YTN

■ 진행 : 이여진 앵커, 장원석 앵커
■ 출연 : 김성수 변호사

* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기 바랍니다. 인용 시 [YTN 뉴스PLUS] 명시해주시기 바랍니다.

[앵커]
쿠팡의 대규모 개인정보 유출 사태에 대한민관 합동 조사 결과가 두 달여 만에 나왔습니다. 정부 추정대로 3300만 건 넘는 개인 정보가 유출된 것으로 확인됐고 범행 수법도 드러났습니다. 관련 내용 김성수 변호사와 짚어봅니다. 어서오세요. 오늘 과기부에서 발표한민관 합동조사단의 조사 결과 브리핑먼저 들어보고 얘기 나눠보겠습니다.

[앵커]
앞서서 쿠팡은 4500여 건만 유출됐다 이렇게 밝혔었는데 정부 추정대로 3300만 건이 넘는 정보 유출이 있었던 것으로 확인됐죠?

[김성수]
맞습니다. 오늘 과학기술정보통신부에서 민간합동조사단의 쿠팡 전 직원에 의한 정보통신망 침해 사고에 대한 조사 결과 발표가 있었습니다. 그리고 말씀하신 것처럼 2025년 11월 19일에 쿠팡이 한국인터넷진흥원에 침해 사고가 발생했다고 신고할 당시에는 4536건의 개인정보가 유출됐다고 했었는데 오늘 조사 결과에서는 개인정보 관련해서 성명, 이메일 같은 경우만 하더라도 3367만 건이 유출된 것이 확인됐다 이렇게 얘기가 나오다 보니까 결국에는 쿠팡의 당시 신고 내용과는 굉장히 다른 것이 아니냐, 이런 얘기가 나오는 겁니다.

[앵커]
그러면 구체적으로 어떤 개인정보가 털린 겁니까?

[김성수]
오늘 발표에서는 굉장히 다양한 부분이 유출됐다든지 조회가 됐다, 이런 얘기가 언급됐었는데 일단 유출 관련해서 내 정보를 수정하는 페이지가 있습니다. 쿠팡에 들어가면 내 정보를 수정하는 페이지가 있는데 이게 3367만 3817건이 유출됐다고 보고 있는 겁니다. 그래서 여기에는 성명 그리고 이메일 주소가 들어가 있습니다. 그리고 다음으로 배송지 목록 페이지라는 것이 있는데 저희가 주문을 하면 배송지를 기재하게 되잖아요. 그런데 이게 내가 내 친구한테 보낼 수도 있고 부모님한테 보낼 수도 있는데 그런 것들이 다 저장돼 있거든요. 그런데 이 목록 페이지가 유출된 것으로 보이는 조회가 있다 보니 결국에는 그렇다면 아이디마다 이 사람의 가족이라든지 이런 부분에 대해서도 어떤 인간관계까지도 확인되는 그런 부분이 유출된 것으로 우려된다 이런 부분이 하나 있는 것이고. 또 배송지 목록 내에 수정할 수 있는 페이지가 있습니다. 정보를 수정한다든지 이런 것들이 있는데 여기는 확인하게 되면 저희가 새벽 배송 같은 경우에는 공동현관에 대한 비밀번호를 기재하잖아요. 그런데 공동현관 비밀번호 같은 것들이 포함되어 있는 겁니다. 그렇다 보니 이 부분도 굉장히 내밀한 정보라고 볼 수 있는 그런 부분이었고 또 주문목록 페이지라고 해서 저희가 문을 하면 최근에 뭘 주문했는지 온라인으로 확인되게 되어 있습니다. 그런데 이것 같은 경우에도 1억 회 이상을 확인하면서 각각의 사람이 어떠한 것들을 주문했었는지 이것을 통해서도 어떤 사람의 정보를 굉장히 많이 특정할 수 있는 부분이 있기 때문에 이런 것까지도 조회가 돼서 현재 유출의 가능성이 있다는 언급이 있던 겁니다.

[앵커]
말씀하신 대로 배송지 목록에는 본인의 집만 있는 게 아니라 친구 집, 부모님 집, 이런 주소까지 적어져 있기 때문에 정보유출 대상자 범위가 확대될 가능성이 있고요. 또 오늘 발표에는 지난번에 쿠팡이 추가로 밝힌 16만 5000여 건 계정 유출건은 포함되지 않은 것으로 알려졌거든요. 그러니까 오늘 발표보다 더 확대될 가능성이 있는 거죠?

