쿠팡이 3370만 명의 개인정보를 유출한 전 직원을 특정하고, 해당 범행에 쓰인 노트북과 하드 드라이브 등 장치를 회수했다는 자체조사 결과를 25일 발표했다.
이날 쿠팡은 “유출자가 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다”며 이같이 밝혔다. 쿠팡에 따르면 해당 직원은 약 3300만 명의 고객 계정에 접근했고 이 가운데 약 3000개 계정에서 공동현관 출입번호 2609개와 이름·이메일·전화번호·주소·일부 주문 정보 등을 빼내 실제로 저장했다. 유출자는 이후 한국에서 수사가 시작되자 극도의 불안에 빠졌으며, 증거를 은폐하기 위해 범죄에 쓰였던 맥북 에어 노트북 등을 파손한 뒤, 쿠팡 로고가 있는 에코백에 넣고 벽돌을 채워 하천에 내다버렸다는 게 쿠팡의 설명이다.
쿠팡은 “유출자의 자백을 바탕으로 잠수부들이 범죄에 쓰인 장치를 회수했으며 전문 기업의 포렌식을 거쳤다. 제3자에게 유출된 정보는 없는 것으로 확인했다”고 덧붙였다. 쿠팡은 사건 초기부터 맨디언트·팰로앨토네트웍스·언스트앤드영 등 글로벌 사이버 보안업체에 의뢰해 조사를 진행했다면서 “지난 17일부터 유출자에게 받은 진술서와 개인정보 유출에 쓰인 장치를 순차적으로 정부 기관에 제출했다”고 덧붙였다. 하지만 불안감은 여전하다.
이날 쿠팡은 “유출자가 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다”며 이같이 밝혔다. 쿠팡에 따르면 해당 직원은 약 3300만 명의 고객 계정에 접근했고 이 가운데 약 3000개 계정에서 공동현관 출입번호 2609개와 이름·이메일·전화번호·주소·일부 주문 정보 등을 빼내 실제로 저장했다. 유출자는 이후 한국에서 수사가 시작되자 극도의 불안에 빠졌으며, 증거를 은폐하기 위해 범죄에 쓰였던 맥북 에어 노트북 등을 파손한 뒤, 쿠팡 로고가 있는 에코백에 넣고 벽돌을 채워 하천에 내다버렸다는 게 쿠팡의 설명이다.
쿠팡은 “유출자의 자백을 바탕으로 잠수부들이 범죄에 쓰인 장치를 회수했으며 전문 기업의 포렌식을 거쳤다. 제3자에게 유출된 정보는 없는 것으로 확인했다”고 덧붙였다. 쿠팡은 사건 초기부터 맨디언트·팰로앨토네트웍스·언스트앤드영 등 글로벌 사이버 보안업체에 의뢰해 조사를 진행했다면서 “지난 17일부터 유출자에게 받은 진술서와 개인정보 유출에 쓰인 장치를 순차적으로 정부 기관에 제출했다”고 덧붙였다. 하지만 불안감은 여전하다.
━
쿠팡의 한국패싱…당국 수사 중인데 ‘범행 노트북’ 포렌식
![대통령실이 쿠팡 관련 장관급 회의를 소집한 25일 서울 중구 쿠팡 물류센터 모습. [뉴스1]](https://thumb.zumst.com/780x0/https://static.news.zumst.com/images/2/2025/12/26/8ffb65a4f96d4bd4a1f9296aa0310990.jpg) |
대통령실이 쿠팡 관련 장관급 회의를 소집한 25일 서울 중구 쿠팡 물류센터 모습. [뉴스1] |
쿠팡은 유출자를 어떻게 접촉해 진술을 확보했는지, 민관합동조사단이 가동 중인데도 어떤 이유로 직접 조사를 수행했는지에 대해선 입장을 밝히지 않았다. 용의자의 범행 동기와 탈취한 정보를 제3의 인물이나 기관에 유출하지 않았는지도 불투명한 상황이다. 쿠팡 관계자는 “발표한 내용 이외에 확인해 줄 수 없다”며 “직원의 국적과 체포 장소, 범인이 사용 후 장치를 버린 하천이 한국인지, 중국인지도 공개하기 어렵다”고 말했다.
