[일문일답] 개보위원장 "쿠팡 비회원 유출 434만명, 더 있을 개연성"

연합뉴스2026-06-11 14:00:42

"로그 삭제로 피해규모 확인 제한…2차 피해 없어도 경각심 필요"
"한미 통상 압박 고려 안 해…집단분쟁조정 12일 재개"

[일문일답] 개보위원장 "쿠팡 비회원 유출 434만명, 더 있을 개연성" — 개보위, 쿠팡 과징금 제재 관련 브리핑

(서울=연합뉴스) 차민지 기자 = 송경희 개인정보보호위원회 위원장은 11일 쿠팡 개인정보 유출 사건에서 비회원 정보주체 유출 규모를 최소 434만명으로 산정한 것과 관련해 "(증거를 통해) 확인할 수 있었던 규모"라며 "앱 로그 기록이 몇 개월분 삭제돼 모두 확인하기는 어려웠지만 더 있을 개연성도 상당히 높다"고 밝혔다.

앞서 개인정보위는 쿠팡 전 직원인 공격자(해커)가 회원 3천322만명과 회원이 아닌 정보주체 최소 434만명의 개인정보가 유출된 것으로 판단했다.

중복 조회했거나 회원 탈퇴 등으로 데이터베이스(DB)에 개인정보가 존재하지 않는 경우는 제외했다.

양청삼 개인정보위 사무처장은 쿠팡의 '2차 피해가 확인되지 않았다'는 주장에 대해 "현재까지 유출 정보가 실제 2차 피해에 활용됐다는 사실이 확인되지 않았을 뿐"이라며 "정보가 회수됐거나 위험이 해소된 상황이라고 보기는 어렵다"고 말했다.

다음은 송경희 개인정보위원장과 양청삼 개인정보위 사무처장, 개인정보위 설명자료 등을 토대로 정리한 일문일답.

-- 민관합동조사단이 발표한 3천367만여건과 개인정보위가 발표한 유출 규모가 다른 이유는.

▲ (개인정보위) 과기정통부 민관합동조사단은 접속기록 등을 바탕으로 '회원정보 수정 페이지' 조회 건수를 기준으로 유출 규모를 산정했다. 반면 개인정보위는 공격자가 중복 조회한 경우와 회원 탈퇴 등으로 실제 개인정보가 DB 내에 존재하지 않는 경우 등을 제외해 산정했다. 그 결과 회원 3천322만명과 회원이 아닌 정보주체 최소 434만명의 개인정보가 유출된 것으로 확인됐다.

-- '회원이 아닌 정보주체'는 누구를 의미하나.

▲ (개인정보위) 공격자가 조회한 배송지 관리 페이지에는 이름, 전화번호, 주소 등 배송지 정보가 포함돼 있었다. 개인정보위는 휴대전화번호를 기준으로 쿠팡 회원 DB와 대조해 회원을 제외하고 중복을 제거하는 방식으로 비회원 정보주체 규모를 산정했다.

-- 회원이 아닌 정보주체 규모가 '최소' 434만명이라는 의미는 무엇인가.

▲ (송경희 위원장) 증거와 기록을 통해 확인할 수 있었던 규모가 434만명이다. 앱 로그 기록이 몇 개월 치 삭제돼 사실상 모두 확인하기는 어려웠다. 다만 접속 횟수와 공격자의 협박 이메일 내용 등을 종합적으로 고려하면 더 있을 개연성도 상당히 높다고 본다.

-- 쿠팡이 이번 사안을 미국과의 외교·통상 문제와 연결하려는 움직임이 있었는데.

▲ (송경희 위원장) 위원회는 쿠팡이 개인정보보호법을 위반한 사실과 이에 대한 증거, 조사 결과에 집중해 결론을 내렸다. 국내 회사인지 해외 회사인지, 또 이를 둘러싼 다른 영향들은 고려하지 않았다.

-- 어떤 부분을 가장 엄중하게 봤나.

▲ (양청삼 사무처장) 쿠팡은 인증토큰 기반 권한관리시스템을 운영하면서도 이에 필요한 핵심 인증키를 적절히 관리하지 못했다. 또 쿠팡은 국내 경제활동인구 상당수가 이용하는 대형 온라인 플랫폼인 만큼 개인정보처리시스템에 대한 침입 탐지와 대응 체계가 높은 수준으로 운영될 필요가 있다. 그러나 개인정보 페이지와 일반 상품 페이지에 대한 비정상 트래픽 탐지 기준을 동일하게 설정하는 등 침입 탐지 체계가 미흡했다고 봤다.

-- 쿠팡이 제공한 5만원 상당 쿠폰 보상 프로그램은 과징금 산정 과정에서 고려됐나.