[김성수]
맞습니다. 아직까지 지금 현재 발표 결과가 최종적인 결과라고 볼 수는 없습니다. 지금 개인정보보호위원회에서도 개인정보보호법 위반 관련해서 계속해서 확인하고 있는 절차가 있고 또 경찰에서도 관련 수사를 진행하고 있습니다. 그렇다 보니 현재까지는 일단 과학기술정보부에서 확인한 부분이 이야기된 것이고 오늘 이 발표의 목적 자체는 어떠한 원인으로 이렇게 사고가 발생했는지 그리고 재발방지대책에 관해서는 어떻게 논의되고 있는지 이런 것들을 국민들에게 알리기 위한 발표라고 볼 수 있는 것이고. 구체적으로 어느 정도의 유출이 있었고, 이와 관련해서 형사적인 책임이라든지 이런 것들은 향후에 다시 한 번 논해질 것이기 때문에 그 부분은 조금 더 지켜봐야 할 것 같습니다.

[앵커]
한 7개월 정도 비정상적인 로그인으로 정보를 유출한 것으로 드러났는데 이렇게 장기간 정보 유출될 때 쿠팡이 뭐 했는가, 이 점에 대해서는 법적인 문제를 물을 수 있습니까?

[김성수]
그 부분도 굉장히 중요한 사실관계가 될 겁니다. 일단 쿠팡 전 직원이 서명키를 퇴사할 때 가지고 나갔다고 보고 있는 것 같습니다. 그리고 서명키가 무엇을 하는 것이냐 하면 로그인을 할 때 전자출입증이라는 것을 만들어야 하는 것인데 서명키를 통해서 위변조하는 전자출입증을 만들 수 있었다는 것이고 위변조된 전자출입증이 만들어졌다고 한다면 로그인을 할 때 검증을 해서 로그인이 안 되도록 하는 그런 절차가 있어야 하는데 이것도 미흡했다는 겁니다. 그러다 보니까 이 부분이 지난해 4월부터 11월까지 약 7달이나 계속해서 침해 상황이 발생했는데도 불구하고 인지하지도 못했다라는 것 자체가 결국에는 어떤 부분이 쟁점될 수 있는가 하면 저희가 일단은 민사상 손해배상 책임이 쟁점이 될 겁니다. 개인정보가 유출된 것에 대해서 쿠팡 측에 소송이 진행되고 있죠. 그래서 이와 관련해서도 이렇게 인지하지 못할 정도로 관리가 소홀했다는 것에 대해서 과실이 인정될 가능성이 굉장히 높겠죠. 그리고 형사적인 책임, 어떤 형사적인 책임을 지는 그런 부분과 관련해서도 이런 시스템에 관해서 사실관계를 파악함에 있어서 중요한 사실관계가 될 것이기 때문에 이것도 굉장히 중요하다고 볼 수가 있습니다. 그리고 마지막으로 개인정보보호법 위반 부분이 있습니다. 개인정보보호법 관련해서 과징금 관련 규정이 있습니다. 64조 2에 있고 매출액의 100분의 3을 초과하지 않는 범위에서 과징금을 부과할 수 있다고 돼 있는데 개인정보보호법에서 보는 사실관계와 관련한 부분이 위반 행위의 내용 및 정도, 기간 및 횟수 그리고 안전성 확보 조치 이런 것들이 있는데 지금 현재 사실관계는 안전성 확보를 미흡하게 했다는 부분도 될 수가 있고 또 기간도 굉장히 장기간이었다는 것을 뒷받침할 수 있는 사실관계이기 때문에 이런 부분들과 관련해서도 굉장히 중요한 사실관계로 보인다, 이렇게 보입니다.

[앵커]
앞서 개인정보를 범인이 1억 4800만여 차례 조회했다고 말씀을 해 주셨는데 이렇게 많이 조회하는 게 어떤 의미가 있는 겁니까?

[김성수]
일단 배송지 목록 부분이라든지 이런 것들을 봤다는 것인데 개인정보라는 것이 성명과 이메일 주소도 개인정보죠. 그런데 성명과 이메일 주소 외에 내가 어떤 사람들에게 배송했었다, 배송지 목록 같은 경우는 내 가족의 관계라든지 내 친구의 관계 이런 것들을 확인할 수가 있고 또 거기서 내 가족이 어디 주소에 살고 어떠한 연락처를 갖고 있는지까지 알 수가 있지 않습니까? 개인정보라는 것은 단순하게 하나의 정보가 중요한 것이 아니라 계속해서 유기적으로 결합했을 때 이 사람에 대해서 어디까지 알 수 있느냐가 굉장히 중요하다고 볼 수 있는 것인데 지금 여러 차례 조회를 했던 부분들이 오히려 정말로 이 사람을 어떠한 사람인지 특정할 수 있는 굉장히 내밀한 정보라고 볼 수 있기 때문에 이런 부분을 조회했다는 것 자체가 개인정보가 단순하게 성명이라든지 조금 가치가 낮은 개인정보를 굉장히 높은 고도의 개인정보로 가치를 높이려고 한 그런 시도가 아닌가 이렇게 의심할 수 있는 사안이 아닌가 생각됩니다.

