미국 도널드 트럼프 1기 행정부 시절 백악관 국가안보보좌관을 지낸 로버트 오브라이언이 X에 올린 글에서 “한국 국회가 공격적으로 쿠팡을 겨냥하는 것은 공정위의 (외국 기업에 대한) 차별적 규제와 미국 기업들에 대한 더 넓은 규제 장벽 무대를 만들 것”이라고 주장했다. 앞서 공화당 중진 하원의원도 보수 매체 기고문에서 “한국 정부가 미국 기업을 상대로 공격적 캠페인을 벌이고 있다”며 구글 같은 빅테크와 함께 쿠팡을 ‘피해 기업’으로 언급했다. 3370만명의 고객정보 유출 사고를 낸 쿠팡이 미국 정부를 통해 한국 정부를 압박하는 구명 운동을 벌인 것 아닌가 의구심이 든다. 지난 18일(현지시간) 미국 워싱턴DC에서 개최될 예정이던 한미 자유무역협정(FTA) 공동위원회가 미 무역대표부(USTR)의 일방적 불참 통보로 취소됐다. 미국 측이 쿠팡을 비롯한 디지털 기업 규제를 문제 삼았다는 해석이 제기됐다. 미 증권거래소에 상장한 ‘미국 법인’ 쿠팡이 미국 내 정치적 영향력을 확보하려고 최근 5년간 로비 자금을 154억원이나 쏟아부었다는 관측도 있다. 국회 청문회에는 외국인 임시대표를 보내 동문서답하고 김범석 쿠팡Inc 의장은 미국에 숨어 한미 무역 마찰까지 일으키며 본질을 호도하려는 것 아닌지 합리적 의심이 든다. 사실이라면 이런 적반하장이 또 없다. 어제 김용범 대통령실 정책실장 주재로 대규모 개인정보 유출 사태와 관련한 장관급 대책회의가 열렸다. 미국은 개인정보 유출에 엄격한 잣대를 적용하는 나라다. 페이스북이 개인정보를 유출해 선거용으로 썼을 때 청문회에 마크 저커버그 메타 CEO가 직접 출석해 사과했고 50억 달러의 벌금이 부과됐다. 정부는 쿠팡의 불법행위에 대한 법적 책임을 묻는 데 추호의 소홀함이 있어서는 안 될 것이다. 실질적 손해배상제 등 관련법 정비에도 속도를 내야 한다. 반성은커녕 미국 정치권을 방패 삼아 책임을 회피하려는 ‘검은머리 외국인’이 설 땅은 어디에도 없음을 깨닫게 해 줘야 한다.

신한카드는 가맹점 대표자의 휴대전화번호 등을 포함한 개인정보 약 19만건이 유출된 것으로 추정돼 개인정보보호위원회에 신고했다고 23일 밝혔다. 이날 신한카드에 따르면 유출된 정보는 가맹점 대표자의 휴대전화번호 18만 1585건, 휴대전화번호·성명 8120건, 휴대전화번호·성명·생년·성별 2310건, 휴대전화번호·성명·생년월일 73건 등 총 19만 2088건이다. 유출은 2022년 3월부터 올해 5월까지 약 3년간 이어진 것으로 확인됐다. 신한카드 관계자는 “영업점을 관리하는 내부 직원이 가맹점 대표자를 대상으로 신규 카드 모집 실적을 올리기 위해 정보를 설계사에게 제공하는 과정에서 유출이 발생했다”며 “가맹점 대표자 외 일반 고객정보는 유출되지 않았고, 해킹 등 외부 침투에 따른 사고도 아니다”라고 밝혔다. 이 과정에는 최소 5개 영업소 소속 직원 12명이 연루된 것으로 파악됐다. 신한카드는 해당 직원들을 업무에서 배제하고 형사 고발 등 추가 조치를 검토 중이다. 이번 유출은 공익 제보를 통해 드러났다. 신한카드는 이날 홈페이지에 사과문을 게시하고, 정보가 유출된 가맹점 대표자들에게 개별 안내를 시작했다.

경찰이 3370만여명의 개인정보가 유출된 쿠팡에 대해 9일 강제수사에 나섰다. 서울경찰청 사이버수사과는 이 사건을 전담하고 있는 사이버수사과장 등 17명을 투입해 이날 서울 송파구에 있는 쿠팡의 한국 본사 사무실을 압수수색했다. 경찰은 개인정보 유출 경로와 보안 관련 내부 자료를 확보하는 데 주력하고 있다. 경찰 관계자는 “확보해야 할 자료가 방대해 압수수색이 하루 이상 걸릴 가능성도 있다”고 설명했다. 이번 수사는 지난달 18일 쿠팡 측이 개인정보 유출 피해를 인지해 경찰에 신고하면서 시작됐다. 당초 쿠팡이 밝힌 피해 규모는 4500여명 수준이었으나 유출된 계정이 탈퇴회원까지 포함해 약 3370만개로 불어나며 사태가 커졌다. 경찰은 쿠팡 전직 직원인 한 중국인의 이름을 압수수색 영장 피의자 항목에 적시한 것으로 알려졌다. 앞서 경찰은 쿠팡으로부터 임의제출 받은 서버 로그기록 등을 분석해 왔다. 아울러 경찰은 쿠팡의 내부 고객정보 관리 시스템의 허점이나 보안상 취약성은 없는지도 살펴보고 있다. 현재까지 유출된 정보가 2차 피해로 이어진 사례는 확인되지 않았다. 쿠팡 측은 피싱이나 주거침입 등 범죄에 악용된 피해는 없었다고 밝혔다. 경찰 역시 신고 시스템을 통해 접수된 2차 피해 의심 사례를 점검했지만, 현재까지 구체적인 악용 정황은 발견하지 못했다고 설명했다. 경찰 관계자는 “확보된 디지털 증거 등을 바탕으로 개인정보 유출 사건의 전반적인 사실관계를 종합적으로 규명할 예정”이라고 말했다.