▲ (양청삼 사무처장) 심의 과정에서 고려하려면 해당 프로그램이 실제 어느 정도 이용됐는지 정확히 확인되는 것이 중요하다. 다만 심의·의결 과정에서도 관련 질의가 있었지만, 쿠팡 측이 답변하지 않아 실제 집행 규모 등은 확인되지 않은 상황이다.

-- 쿠팡은 아직 2차 피해가 발생하지 않았다고 주장한다.

▲ (양청삼 사무처장) 조사 과정에서 현재까지 쿠팡에서 유출된 정보가 실제 2차 피해에 활용됐다는 사실이 확인되지 않았을 뿐이다. 그렇다고 정보가 회수됐거나 위험이 해소된 상황이라고 판단하는 것은 아니다. 해커의 협박 메일 등을 보면 확인된 규모보다 더 많은 정보가 유출됐을 정황도 있다. 향후 다양한 사이버 범죄에 활용될 가능성이 여전히 남아 있어 경각심이 필요하다.

-- 심의 과정에서 쿠팡의 주요 주장은 무엇이었나.

▲ (개인정보위) 쿠팡은 이번 유출 사고가 전직 직원이 재직 중 정당하게 알게 된 서명키 정보를 퇴사 후 악용한 데서 비롯된 것으로, 일반적인 개인정보 유출 사고와는 다르게 봐야 한다고 주장했다. 또 법에서 요구하는 인증키 관리와 이상행위 탐지·대응 의무도 충분히 이행했다고 소명했다.

-- 집단분쟁조정 절차는 어떻게 되나.

▲ (개인정보위) 현재까지 분쟁조정 신청은 2천578명(집단 2건·1천676명, 개인 902명) 접수됐다. 조사 진행으로 절차가 일시 중지된 상태였지만 이번 처분에 따라 12일부터 절차를 재개할 예정이다. 추가 참여도 가능하다.

chacha@yna.co.kr

마케팅

병원SNS, 일반 마케팅처럼 운영하시면 안 됩니다.

병원 SNS는 단순한 홍보 채널이 아닙니다. 환자 신뢰와 기준이 동시에 작용하는 영역입니다. 문제는 많은 병원에서 SNS를 일반 마케팅처럼 운영하다는 접입니다. 그래서 결과는 대부분 비슷합니다. 효과가 없거나, 운영하다가 문제가 생깁니다. SNS는 해야 할지의 문제가 아니라 “어떻게 운영하느냐”의 문제입니다. | 1. SNS는 광고 채널이 아니라 관계 채널입니다. ✅ SNS를 홍보로 쓰시면 실패합니다. 많은 병원에서 SNS를 이렇게 사용하십니다. ● 시술 홍보 반복 ● 이벤트 안내 중심 ● 가격 강조 컨텐츠 이 방식은 광고 채널이며, SNS 구조와 맞지 않습니다. SNS는 이 흐름 구조에서 작동합니다. ● 정보 제공 ● 병원 노출 ● 신뢰 형성 홍보만 반복하시면 반응이 쌓이지 않고, 전환도 발생하지 않습니다. SNS는 홍보가 아니라, 관계를 쌓는 구조로 운영하셔야 합니다. | 2. 채널보다 “환자 기준”이 먼저입니다. ✅ 채널부터 고르면 방향이 틀어집니다. “인스타가 좋을까요, 블로그가 좋을까요?” 이 질문은 순서가 잘못된 경우가 많습니다. 기준은 환자가 어디에 있는지 입니다. 예를 들면 ● 20~30대 → 인스타그램 / 숏폼 ● 비교·탐색형 환자 → 블로그 ● 신뢰 기반 정보 → 유튜브 채널에 따라 반응과 전환은 완전히 달라집니다. 채널을 먼저 정하면 효율이 아니라 시행착오가 반복됩니다. 채널이 아니라 환자 기준으로 선택하셔야 합니다. | 3. 정보만 올리시면 SNS는 작동하지 않습니다. ✅ 정보만 올리시면 SNS는 멈춥니다. 많은 병원 SNS가 이 상태입니다. ● 정보 위주 게시 ● 반응 없는 콘텐츠 ● 일방향 업로드 이 경우 계정이 있어도 효과가 거의 없습니다. SNS는 노출이 아니라 참여로 작동합니다. 핵심은 댓글, 저장, 공유, DM 입니다. 예를 들어 ● 질문형 콘텐츠 ● 체크리스트 콘텐츠 ● 공감 유도 콘텐츠 이 구조가 있어야 반응이 발생합니다. SNS는 게시물이 아니라 참여가 발생하도록 설계하셔야 합니다. | 4. 병원 SNS는 “경계 설정”이 가장 중요합니다. ✅ 선을 넘는 순간 바로 문제가 됩니다. 병원 SNS에서 가장 많이 문제가 발생하는 부분입니다. 대표적인 사례입니다. ● DM 상담 진행 ● 가격 및 치료 상세 안내 ● 개인 상태에 대한 답변 이 경우 대부분 문제가 됩니다. SNS에서는 정보 제공, 기본적인 소통은 가능합니다. 하지만, 진단, 치료 상담, 개인 맞춤 안내 이 영역은 확실히 구분해야 됩니다. 문제는 의도가 아니라 보이는 형태로 판단됩니다. SNS는 자유 채널이 아니라, 경계가 명확한 채널로 운영하셔야 합니다. | 5. 마무리 병원 SNS는 단순합니다. 잘 운영하시면 자산이 되고 잘못 운영하시면 리스크가 됩니다. 결국 기준은 이것입니다. ● SNS = 관계 채널 ● 채널 = 환자 기준 ● 효과 = 참여 구조 ● 운영 = 경계 설정 병원 SNS는 홍보가 아니라, 구조로 운영하셔야 합니다.