[앵커]
쿠팡 고객정보가 해외, 그러니까 외국 클라우드로 넘어갔을 가능성은 어떻게 보고 있습니까?

[김성수]
지금 현재 하드 그리고 SSD 이런 것들을 확보했었고 포렌식을 했습니다. 포렌식해서 지워진 내용을 확인하고 이렇게 되는 것인데. 그 과정에서 스크립트가 발견된 겁니다. 스크립트라는 것이 컴퓨터에 내리는 명령이라고 볼 수가 있는 것인데 공격자, 지금 현재 유출한 당사자로 보이는 사람이 정보수집 그리고 외부 서버에 이 정보를 전송하는 명령어를 작성한 것으로 보이는 그런 상황이 확인됐고 그리고 또 유출 정보를 해외 소재 클라우드, 그러니까 온라인에 있는 하드라고 볼 수 있는데 해외 소재에 있는 클라우드 서버에 전송을 가능하게 하는 그런 부분의 내용이 있었다고 이야기하고 있기 때문에 지금 현재 만약에 기록이 없어서 확인이 정확하게 되지 않았다고 얘기는 되고 있는데 이 부분이 맞다고 한다면 지금 하드디스크에는 몇 천 건밖에 없었다고 이야기가 나오고 있는데 그 외에 몇 천만 건에 달하는 개인정보는 해외에 있는 서버상에 올라가 있을 수도 있기 때문에 그렇다고 한다면 지금 계속해서 유출에 대한 위험성이 남아 있는 것이지 않습니까? 그래서 그런 부분들에 대해서도 조금 더 사실관계 확인이 필요하다는 사실관계입니다.

[앵커]
그리고 조사단은 오늘 구체적인 범인의 신원과 국적을 공개하지 않으면서 중국인인지 여부는 경찰 수사 영역이다, 이렇게 밝혔거든요. 정말 모르는 걸까요, 아니면 한중 관계를 고려한 것 아니냐. 이런 해석도 있더라고요.

[김성수]
우선 오늘 이 발표 자체가 앞서 말씀드렸던 것처럼 침해 사고의 원인을 분석하고 그리고 재발방지를 하기 위해서 과학기술정보부에서 진행했던 겁니다. 그리고 개인정보 위반이라든지 형사적인 부분은 경찰청, 그리고 개인정보보호위원회가 따로 진행하고 있기 때문에 거기서 조금 더 구체적으로 언급되지 않을까 생각되고. 오늘 유출자의 신원이라든지 국적 부분은 방금 말씀드렸던 원인분석이라든지 재발방지와 관련해서 직접적인 연관성은 없기 때문에 아마 따로 언급하지 않은 것이 아닌가 이렇게 추측하고 있습니다.

[앵커]
그리고 개인정보보호법 위반 여부 이 점은 왜 명확하게 발표가 안 됐을까요?

[김성수]
아무래도 지금 현재 개인정보보호위원회에서 개인정보보호 위반과 관련해서 과징금이 부과돼야 되지 않습니까? 그래서 사실관계를 특정하고 있는데 만약 과학기술정보통신부에서 이 부분 확인한 것과 다른 사실관계가 있다고 한다면 오히려 나중에 오해의 소지가 있기 때문에 이 부분 구체적인 내용에 대해서는 조금 언급을 피한 것이 아닌가 이렇게 예상하고 있습니다.

[앵커]
지금 해외 유출 여부도 확인이 안 되고 있고 범인의 신원, 국적도 발표가 안 됐고 세부 유출규모도 확정이 안 되지 않았습니까? 그렇기 때문에 합동조사단이 예정보다 서둘러서 발표한 것 아니냐, 이런 분석도 나오는 게 조만간 있을 미국 의회의 쿠팡 조사와 무관하지 않다. 이런 조심스러운 해석도 나오더라고요.