경찰이 3370만여명의 개인정보가 유출된 쿠팡에 대해 9일 강제수사에 나섰다. 사상 최대 규모의 정보 유출 사태에 경찰이 칼을 빼든 가운데 피해자들 사이에선 “터질 게 터졌다”는 반응이 나온다. 이미 1년 전부터 개인정보 도용에 의한 2차 피해 정황이 있었음에도, 쿠팡과 수사당국의 대응이 안일했다는 지적이다. 서울경찰청 사이버수사과는 이 사건을 전담하고 있는 사이버수사과장 등 17명을 투입해 서울 송파구에 있는 쿠팡의 한국 본사 사무실을 압수수색했다. 경찰은 개인정보 유출 경로와 보안 관련 내부 자료를 확보하는 데 주력하고 있다. 경찰 관계자는 “확보해야 할 자료가 방대해 압수수색이 하루 이상 걸릴 가능성도 있다”고 설명했다. 이번 수사는 지난달 18일 쿠팡 측이 개인정보 유출 피해를 인지해 경찰에 신고하면서 시작됐다. 당초 쿠팡이 밝힌 피해 규모는 4500여명 수준이었으나 유출된 계정이 탈퇴회원까지 포함해 약 3370만개로 불어나며 사태가 커졌다. 앞서 경찰은 쿠팡으로부터 임의제출 받은 서버 로그기록 등을 분석해 왔다. 쿠팡 측이 중국 국적의 전직 직원을 피의자로 지목한 가운데 경찰은 이번 정보 유출 사태 피의자의 신원을 특정한 것으로 확인됐다. 아울러 쿠팡의 내부 고객정보 관리 시스템의 허점이나 보안상 취약성은 없는지도 살펴보고 있다. 쿠팡과 경찰은 현재까지 유출된 정보가 2차 피해로 이어진 사례는 확인되지 않았다고 보고 있다. 쿠팡 측은 피싱이나 주거침입 등 범죄에 악용된 피해는 없었다고 밝혔다. 경찰 역시 신고 시스템을 통해 접수된 2차 피해 의심 사례를 점검했지만, 현재까지 구체적인 악용 정황은 발견하지 못했다고 설명했다. 그러나 서울신문 취재를 종합하면 이미 지난해부터 쿠팡의 허술한 본인 확인 절차를 악용한 도용 피해가 있었던 것으로 드러났다. 인천에 사는 쿠팡 이용자 이훈준(54)씨는 지난해 7월 7일 새벽, 쿠팡에서 177만원짜리 아이패드가 결제됐다는 알림을 받았다. 이씨의 쿠팡 계정을 탈취한 범인이 이씨가 쿠팡에 입력해 놓은 개인정보와 카드정보를 활용해 새 계정을 만든 것이다. 이씨가 즉각 결제를 취소해 금전 피해는 막았지만, 쿠팡 측의 사후 대응은 황당했다. 쿠팡 측은 피해 경위를 묻는 이씨에게 “다른 회원의 개인정보라 알려줄 수 없다”고 했다. 피해자인 이씨보다 명의를 도용한 범인의 개인정보 보호를 앞세운 것이다. 이씨는 “내 카드로 물건을 샀는데 누가 샀는지, 무엇을 샀는지조차 처음에는 알려주지 않았다”며 “직접 증거를 수집해 경찰에 제출했지만 범인을 찾진 못했다. 사건을 접수한 경찰은 “용의자가 미국에 있는 것으로 보이지만 더 추적이 어렵다”며 사건을 종결했다. 전문가들은 이번 수사가 정보 유출자를 검거하는 것을 넘어 기업의 보안 불감증을 점검하는 계기가 돼야 한다고 말했다. 개인정보전문가협회장인 최경진 가천대학교 법학과 교수는 “과거 이메일 유출은 스팸 메일 정도의 피해였지만 전화번호와 같은 중요한 개인정보 유출은 다양한 2차 피해로 이어질 가능성이 높다”면서 “보안과 개인정보 보호가 기업 경영의 선택이 아닌 ‘기본값’이 돼야만 대형 사고를 막을 수 있다”고 강조했다. 경찰 관계자는 “확보된 디지털 증거를 분석해 유출 경위뿐만 아니라 2차 피해 여부까지 면밀히 들여다볼 계획”이라며 “국민적 불안감이 큰 만큼 모든 가능성을 열어두고 수사하겠다”고 말했다.

최종 후보에 박윤영·주형철·홍원표 KT 차기 대표이사 후보가 박윤영 전 KT 기업부문장, 주형철 전 대통령실 경제보좌관, 홍원표 전 SK쉴더스 대표 3인으로 좁혀졌다. 당초 유일한 현직 경영진으로 유력 후보군에 꼽혔던 이현석 KT 커스터머부문장(부사장)이 탈락하면서 내부 안정론과 외부 쇄신론이 더욱 뚜렷하게 부각됐다는 평가가 나온다. 9일 이사후보추천위원회는 지난달 16일까지 접수된 사내·외 후보군을 대상으로 서류 심사와 비대면 면접을 거쳐 후보군을 압축했다고 밝혔다. 기업경영 전문성, 산업 전문성, 리더십, 커뮤니케이션 역량 등을 기준으로 인선자문단의 평가 의견까지 종합 검토해 이날 최종 3인을 선정했다는 설명이다. 박윤영 전 부문장은 1992년 한국통신 입사 이후 기업부문장까지 오른 정통 KT 출신으로, 대규모 B2B 사업을 총괄하며 실적을 낸 내부 안정론의 중심 인물이다. 조직 운영 경험과 중장기 전략 이해도가 높아 AI·클라우드 중심의 전환기를 맞은 KT에서 실무와 전략을 두루 아우를 수 있는 후보로 평가받는다. 주형철 전 보좌관은 후보 7명 가운데 유일한 외부 출신이자 친정부 인사로 꼽힌다. 그는 문재인 정부에서 대통령직속 경제사회혁신특별위원회 위원장을 지냈고, 이어 현 이재명 대통령 당선 이후 대통령직인수위원회에서 경제2분과 위원으로 활동했다. 이 대통령과는 경기연구원장 시절부터 정책 협력 관계를 이어온 것으로 알려져 있으며, 이러한 경력 때문에 정권과의 소통력, 규제기관 조정 능력이 강점으로 평가된다. 반면 KT 안팎에서는 ‘낙하산 우려’가 반복적으로 제기돼 온 것도 부담 요소로 지목된다. 홍원표 전 대표는 KTF, 삼성전자, 삼성SDS에서 기술·보안·디지털전환(DX) 사업을 두루 이끈 ICT 전문가다. 최근 KT가 연쇄적인 보안 사고로 신뢰 회복이 중요 과제로 떠오른 만큼, 보안 체계 구축과 기술 기반 리더십을 갖춘 인사라는 점에서 이사회가 주목한 것으로 보인다. KT는 최근 소액결제 사고, 고객정보 유출, 내부 보고 체계 부실 논란 등이 이어지며 국가 기간통신망 기업으로서의 책임성이 강화되고 있다. 이에 따라 이사회는 차기 CEO에게 글로벌 수준의 정보보호 체계 구축 능력과 조직 통제력, AI 기반 사업 전환을 이끌 미래 전략 역량을 핵심 기준으로 삼은 것으로 분석된다. 이사후보추천위원회는 오는 16일 심층면접을 실시해 연내 최종 후보 1인을 결정할 예정이다. 최종 선임은 내년 3월 정기 주주총회에서 이뤄진다.