병원마케팅 2026. 04. 07

댓글 13·추천 2·조회 29

마케팅

맘카페, 선택이 아니라 ‘필수 채널’입니다.

병원은 더 이상 검색만으로 선택되는 구조가 아닙니다. 환자들은 병원을 검색하기 전에 이미 ‘맘카페’에서 정보를 확인합니다. 그리고 그 안에서 어느 병원을 비교할지부터 결정합니다. 맘카페에 언급되지 않는 병원은 비교 대상에 포함되지도 못합니다. | 1. 환자는 ‘검색’이 아니라 ‘흐름’에서 시작합니다. ✅ 선택은 비교로 이루어지지만, 시작은 흐름입니다. 환자는 병원을 비교해서 선택합니다. 하지만 처음부터 모든 병원을 비교하지는 않습니다. 먼저, 맘카페에서 언급된 병원들이 비교대상이 됩니다. ● 누가 추천하는지 ● 여러 사람이 반복 언급하는지 ● 자연스럽게 이어되는지 이 과정에서 이미 '후보 병원'이 정해집니다. 결국 선택은 비교로 이루어지지만 비교 대상은 흐름이 결정합니다. | 2. 맘카페는 ‘여론이 만들어지는 구조’입니다. ✅ 노출이 아니라 '반복되는 흐름'이 핵심입니다. 맘카페는 단순 후기 공간이 아닙니다. '추천이 쌓이는 구조'입니다. ● 질문글이 올라오고 ● 경험 기반 댓글이 달리고 ● 특정 추천 병원이 반복 언급됩니다. 한 번이 아니라 여러 사람이 같은 병원을 언급하는 순간 이 병원은 “검증된 병원”처럼 인식됩니다. 그리고, 이 흐름이 쌓이면 이 병원은 자연스럽게 후보로 들어갑니다. | 3. 문제는 “효과”가 아니라 “후보 제외”입니다. ✅ 하지 않으면 자연스럽게 밀립니다. 맘카페를 안 한다고 해서 당장 문제가 생기지는 않습니다. 하지만 실제로는 ● 우리 병원은 언급되지 않고 ● 경쟁 병원만 계속 노출됩니다. ● 그리고, 환자는 자연스럽게 경쟁 병원으로 이동합니다. 환자는 비교하고, 비교할 병원은 먼저 정해져 있습니다. 이 단계에서 빠지면, 선택 자체가 이루어지지 않습니다. “비교 대상에 없으면, 선택될 기회도 없습니다.” | 4. 맘카페는 ‘구조를 설계해야’ 효과가 납니다. ✅ 단순 노출이 아니라 '흐름 설계'입니다. 맘카페는 광고처럼 “노출”한다고 효과가 나지 않습니다. 실제로는 이런 흐름이 만들어져야 합니다. ① 자연스러운 질문이 생성되고 ② 여러 사람이 자연 스럽게 댓글을 달고 ③ 같은 병원이 반복 언급됩니다. 이런 흐름이 만들어지면, 환자는 그 병원을 '이미 검증된 곳' 으로 인식합니다. | 5. 마무리 맘카페는 선택 가능한 채널이 아니라 이미 환자가 움직이고 있는 공간입니다. 중요한 것은 노출이 아니라, 구조를 설계하고 선택되는 흐름을 만드는 것입니다. 결국, 병원 마케팅은 “노출”이 아니라 “선택되도록 만드는 흐름” 을 만드는 것입니다.

병원마케팅 2026. 04. 03

댓글 3·추천 1·조회 221