또 대통령실이 쿠팡 사태 해법을 논의하기 위한 관계부처 장관급 회의를 개최한 날, 회의 시작 직전 쿠팡 단독으로 조사한 내용을 발표한 것을 놓고도 논란이 일고 있다. 이와 관련, 쿠팡은 하루라도 빨리 고객의 불안을 덜기 위해서였다는 입장인 것으로 전해졌다.
하지만 정부는 쿠팡의 발표 직후 쿠팡이 일방적으로 조사 사항을 알린 것에 강력히 항의했다. 과학기술정보통신부는 “쿠팡이 주장하는 사항은 현재 진행 중인 민관합동조사단에는 확인되지 않았다”고 밝혔다. 경찰은 “피의자 진술서와 노트북을 지난 21일 임의제출 받아 분석 중”이라고 밝혔다. 또 “피의자가 진술서를 실제 작성했는지 여부와 노트북이 범행에 사용한 증거물인지는 확인해 봐야 안다”고 했다.
이런 가운데 50만 명에 달하는 쿠팡 이용자가 집단소송에 나섰다. 중앙일보가 쿠팡 집단소송을 진행하는 11개 로펌을 취재한 결과, 수치가 확인된 9개 로펌에서 진행하는 집단소송에 참여한 사람만 48만3800명이었다. 이들은 1인당 10만~100만원의 배상금을 청구했다.
1인당 평균 배상 청구액은 13만2699원으로, 총 청구액(소송가액)은 642억원이다. 김병국 번화 법률사무소 변호사는 “(유출 사고 이후) 쿠팡의 태도에 분노를 느껴 책임을 묻고 싶다는 피해자들이 많다”고 말했다.
법원이 11개 로펌이 진행하는 소송에서 한 번이라도 ‘배상하라’고 판결하면 쿠팡이 지급해야 할 배상금은 눈덩이처럼 불어날 수 있다. 지켜보던 다른 피해자들도 줄줄이 소송에 나설 수 있어서다. 3370만 명이 넘는 전체 피해자에게 현재 집단소송 중인 평균 청구액(13만원)만큼만 보상해도 배상금은 단순 계산으로 최대 4조4719억원까지 늘어난다. 이는 지난해 쿠팡 전체 영업이익(1조2827억원)의 3.5배에 달하는 금액이다.
정태원 법무법인 LKB평산 변호사는 “과거 개인정보 유출 관련 소송 사례를 보면 첫 재판 결과가 다른 소송에도 적용된다”며 “첫 판결 뒤 소멸 시효 전까지 집단소송이 이어질 수 있다”고 말했다.
법조계에서는 그간 발생한 대규모 개인정보 유출 사례의 1인당 배상금이 통상 10만원 선이었고, 이재명 대통령도 ‘징벌적 손해배상’을 언급한 만큼 배상 규모가 더 커질 수 있다는 전망도 나온다. 정 변호사는 “재판에서 정신적 손해를 포함해 징벌적 손해배상을 주장할 것이다. 쿠팡은 해킹을 당한 게 아니라, 직원 소행이라 허술한 내부 보안시스템을 문제 삼을 수 있다”고 지적했다.
소송 참가자들은 주민등록번호나 카드번호 같은 금융 정보와 공동현관 비밀번호 유출을 우려하는 목소리도 크다. 각 로펌이 온라인 사이트에서 신청을 받는 가운데 소송 참여자는 최근 사흘 사이 하루 평균 약 3만 명씩 빠르게 늘고 있다. 최경진 가천대 법학과 교수는 “징벌적 손해배상은 실제 손해 여부 입증이 어려운 부분이 있지만, 공동현관 비밀번호 등이 유출돼 이를 바꾸는 부수적 비용(시간)이 들었기 때문이 이 점이 배상액 산정에 관건이 될 수 있다”고 말했다.
최현주·임선영·노유림 기자
▶ 중앙일보 / '페이스북' 친구추가
▶ 넌 뉴스를 찾아봐? 난 뉴스가 찾아와!
ⓒ중앙일보(https://www.joongang.co.kr), 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.