2025년은 한국 개인정보 보호가 완전한 실패를 기록한 해로 남을 것이다. 쿠팡에서 3370만명의 개인정보가 유출됐고, 업비트에서 445억원 규모 해킹 사고가 났다. SK텔레콤·KT·LG유플러스 등 통신3사에선 고객정보 유출 사고가 연쇄적으로 발생했다. 국민 대다수의 개인정보가 모조리 흔들렸다. 한때 세계가 부러워했던 ‘정보통신기술(ICT) 강국’이라는 위상은 허술한 정보보안 체계 앞에 무너졌다. 허술한 보안 체계는 잘못 꿴 첫 단추를 방치한 결과다. 한국은 개인정보를 ‘개인의 것’으로 본다. 따라서 개인이 사전동의 여부를 판단하고, 사고가 나면 피해자가 기업의 과실을 증명해야 한다. 2015년 징벌적 손해배상제도를 도입해 손해액의 최대 3배까지 배상하게 한 법적 근거는 있지만 ‘고의·중과실 없음을 증명하면 면책’이라는 조항 덕분에 단 한번도 적용되지 않았다. 반면 유럽의 일반정보보호규정(GDPR)은 개인정보를 기업이 관리하는 자산으로 보고, 유출 사고가 나면 기업이 제대로 관리했음을 증명해야 한다. 이 체계를 근본적으로 뜯어고칠 기회가 한국에 있었다. 액티브X와 공인인증서 논란 때다. 2010년 아이폰 등장 이후 인터넷익스플로러 브라우저에서만 작동하던 액티브X가 스마트폰에서 가동되지 않으며 일부 사이트의 스마트폰 접속에 문제가 생겼다. 2014년 액티브X에 막혀 해외 팬들이 국내 사이트에서 판매하는 ‘천송이 코트’를 직구하지 못하는 문제가 생겼다. 이에 박근혜·문재인 정부 모두 이를 없애야 할 대표적 규제로 삼았다. 그러나 실제 공인인증서가 배타적인 법적 지위를 잃은 건 2020년 12월. 도입되고 21년, 문제가 발견된 뒤 11년이 걸렸다. 게다가 인증서 종류만 늘었을 뿐 개인정보를 개인이 스스로 지켜야 할 것으로 보는 관점의 ICT 보안 체계는 유지됐고, 공인인증서 또한 ‘공동인증서’로 이름이 바뀐 채 여전히 쓰인다. ‘갈라파고스 제도’인 공인인증서 폐지가 지지부진했던 이유는 역설적으로 정답이 명확했기 때문이다. 글로벌 스탠더드에 맞춰 액티브X 없이 SSL/TLS만 쓰면 풀릴 문제였지만, 이렇게 전체 보안체계 틀을 바꾸면서 액티브X 생태계가 무너졌다. 공인인증서 발급 기관, 보안 솔루션 판매 기업, 금융사와 공공기관의 보안 부서, 학계 연구진 모두에게 구조적 문제 해결이란 곧 사업 기반의 붕괴를 의미했다. 구조적 문제를 풀어야 공익이 실현되지만, 그 문제를 방치해서 부작용이 생길 때마다 해결할 일거리를 만드는 게 수백, 수천명의 집단적 사익에 부합했다. 결과적으로 전 세계는 SSL/TLS 통신 암호화만으로 보안을 담보하고 사고 시 기업이 책임지는 체계를 택했으나, 한국은 SSL/TLS 위에 각종 보안 프로그램과 인증서를 겹겹이 씌우는 방식을 유지했다. 언뜻 이중보안처럼 보이지만 사이트마다 강제 설치되는 프로그램들이 서로 충돌해 컴퓨터 성능을 떨어뜨리고 오히려 해킹 경로가 되는 역설을 낳았다. 또한 개인에게 보안 책임을 떠넘기는 체계는 정작 기업의 보안 관리 책임을 느슨하게 만들었다. 정보보안 문제 이전에 이미 같은 방식의 정책 실기가 있었다. 산아제한 정책이다. 현재 인구 규모를 유지하는 합계출산율 2.1명을 1983년에 이미 달성했음에도 정부는 이를 일시적 현상으로 보고 조직과 예산을 유지했다. 1996년이 돼서야 산아제한에서 산아자율로 전환했고, 2003년에야 출산장려 정책으로 바뀌었다. 합계출산율 목표 달성 뒤 20년이 지나서야 정책을 전환한 결과 한국은 이제 돌이킬 수 없는 저출산 사회가 됐다. 개인정보 보호 체계도 같은 길을 걷고 있다. 쿠팡 사태라는 재앙의 이면에는 보안 컨설팅, 법률 자문, 정책 연구, 대책 TF의 일감 생태계가 작동한다. 보안 체계를 싹 고쳐 글로벌 스탠더드를 도입하면 문제는 해결되지만 조직과 예산은 소멸된다. 그러나 이번에 드러난 부작용만 관리한다면 신규 예산은 또 마련된다. 부작용이 부작용을 낳고 그 부작용을 막는 대책이 또 다른 부작용을 만드는 악순환. 산아제한이 목표 달성 후에도 20년간 지속됐듯 한국은 돌이킬 수 없는 개인정보 유출 사회로 향하고 있다. ‘마누라 빼고 다 바꾼다’던 저력은 어디로 갔을까. 홍희경 논설위원

