>국회 과방위 현안질의…"과징금, 매출·중대성 종합 판단해 결정"이정렬 개인정보보호위원회 부위원장은 2일 쿠팡의 3천370만개 계정 정보 유출과 관련해 최대 1조원대 과징금 부과 가능성에 대해 "중점적으로 검토하고 있다"고 밝혔다.이 부위원장은 이날 국회 과학기술정보방송통신위원회의 현안 질의에서 '결론적으로 1조원 이상 과징금이 부과될 수 있는 것 아닌가'라고 조인철 더불어민주당 의원이 묻자 "유출 등에 해당하기 때문에 과징금 부과 대상이라고 판단된다"며 이같이 답했다.<figure><img src="https://img.segye.com/content/image/2025/12/02/20251202512939.jpg" /></figure>그는 그러면서 "안전성 확보 조치 기준을 모두 충족한 경우에만 일부 면책이 가능한데, 이 부분의 입증 책임은 쿠팡에 있다"며 "매출액 규모 확정뿐 아니라 위반 행위의 중대성 등을 함께 고려해 위원회에서 종합적으로 결정할 예정"이라고 덧붙였다.개인정보보호법은 개인정보 유출 시 전체 매출의 최대 3%까지 과징금을 부과할 수 있도록 규정한다. 다만 유출 사안과 무관한 매출액은 산정 기준에서 제외될 수 있다.쿠팡의 지난해 매출액은 41조원으로, 최대 비율인 3%를 적용할 경우 과징금 규모는 1조2천억원 이상으로 추산된다.최수진 국민의힘 의원은 '쿠팡의 앞선 지난 세 차례 유출 사고에 대한 과징금·과태료가 16억원 수준에 그쳤는데 너무 솜방망이 아닌가'라고 질타했다.이에 대해 이 부위원장은 "기존 3건의 유출 사고에 대해 이미 처분한 바 있지만, 작은 처분이었다고 생각한다"며 "실정에 비례하게 엄중히 책임을 물을 수 있는 방안을 적극 검토하겠다"고 밝혔다.또 최 의원이 쿠팡이 ISMS-P 인증을 두 차례나 받았다는 점을 지적하자, 이 부위원장은 "정무위에서도 여러 위원님이 같은 문제를 지적해 내부 연구반을 구성해 제도 개선을 막바지 단계에서 논의 중"이라며 "조만간 전면적인 개편 방안을 보고드리겠다"고 말했다.<figure><img src="https://img.segye.com/content/image/2025/12/02/20251202512952.jpg" /></figure>ISMS-P 인증은 과기정통부와 개인정보보호위원회가 공동으로 운영하는 국내 유일의 정보보호 및 개인정보보호 관리체계 인증제도다.앞서 쿠팡에서는 최근 발생한 대규모 유출 사고 이전에도 세 차례 개인정보 유출이 발생한 바 있다.2021년 10월에는 앱 업데이트 과정에서 테스트를 소홀히 하면서 총 14건의 개인정보가 외부로 노출됐다.2020년 8월부터 2021년 11월까지는 쿠팡이츠 배달원 13만5천명의 실명과 전화번호 등이 음식점에 그대로 전달되는 문제가 이어졌다.2023년 12월에는 판매자 전용 시스템 '윙(Wing)'에서 로그인 오류가 발생해 특정 판매자에게만 보여야 했던 주문자·수취인 2만2천440명의 개인정보가 다른 판매자에게 노출되는 사고도 있었다.<연합>Copyright ⓒ 세계일보. 무단 전재 및 재배포 금지</div>

국회 과방위 현안질의…"과징금, 매출·중대성 종합 판단해 결정" 이정렬 개인정보보호위원회 부위원장은 2일 쿠팡의 3천370만개 계정 정보 유출과 관련해 최대 1조원대 과징금 부과 가능성에 대해 "중점적으로 검토하고 있다"고 밝혔다.

쿠팡 1조 과징금 가능성에…이정렬 개보위 부위원장 "중점 검토"

<div>과방위, 쿠팡 박대준 사장 소환해 집중 추궁[서울=뉴스핌] 윤채영 기자 = 국회 과학기술정보방송통신위원회가 오는 2일 쿠팡에 가입한 3370만여명 개인정보 유출에 대한 긴급 현안질의를 진행한다.1일 과방위 소속 여야 의원들은 비공개 회의를 통해 오는 2일 오전 10시 국회에서 쿠팡 개인정보 유출 사태에 대해 긴급 현안질의를 진행하기로 결정했다.<figure><img src="https://img.newspim.com/news/2025/12/01/251201171647208_w.jpg" /></figure>과방위는 과학기술정보통신부, 한국인터넷진흥원(KISA) 등 유관기관과 쿠팡의 박대준 사장 및 정보보안 담당자를 소환해 질의할 예정이다.앞서 쿠팡은 개인정보 유출 규모가 4500건이라고 보고했으나 정부 조사 결과 3370만개 계정에서 이름, 이메일, 전화번호, 배송지 주소, 특정 주문 정보가 유출된 것으로 드러났다.과기정통부는 전날 민관합동조사단을 구성해 사고 원인 분석과 재발 방지 대책 마련에 착수했다.이날 최민희 의원실에 따르면 쿠팡에서 발생한 3370만건의 개인정보 유출 사고 원인으로 인증 관련 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증 키가 장기간 방치됐기 때문이라는 분석이 제기됐다.로그인에 출입을 허가하는 인증 키를 담당하는 직원이 퇴사 시에는 이를 삭제하거나 갱신해야 하는데, 방치돼 악용된 것이다.최 의원은 "서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다"며 "장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증체계를 방치한 쿠팡의 조직적·구조적 문제의 결과"라고 지적했다.chaexoung@newspim.com </div>

과방위, 쿠팡 박대준 사장 소환해 집중 추궁. [서울=뉴스핌] 윤채영 기자 = 국회 과학기술정보방송통신위원회가 오는 2일 쿠팡에 가입한 3370만여명 개인정보 유출에 대한 긴급 현안질의를 진행한다.

국회, 2일 '쿠팡 개인정보 유출' 긴급 현안질의

(조세금융신문=진민경 기자) 쿠팡에서 3000만건이 넘는 대규모 개인정보 유출 사고가 발생한 가운데 금융감독원이 쿠팡의 핀테크 자회사 쿠팡페이 대상 현장조사에 돌입한 것으로 파악된다.

금융

관련 뉴스