[김성수]
지금 현재 미국 의회에서 이 사태에 관해서 어떻게 파악하고 있는지에 관해서 아무래도 여러 가지 의문이 있는 상황인 것 같습니다. 왜냐하면 앞서 저희가 처음에 말씀드렸던 것처럼 쿠팡에서 2025년 11월 19일에 한국인터넷진흥원에 침해사고를 신고할 때는 4500건이라고 했거든요. 굉장히 적은 수였습니다. 그리고 이후에도 자체조사 결과를 이야기할 때 유출자의 하드를 확인해 봤을 때는 3000개 정도만 저장되어 있었기 때문에 그렇다면 유출한 것은 3000개라고 해서 지금 현재 정부에서 확인했던 3300만 건에 비해서 굉장히 적은 숫자를 이야기했지 않습니까. 그래서 만약에라도 우회해서 이렇게 적은 숫자의 유출에 관해서 쿠팡과 관련한 이슈가 되고 있다고 한다면 그 부분에 대해서 의회에서 어떻게 판단할지 알 수 없기 때문에 그런 부분 사실관계를 명확히 발표하기 위해서 아무래도 조금 더 서둘러서 발표한 것이 아니냐 이런 이야기가 나오는 것 같습니다.

[앵커]
또 과기정통부가 지난해에 자료 보전을 명령했지만 이를 따르지 않았잖아요. 그래서 5개월 분량의 접속기록이 삭제되고 또 앱 접속 기록도 삭제된 데 수사를 의뢰했는데 이게 고의성이 밝혀진다면 어떤 처벌을 받게 됩니까?

[김성수]
만약에 고의로 그 부분을 삭제되도록 해서 사실관계 확인이 어렵게 했다고 한다면 그때는 형사적인 처벌도 검토될 수 있습니다. 만약에 과실이라고 한다면 과실에 관해서도 형사적인 처벌 규정이 있다고 한다면 처벌이 되겠지만 통상적으로 형사책임은 고의범을 처벌하는 것이 원칙이거든요. 그렇다 보니 일단 과실 여부에 대해서 볼 것으로 보이고. 또 한 가지, 신고에 대해서도 지연신고한 것 자체에 대해서도 법적인 제재 사항이기 때문에 그런 부분에 대해서도 법적으로 의율 가능한지에 대해서 다시 한 번 검토하고 조치가 이루어지지 않을까 생각됩니다.

[앵커]
다음 주제 끝으로 살펴보겠습니다. 삼표그룹의 정도원 회장이 중대재해처벌법상 무죄를 1심에서 선고받았는데 이게 법에서 규정한 경영 책임자가 아니라고 재판부는 봤거든요. 이 점을 설명해 주실까요.

[김성수]
오늘 의정부지방법원에서 1심 선고가 있었던 겁니다. 사실관계가 당시 2022년 1월 27일에 중대재해처벌법이 시행됐습니다. 그리고 2022년 1월 29일에 삼표산업의 양주 사업소에서 토사가 매몰되면서 근로자 3명이 사망하는 사고가 있었습니다. 그렇다 보니 이 사건이 중대재해처벌법 시행 이후 첫 1호 사건이다, 이렇게 해서 관심을 받았던 사안이었는데 당시에 검찰에서 사건을 기소할 때 정 회장이 결국에는 중대재해처벌법상 2조 9호에서 규정하는 경영책임자에 해당한다 이야기했던 겁니다. 그래서 경영책임자에 해당한다 여부에 대해서 법원에서 판단을 했는데 법에서 규정하고 있는 경영책임자가 사업을 대표하고 사업을 총괄하는 권한과 책임이 있는 사람이라고 볼 수가 있는 것인데 이 부분에 해당한다고 보기에는 단정하기에는 어렵다 이렇게 해서 결국에는 경영책임자가 아니라고 한다면 지금 현재 사고가 발생한 것은 삼표산업이라는 회사고 지금 정도원 삼표그룹 회장 같은 경우에는 주식회사 삼표의 대주주라고 볼 수가 있기 때문에 그렇다면 이 부분 경영책임자가 아니라고 한다면 중대재해처벌법의 의율이 불가능하기 때문에 그렇기 때문에 무죄라고 1심이 선고된 사안이고 다만 현재 1심이 선고된 것이기 때문에 아직까지 항소라든지 상고, 여러 가지 절차가 남아 있다고 볼 수 있습니다.

[앵커]
오늘 도움말씀 여기서 줄이죠. 김성수 변호사였습니다. 고맙습니다.


※ '당신의 제보가 뉴스가 됩니다'
[카카오톡] YTN 검색해 채널 추가
[전화] 02-398-8585
[메일] social@ytn.co.kr