쿠팡의 대규모 고객정보 유출 사태와 관련해 집단소송 움직임이 확산되고 있다. 이용자들이 승소하더라도 현실적으로 전체 피해자를 구제하기 어렵다는 지적이 나오면서 집단소송제 도입 필요성도 제기된다. 3일 법조계에 따르면 일부 로펌을 중심으로 집단소송 참여자 모집이 구체화되고 있다. 지난 1일 이용자 14명과 함께 1인당 20만원씩의 위자료를 청구하는 소송을 가장 먼저 제기한 법무법인 청은 “소장 제출 소식이 알려진 지 이틀 만에 소송 의사를 밝힌 이용자가 800여명으로 늘었다”고 말했다. 법무법인 지향, 법률사무소 번화, 로피드 등에도 각각 수천명의 쿠팡 이용자가 손해배상 청구 소송을 신청한 것으로 알려졌다. 그러나 과거 개인정보 유출 소송 전례에 비춰봤을 때 승소가 쉽지 않고, 기업의 배상책임이 인정된다 하더라도 배상액이 1인당 10만원 수준에 그쳐 실익이 크지 않다는 지적이 나온다. 일각에선 기업의 배상책임이 인정될 경우 같은 피해를 본 소비자 전체에게 효력이 미치는 정식 집단소송제도를 도입해야 한다는 주장도 나온다. 광범위하게 피해가 확산되는 개인정보 유출 사건의 특성상 피해자들의 접점이 없어 공동 소송 진행이 제한적이라는 이유에서다. 국회입법조사처는 지난달 26일 발간한 연구보고서에서 “판결 효력이 모든 피해자에게 미치고 손해배상을 청구할 수 있는 정식 집단소송이 소액·다수 피해 구제에 적합할 것”이라고 짚었다. 다만 집단소송제도 피해 입증이 까다로울 수 있다는 점에서 국가가 행정·사법 절차를 통해 손해를 복구하는 ‘공중피해보상조치’, 사업자가 제안한 시정방안이 타당하면 규제당국이 사건을 종결하는 ‘동의의결제도’ 등도 대안으로 제시했다.

박대준 쿠팡 대표가 대규모 고객정보 유출 사건의 용의자로 지목된 전직 중국 국적 직원에 대해 “인증업무를 한 직원이 아니라 인증 시스템을 개발하는 개발자였다”고 밝혔다. 박 대표는 2일 국회 과학기술정보방송통신위원회 현안 질의에서 국민의힘 신성범 의원의 질의에 “혼자 일하는 개발자는 없다”며 “여러 인원이 역할을 나눠 팀 단위로 일한다”고 말했다. 피의자 규모와 관련해서는 “단수·복수라고 단정할 수 없다”며 “현재 수사 중이라 구체적으로 말하기 어렵다”고 답했다. ‘유출과 노출 중 어느 것이 맞느냐’는 질문에는 “유출이 맞다”고 밝혔다. 유출 여부를 놓고 논란이 이어졌던 사안에 대해 회사 대표가 국회에서 공식적으로 인정한 발언이다. 쿠팡은 전자서명키 악용 정황이 확인되면서 고객정보 대규모 유출 의혹이 불거졌고, 해당 직원의 중국 국적 여부와 역할을 둘러싸고 정치권과 업계의 관심이 집중돼 왔다.

이찬진 금융감독원장이 롯데카드, 업비트 등 잇따른 해킹 사고와 관련해 “우리나라 보안 시스템 투자가 형편이 없다”며 자본시장법에 준하는 정도로 관련 제재를 손질하겠다고 밝혔다. 또 대출 공급 위축과 같은 금융불안은 차단하겠다는 방향을 분명히 했다. 이 원장은 1일 서울 여의도 금감원 본원에서 열린 취임 후 첫 기자간담회에서 최근 해킹 사고로 고객정보가 유출된 롯데카드 사태를 두고 “결과에 따라서 엄정한 제재 절차가 진행될 것”이라고 했다. 또 이 원장은 “쿠팡은 금감원의 규제 대상은 아니지만, 전반적으로 우리나라 해킹·보안 시스템 사고를 보면 평균적으로 다른 나라와 비교해 보안 시스템에 대한 투자가 형편없는 수준”이라며 “(보안이) 뚫리면 회사가 망할 수 있는 수준의 위험이라는 것을 제대로 인식하지 못하는 것 같다”고 지적했다. 이어 “은행이 만약 뚫렸다고 한다면, 불안해서 어떻게 사느냐. 그 금융회사는 존속할 수 있을까”라고 꼬집었다. 이 원장은 “금융소비자보호법에는 시스템 보안 등과 관련한 소비자 보호가 상대적으로 부족해 이를 전면적으로 보완하는 법률 개정 등을 금융당국과 논의 중”이라며 “자본시장법에 준하는 정도의 규제와 제재가 법률 개정을 통해서 전면적으로 도입될 것”이라고 설명했다. 은행권의 연말 대출 중단 조짐과 관련해 “내년까지 충격이 이어질 상황은 아니다”고 밝혔다. 일부 은행이 연말 대출 가이드라인을 넘기며 불안이 확산했지만 “전반적 자본 여력이나 내년 규제 변화가 대출 공급을 구조적으로 제약할 정도는 아니다”라며 “가계대출 시장이 위축되지 않도록 금융위원회와 공조하겠다”고 강조했다. 이 원장은 홍콩H지수(항셍중국기업지수) 주가연계증권(ELS) 불완전 판매와 관련해서는 “소비자 보호 관점을 보여주는 첫 리딩케이스”라고 의미를 부여했다. 앞서 금감원은 지난달 28일 KB국민·신한·하나·NH농협·SC제일은행 등 5개 은행에 약 2조원의 과징금을 사전 통보했다.

국내 이커머스 1위 업체 쿠팡의 대규모 고객정보 유출 사태와 관련해 집단소송 움직임이 본격화되고 있다. 현재까지 알려진 피해자 숫자만 3370만명에 달해 소송 규모도 역대 최대가 될 것으로 관측된다. 다만 과거 사례에 비춰 봤을 때 소송의 실익이 크지 않을 것이라는 지적도 나온다. 쿠팡 이용자 14명은 1일 쿠팡을 상대로 1인당 위자료 20만원을 청구하는 손해배상 청구 소송을 서울중앙지법에 제기했다. 소송을 대리하는 곽준호 법무법인 청 대표변호사는 “개인정보 유출에 따른 보상 책임 및 유출 사실을 고객에게 통보하기까지 시간이 지연된 데 대한 책임 등을 재판에서 강조할 것”이라며 “소송 인원은 늘어날 수 있다”고 밝혔다. 이날 기준 네이버 등에는 집단소송 준비 카페가 다수 개설돼 전체 가입자 수가 25만명을 넘어섰다. 하지만 실제 소송을 통해 피해를 보상받기는 쉽지 않을 것이라는 게 법조계 중론이다. 개인정보 유출 손해배상 소송은 피해자가 피해 규모 및 기업의 중대 과실 여부를 입증해야 하기 때문이다. 이날 대통령실에서 언급한 징벌적 손해배상 확대 도입의 필요성도 제기된다. 현행 손해배상 제도는 인과관계가 입증된 구체적인 손해에 대해서만 배상하는 것이 원칙이다. 개인정보보호법에도 중대한 과실이 확인될 경우 최대 5배까지 징벌적 손해배상을 하도록 정하고 있지만, 손해배상의 기준이 되는 손해액 책정 자체가 쉽지 않아 실효성이 부족하다는 지적이다. 일각에선 쿠팡에 최대 1조원대의 과징금이 부과될 수 있다는 전망도 나온다. 개인정보보호법에 따르면 개인정보 유출 시 관련 매출액의 최대 3%까지 과징금 부과가 가능하다. 쿠팡의 지난해 매출은 약 41조원이었다.

이찬진 금융감독원장이 롯데카드, 업비트 등 잇따른 해킹 사고와 관련해 “우리나라 보안 시스템 투자가 형편이 없다”며 자본시장법에 준하는 정도로 관련 제재를 손질하겠다고 밝혔다. 또 대출 공급 위축과 같은 금융불안은 차단하겠다는 방향을 분명히 했다. 이 원장은 1일 서울 여의도 금감원 본원에서 열린 취임 후 첫 기자간담회에서 최근 해킹 사고로 고객정보가 유출된 롯데카드 사태를 두고 “결과에 따라서 엄정한 제재 절차가 진행될 것”이라고 했다. 또 이 원장은 “쿠팡은 금감원의 규제 대상은 아니지만, 전반적으로 우리나라 해킹·보안 시스템 사고를 보면 평균적으로 다른 나라와 비교해 보안 시스템에 대한 투자가 형편없는 수준”이라며 “(보안이) 뚫리면 회사가 망할 수 있는 수준의 위험이라는 것을 제대로 인식하지 못하는 것 같다”고 지적했다. 이어 “은행이 만약 뚫렸다고 한다면, 불안해서 어떻게 사느냐. 그 금융회사는 존속할 수 있을까”라고 꼬집었다. 이 원장은 “금융소비자보호법에는 시스템 보안 등과 관련한 소비자 보호가 상대적으로 부족해 이를 전면적으로 보완하는 법률 개정 등을 금융당국과 논의 중”이라며 “자본시장법에 준하는 정도의 규제와 제재가 법률 개정을 통해서 전면적으로 도입될 것”이라고 설명했다. 은행권의 연말 대출 중단 조짐과 관련해 “내년까지 충격이 이어질 상황은 아니다”고 밝혔다. 일부 은행이 연말 대출 가이드라인을 넘기며 불안이 확산했지만 “전반적 자본 여력이나 내년 규제 변화가 대출 공급을 구조적으로 제약할 정도는 아니다”라며 “가계대출 시장이 위축되지 않도록 금융위원회와 공조하겠다”고 강조했다. 이 원장은 홍콩H지수(항셍중국기업지수) 주가연계증권(ELS) 불완전 판매와 관련해서는 “소비자 보호 관점을 보여주는 첫 리딩케이스”라고 의미를 부여했다. 앞서 금감원은 지난달 28일 KB국민·신한·하나·NH농협·SC제일은행 등 5개 은행에 약 2조원의 과징금을 사전 통보했다.

6월 24일 발생… 11월 18일에 인지“정상적 로그인 없이 고객정보 유출”“서버 보안인증 취약점 악용해 공격”정부, 국가 배후 범죄 가능성도 논의일부 집단소송 카페·단톡방 개설도 이번 쿠팡의 정보 유출을 두고 특히 사고를 인지하기까지 5개월이나 걸렸다는 데 대한 비판이 거세다. 회사의 깜깜이 대응에 실망한 소비자들은 집단소송 등 단체 행동에 나설 움직임도 보이고 있다. 30일 쿠팡에 따르면 고객 계정과 관련된 개인정보 무단 접근은 지난 6월 24일부터 시작됐지만 쿠팡은 이를 지난 18일에야 인지하게 됐다. 쿠팡은 그동안 공격자 입장에서 취약점을 찾는 ‘레드팀’과 선제적 위협 탐지·대응을 맡는 ‘고스트팀’을 운영하면서 수준 높은 보안 조직을 갖췄다고 홍보했지만, 정작 개인정보 노출 기간이나 사고 발생 원인에 대해서는 ‘조사 중’이라며 함구하고 있다. 쿠팡 측은 “현재까지 2차 피해는 보고된 바 없다”고 했지만 소비자의 불안과 불신은 확산하고 있다. 민관합동조사단을 꾸리고 쿠팡 본사에서 현장 조사를 진행 중인 정부는 쿠팡 서버 인증 체계에 취약점이 있었다고 짚었다. 이날 배경훈 부총리 겸 과학기술정보통신부 장관은 정부서울청사에서 관계 부처 긴급회의를 열고 “공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 3000만개 이상 고객 계정의 고객명, 이메일, 발송지 전화번호 및 주소를 유출한 것으로 확인했다”고 설명했다. 정부는 회의에서 국가 배후 범죄 가능성에 대해서도 논의했으며 쿠팡 서버에서 악성 코드는 발견되지 않았다고 밝혔다. 쿠팡의 개인정보보호법상 안전조치의무 위반이 확인되면 엄정 제재할 방침이다. 이번 사고가 쿠팡의 내부 직원 소행이라는 추측이 나오면서 내부 보안 대책에 허점이 있었다는 비판도 피할 수 없게 됐다. 특히 수천만명의 정보가 새 나가는 동안 자체적으로 부정·불법행위를 탐지해 내지 못할 정도로 쿠팡 서버의 모니터링 체계가 미흡했다는 지적이 나온다. 염흥열 순천향대 정보보호학과 명예교수는 “유출자가 직장 상사 등의 ID와 비밀번호를 확보해 타인의 접근 권한까지 가졌을 가능성이 있다”며 “서버 접속 과정에서 2차 인증이 필요한데도 1차 인증만으로 통과되는 등 인증 체계에 취약점이 있는 것으로 추정된다”고 말했다. 쿠팡의 책임과 보상을 촉구하기 위한 소비자 움직임도 확산하고 있다. 지난 29일 네이버에 개설된 ‘쿠팡 정보유출 집단소송 카페’ 운영진은 “3370만명이 피해를 본 초유의 사태에 대해 법적 책임을 묻고 공동 대응 방안을 마련하겠다”며 출범 취지를 밝혔다. 카카오톡에서 ‘쿠팡 정보유출 피해자 모임’ 채팅방을 개설한 이모(49)씨도 “개인의 힘으로는 거대 기업인 쿠팡의 안일한 대응에 맞서기 어렵다고 판단했다”면서 “집단분쟁조정 신청이나 공동소송까지 고려하고 있다”고 설명했다. 손해배상 집단소송을 준비 중인 김경호 변호사(법무법인 호인)는 “핵심 쟁점은 쿠팡이 개인정보보호법 제29조에 따른 안전조치의무를 다했는지 여부”라면서 “해킹 기술이 고도화됐다 하더라도 쿠팡이 당시 기술 수준에서 요구되는 접근 통제, 접속 기록 보관, 암호화 조치 등을 소홀히 했다면 과실이 인정된다”고 주장했다.

3370만명 고객정보 무단 노출 확인중국 국적 전 직원이 정보 빼돌린 듯카드·통신 사고 이어 불안감 확산 국내 1위 온라인 유통 기업인 쿠팡에서 우리나라 국민의 절반이 넘는 약 3370만명의 고객 계정 정보가 무단으로 노출되는 초유의 사고가 벌어지면서 국민 불안이 소위 포비아(공포증) 수준으로 치닫고 있다. 역대 최대 규모의 고객 정보 유출인 데다 쿠팡이 5개월간 지속된 개인정보 탈취 시도조차 인지하지 못했기 때문이다. 이번 사고가 중국 국적의 내부자 소행이라는 언급도 나온다. 전문가들은 이 사태가 스미싱(문자로 악성 링크 클릭을 유도하는 피싱 공격)이나 보이스피싱 등 추가 피해로 연결될 가능성을 경고했다. 쿠팡이 고객 계정의 이름, 이메일, 배송지 주소록(입력한 이름·전화번호·주소), 일부 주문 정보가 노출된 사실을 지난 29일 확인한 가운데 박대준 쿠팡 대표는 30일 정부서울청사에서 “국민 여러분께 불편을 끼쳐 드려 진심으로 사과드린다”며 첫 사과에 나섰다. 쿠팡은 지난 18일 약 4500개 계정의 개인정보가 노출된 사실을 인지했다고 밝혔지만 후속 조사에서 7500배나 많은 3370만개가 유출된 것으로 확인됐다. 쿠팡 구매 이력이 있는 고객 수(2470만명)보다 900만명이나 많고, 역대 최대 과징금인 1348억원 처분을 받은 SK텔레콤의 개인정보 유출 규모(2324만명)도 크게 웃돈다. 쿠팡은 지난 6월 24일부터 5개월 동안 지속된 개인정보 탈취 시도를 전혀 파악하지 못했다는 점에서도 책임을 피하기 어려워 보인다. 여기에 중국 국적의 전 쿠팡 직원이 고객 정보를 유출했다는 의혹도 제기됐다.  경찰은 쿠팡으로부터 서버 기록 등 이번 사건과 관련한 자료를 임의 제출받아 분석 중이다. 경찰은 “모든 가능성을 열어 두고 절차에 따라 수사하고 있다”고 전했다. 다만 쿠팡 측은 내부 직원 소행 가능성에 대해선 확인이 어렵다는 입장이다. 쿠팡은 이날 오후 웹사이트와 애플리케이션에 게재한 사과문에서 “결제 정보, 신용카드 번호, 로그인 정보는 노출되지 않아 고객이 계정 관련해 조치를 취할 필요는 없다”고 밝혔다. 하지만 전문가들은 이번 사고가 스미싱이나 보이스피싱 등 추가 피해로 연결될 가능성을 경고한다. 한국인터넷진흥원(KISA)은 ‘피해 보상’이나 ‘피해 사실 조회’, ‘환불’ 등의 키워드로 피해 기업(쿠팡)을 사칭하는 스미싱이나 보이스피싱 등에 주의할 것을 권고했다. 김기형 아주대 사이버보안학과 교수는 “최근 주문 건에 문제가 있다며 주소나 연락처를 다시 확인하라는 식의 피싱이 대표적”이라면서 “문자, 전화, 카카오톡 등 어떤 채널에서도 모르는 링크는 클릭하지 않는 것이 중요하다”고 말했다. 정보 유출 경로가 오리무중인 상황에서 피해를 본 소비자들은 분통을 터뜨리고 있다. 빠른 배송 때문에 쿠팡을 애용했다는 구정순(62)씨는 이번 사태가 터지자마자 쿠팡을 탈퇴했다. 구씨는 “회사가 정확한 진단이나 대책을 내놓지 못해 정보가 유출된 피해자만 발을 동동 구르고 있다”며 “‘전화번호는 노출됐는데 카드 정보와 비밀번호는 노출되지 않았다’는 회사의 설명을 어떻게 믿겠느냐”고 말했다. 일부 고객 사이에서는 공동 현관 비밀번호도 털렸을 수 있다는 불안감이 높은 상황이다. 쿠팡의 경우 음식이나 택배 배송 요청란에 아파트 공동 현관 비밀번호를 쓰는 경우가 많고 이를 배송 정보로 관리하기 때문이다.

3370만개에 달하는 쿠팡 고객 계정의 개인정보 유출은 외부 해킹이 아닌 내부자 소행으로 보이는 정황이 있는 것으로 전해졌다. 30일 연합뉴스 등에 따르면 서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아 개인정보 유출 사태에 대한 수사에 착수했다. 쿠팡의 고소장에 피고소인이 특정되지 않고 ‘성명불상자’로 기재됐지만, 내부에서 고객 정보를 비인가 조회한 주체가 쿠팡에 근무했던 중국 국적자로 추정된다고 연합뉴스는 보도했다. 이 직원이 외국 국적자인 데다 이미 쿠팡을 퇴사해 한국을 떠난 것으로 전해지면서 수사가 쉽지 않은 것 아니냐는 우려도 나온다. 쿠팡은 앞서 이번 정보 유출 사고가 해킹 등 외부 요인에 따른 것이 아님을 시사한 바 있다. 쿠팡은 정보 유출 피해 고객 계정이 4500여개라고 발표했던 지난 20일 당시 입장문에서 “고객 개인정보가 비인가 조회된 것으로 확인됐다. 쿠팡 시스템과 내부 네트워크망의 외부 침입 흔적은 없는 것으로 확인했다”고 밝혔다. 쿠팡은 현재까지 고객 계정 약 3370만개가 유출된 것을 확인했다. 이는 국내 성인 4명 중 3명의 정보에 해당하며 사실상 쿠팡 전체 계정에 맞먹을 것으로 추정되는 규모다. 유출 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보 등이다. 또 쿠팡은 정보 침탈 시도가 이미 5개월 전인 지난 6월 24일 시작된 것으로 보고 있다. SK텔레콤과 KT 등 최근 발생한 대규모 정보 유출 사건은 주로 외부 해킹에 의한 것이었으나, 이번 사태는 내부 직원의 소행으로 추정되면서 쿠팡의 내부 관리 허점이 드러났다는 지적이 나온다. 쿠팡의 이번 고객 정보 유출 규모는 지난 2011년 약 3500만명이 정보 유출 사태를 겪은 싸이월드·네이트 사례와 맞먹는다. 당시 이 사고는 해킹으로 인한 것이었다. 개인정보 보호 위반으로 개인정보보호위원회로부터 역대 최대 과징금(1348억원) 처분을 받은 SK텔레콤의 개인정보 유출 역시 해킹 사고였다. 한편 경찰 수사와 별개로 정부는 민간과 합동조사단을 꾸려 사고 원인 분석에 나선 상황이다. 과학기술정보통신부는 쿠팡 침해사고 및 개인정보 대규모 유출 사고와 관련해 민관합동조사단을 꾸려 사고 원인 분석 및 재발 방지 대책을 마련할 계획이다.

해킹 사고로 297만명 개인정보가 유출된 롯데카드가 대대적인 인적 쇄신에 나섰다. 본부장 절반 이상을 교체하고 정보보호 조직을 최고경영자(CEO) 직속으로 격상하는 등 보안 중심의 체질 개선에 착수했다. 7일 카드업계에 따르면 롯데카드는 최근 이사회를 열고 7개 본부장 중 4명을 교체했다. 구영우 금융사업본부 부사장과 한정욱 디지로카본부 부사장이 임기를 남기고 물러났고, 김성식 경영관리본부장과 임정빈 영업본부장도 연말 퇴사할 예정이다. 동시에 기존 전략본부 산하 ‘정보보호실’을 대표이사 직속 ‘정보보호센터’로 격상해 보안 기능을 강화했다. 센터장은 최용혁 상무가 맡는다. 롯데카드는 이와 함께 조직개편도 단행했다. 기존 전략본부 산하에 있던 ‘정보보호실’을 대표이사 직속 ‘정보보호센터’로 격상했다. 정보보호센터장은 기존 정보보호실장이던 최용혁 상무가 맡는다. 아울러 기능 중심이던 조직구조를 고객 중심의 사업 조직으로 재편했다. 기존 7본부 체계에서 1부·6본부 체제로 효율화를 단행하고, 개인고객 대상 사업영역을 총괄하는 ‘개인고객사업부’를 신설했다. 앞서 조좌진 롯데카드 대표는 해킹 사고 이후 “대표이사인 저를 포함해 대대적인 인적 쇄신과 정보보호 거버넌스 변화를 제로베이스에서 추진하겠다”며 “고객정보 유출은 어떠한 변명도 통하지 않는 문제”라고 밝힌 바 있다. 한편, 금융감독원은 오는 10일부터 롯데카드에 대한 정기검사에 착수한다. 지난 9월 해킹 관련 전자금융사고 보고 직후 시작된 수시검사가 마무리되면서 정기검사로 이어지는 것이다. 이번 검사는 IT·정보보호·경영실태 등 전사적 시스템을 대상으로 이뤄진다. 개인정보 유출과 관련해 최대 6개월 영업정지나 50억원 과징금 부과 등 강도 높은 제재가 내려질 가능성도 거론된다.

롯데카드에서 고객 297만명의 개인정보가 유출된 데 이어 올해 들어 금융권에서만 8건의 해킹 사고가 발생한 것으로 나타났다. 사고가 잇따르자 금융당국은 은행·보험·카드·금융투자사 등 전 업권을 대상으로 보안 실태 전수 점검에 들어갔다. 22일 금융감독원이 강민국 국민의힘 의원실에 제출한 자료에 따르면, 올해 1월부터 지난달까지 확인된 금융권 해킹 사고는 총 8건이다. 지난 2월 아이엠뱅크를 시작으로 KB라이프생명·노무라금융투자(5월), 한국스탠다드차타드은행(5월), 하나카드(6월), 서울보증보험(7월), 약사손해보험·롯데카드(8월) 등 주요 금융사가 잇달아 침해 사고를 겪었다. 금감원 직접 감독 대상이 아닌 영역까지 해킹이 확산된 정황도 확인됐다. 실제로 법인보험대리점(GA) 2곳에서 개인정보 유출 사례가 보고됐고, 웰컴금융그룹 계열 대부업체 웰릭스에프앤아이에서도 지난 8월 해킹 피해가 발생했다. 이날 김현정 더불어민주당 의원실이 금감원으로부터 제출받은 자료를 보면, 트라움자산운용·트러스타·포어모스트·포도 등 4개 사모운용사도 고객정보 유출 가능성을 금감원에 공식 보고한 것으로 확인됐다. 2020년 이후 지난달 말까지 금융권에서 발생한 해킹 사고는 총 31건으로 집계됐다. 이 과정에서 5만 1004건의 개인정보가 유출됐다. 피해 배상 대상은 172명, 금액은 2억 700만원 수준이다. 공격 유형은 서비스 거부(DDoS) 공격이 13건(41.9%)으로 가장 많았고, 악성코드 감염과 시스템 취약점 해킹이 각각 7건이었다. 금감원은 사고 확산세를 감안해 금융권 전반의 보안 실태 점검을 강화하는 한편, 필요 시 현장 검사와 제재 조치도 병행한다는 방침이다. 이찬진 금감원장은 지난 21일 국정감사에서 “금융사의 정보보호 투자 의무를 법으로 명시하는 ‘디지털금융안전법’(가칭)을 연내 마련하겠다”며 “외부 위탁사를 포함한 전체 보안 체계를 전면적으로 재정비하겠다”고 밝혔다.

금융당국이 롯데카드 해킹 사고와 관련해 현장검사를 연장했다. 피해 고객들 사이에서는 집단소송 움직임도 확산하고 있다. 19일 금융권에 따르면 금융감독원은 당초 이날 종료 예정이던 롯데카드 현장검사를 연장하기로 했다. 1차 검사에서 고객정보 유출 규모를 확정한 데 이어, 2차 검사에서는 보안 취약점과 법 위반 여부를 집중 점검 중이다. 검사 결과는 제재심의위원회 안건으로 상정돼 기관 제재 수위에 반영된다. 금융위와 금감원은 이번 사고를 “중대한 위법”으로 규정했다. 금융위 관계자는 “허술한 보안체계에 대해 강도 높은 책임을 물을 예정”이라며 최고 수위 제재를 예고했다. 업계에선 기관 경고 이상 중징계와 일부 영업정지, 임원 해임 권고 가능성이 거론된다. 사고 경위는 늑장 대응 논란을 낳았다. 해킹은 지난달 14일 발생했으나 롯데카드가 서버 이상을 인지한 것은 같은 달 26일이었다. 당국 신고는 9월 1일에야 이뤄졌고, 공식 발표는 지난 18일로 해킹 발생 후 37일이나 지나서였다. 피해 규모는 297만명에 달한다. 이 중 28만명은 카드번호·유효기간·보안코드(CVC)까지 유출돼 부정사용 위험이 크다. 나머지 269만명은 CI값, 내부식별번호 등 부차적 정보가 유출됐다. 롯데카드는 아직 실제 부정사용 사례는 확인되지 않았다고 설명했다. 피해 고객들의 집단소송 움직임도 커지고 있다. 네이버 카페 ‘롯데카드 개인정보유출 집단소송카페’ 회원 수는 1300명을 넘어섰고, 이 중 700명 이상이 소송 참여 의사를 밝혔다. 과거 카드사 유출 사건에서 1인당 7만~10만원 수준의 배상 판례가 있었던 만큼 이번에도 대규모 배상 책임이 예상된다. 이번 사태로 보안 인증 제도의 실효성 논란까지 나오고 있다. 롯데카드는 지난달 12일 금융보안원으로부터 최고 수준 보안 인증인 ISMS-P를 받았지만, 같은 날 첫 해킹 시도가 이뤄졌기 때문이다. 금융권 안팎에선 “인증 제도를 근본적으로 손봐야 한다”는 목소리가 커지고 있다. 조좌진 롯데카드 대표는 “피해액 전액을 보상하겠다”며 사임 가능성까지 언급했지만, 여론은 가라앉지 않고 있다. 금융권 관계자는 “개별 회사 차원을 넘어 금융권 전반의 신뢰를 흔드는 사안인 만큼 제재 수위가 높아질 수밖에 없다”고 말했다.

조좌진 롯데카드 대표이사를 비롯한 관계자들이 18일 서울 중구 부영태평빌딩에서 기자회견을 열고 해킹 사고로 인한 고객 정보 유출 사태에 대해 고개 숙여 사과하고 있다. 롯데카드는 이날 기자회견에서 외부 해킹 공격으로 297만명의 고객 정보가 유출된 것으로 확인됐다고 밝혔다. 전체 유출 고객 중 카드 부정 사용이 발생할 가능성이 있는 고객은 총 28만명이며 유출 범위는 카드번호, 유효기간, CVC번호 등이라고 조 대표는 말했다.

롯데카드가 지난달 14일 해킹 공격을 당했으나 31일에야 이를 인지해 금융당국이 긴급 대응에 나섰다. 2일 금융감독원에 따르면 롯데카드 온라인 결제 서버가 지난달 14일 오후 7시 21분경 최초 해킹됐으며, 15일까지 이틀에 걸쳐 공격이 이어졌다. 유출된 데이터는 약 1.7GB(기가바이트)로, 카드 정보와 온라인 결제 요청 내역이 포함된 것으로 추정된다. 해커는 16일에도 추가 시도를 했으나 이때는 파일 반출에 실패했다. 문제는 롯데카드가 해킹 사실을 17일이 지난 31일 정오에야 파악했다는 점이다. 금융당국 신고는 9월 1일에 이뤄졌다. 이찬진 금융감독원장은 이날 임원회의에서 비상대응체계 가동을 지시했다. 또한 현장검사를 통해 사고 원인 및 피해 규모 등을 점검하라고 지시했다. 이 원장은 롯데카드 측에도 소비자 피해 최소화를 위한 방안을 마련하도록 조치했다. 아울러 롯데카드 고객이 원할 경우 손쉽게 카드를 해지 또는 재발급할 수 있도록 홈페이지에 별도 안내 절차를 마련할 것을 주문했다. 또 금융회사 등 금융권 전반에 자체 금융보안 관리체계를 전면 재점검할 것을 당부했으며, 관리 소홀로 인한 금융보안 사고에 엄정한 제재를 할 것이라고 강조했다. 전날 롯데카드로부터 해킹 공격 발생 사실을 보고 받은 금감원은 이날 금융보안원과 현장검사에 착수해 고객정보 유출 여부 등을 확인하고 있다. 롯데카드 측에 전용 콜센터를 운영하고 이상금융거래 모니터링을 강화하도록 했으며, 카드 부정사용 등 피해가 발생할 경우 전액 보상 절차를 마련하도록 조치했다. 여신전문금융업법 등에 따르면 카드사는 해킹 등에 따른 카드 부정사용이 발생할 경우 보상 책임을 부담해야 한다. 롯데카드는 백신 추가 설치와 악성코드 진단 조치를 실시하고, 정보 유출 가능 고객들에게 카드 비밀번호 변경을 안내할 예정이다.

지난달 해킹으로 전산시스템 장애를 겪은 SGI서울보증보험을 공격한 랜섬웨어 조직이 13.2테라바이트(TB) 규모의 내부 자료를 탈취했다고 주장해 파장이 일고 있다. 이에 대해 SGI서울보증과 금융당국은 “아직 확인된 바 없다”고 밝혔다. 5일 보안업계에 따르면 아랍에미리트(UAE)를 중심으로 활동하는 보안 기업 핵마낙(Hackmanac)은 최근 소셜미디어(SNS)를 통해 “해커 집단 ‘건라’(Gunra)가 SGI서울보증 사이버 공격이 자신들의 소행이고 13.2TB 규모의 데이터베이스를 확보했다고 주장한다”고 밝혔다. 13TB는 A4용지 약 30억장 분량으로, 400㎞ 높이 종이 탑을 쌓을 수 있는 수준의 방대한 양이다. 주장이 사실이라면 대량의 개인정보 유출 가능성이 제기될 수 있다. 앞서 SGI서울보증은 지난달 14일 새벽부터 17일 오전까지 시스템 장애로 나흘간 보증서 발급을 중단한 바 있다. 원인은 랜섬웨어 공격으로 파악됐으며 당시 금융보안원과 함께 대응 작업에 나섰다. 다만 SGI서울보증과 금융당국은 현재까지 데이터 유출 정황은 확인되지 않았다는 입장이다. SGI서울보증 관계자는 “오늘(5일)까지 고객정보를 포함한 대용량 내부 정보가 실제 유출된 정황은 없다”면서도 “향후 민감정보 유출이 확인될 경우 필요한 대응 조치를 신속히 수행하고 정보주체 손해를 전액 보상할 방침”이라고 말했다. 금융당국 관계자 역시 “금융보안원 등을 통해 파악한 결과 해커 세력의 주장 외에 근거는 없다”며 “현재로선 터무니없는 주장으로 보고 있다”고 일축했다.