역대급 규모의 쿠팡 개인정보 유출 사태 파문이 확대되는 가운데 쿠팡 이용자들과 국민의 가장 큰 관심은 유출된 정보가 어디로 갔는지에 모아지고 있다. 빼돌려진 정보는 이용자 이름·전화번호·주소·이메일 같은 신상 정보에 더해 아파트 공동현관문 비밀번호 등 민감한 것들이어서 혹여 범죄에 악용되면 어쩌나 하는 우려가 커지고 있는 것이다. 전문가들은 “개인정보 유출은 앙심이나 금전에 의해 이뤄진다”며 “획득한 개인정보를 다른 정보와 조합해 생활 패턴도 유추할 수 있어 매우 위험하다”고 지적한다. 

6월 24일부터 147일간 유출된 쿠팡 계정 수는 3370만 개에 달한다. 성인 4명 중 3명의 개인정보가 탈취된 것이다. 여기엔 전화번호 같은 신상 정보는 물론 일부 주문 내역도 포함됐다. 쿠팡 측은 11월 30일 공지를 통해 “로그인 계정 정보, 결제 정보, 신용카드 정보는 포함되지 않았다”며 “계정 관련 조치를 할 필요가 없다”고 밝혔지만 이에 따른 2차 피해 우려는 지속하고 있다.

스토킹·다크웹 거래 등 범죄 악용 소지 커

우선 개인정보를 이용한 피싱 범죄가 기승을 부릴 수 있다. 범죄자가 전 국민의 개인정보를 파악하고 있을 경우 피해자를 속이기가 더 쉽다. 주소와 주문 내역을 통해 경제 상황을 유추할 수 있고, 남에게 알리기 쉬운 구매 내역을 통해 협박 같은 범죄도 가능하다는 것이 전문가들 진단이다. 염흥열 순천향대 정보보호학과 명예교수는 “주소와 아파트 공동현관 비밀번호 유출은 스토킹 같은 물리적 범죄에 악용될 수 있다”고 말했다. 

황석진 동국대 국제정보보호대학원 교수는 “‘정보 유출로 결제 정보가 맞는지 확인해야 한다’거나 ‘최근 받은 상품을 환불해드리려고 한다’는 식으로 접근해올 수 있다”며 “쿠팡에 등재된 정보는 지금 당장 배송받고 있는 ‘살아 있는 정보’라 범죄 성공률이 높아지는 만큼 범죄자 입장에서는 종합선물세트”라고 말했다. 황 교수는 “개인통관번호가 유출됐다면 밀수 등 더 큰 범죄에 악용될 수 있다”고 덧붙였다. 

박대준 쿠팡 대표는 12월 2일 국회 과학기술정보방송통신위원회 현안 질의에서 “현재까지 조사에서 개인통관번호는 유출되지 않은 것으로 (확인된다)”라고 밝혔으나 소비자 사이에선 불안감이 가시지 않고 있다. 12월 3일에는 개인통관번호를 바꾸려는 이들이 몰려 국가관세종합정보시스템 서비스 홈페이지가 마비되기도 했다.



수사당국은 이번 사태 피의자로 쿠팡 인증 시스템을 담당했던 전직 중국 국적 개발자를 염두에 두고 있다. 범행 동기와 탈취 경위가 아직 밝혀지지 않은 가운데 확보된 개인정보가 금전 목적으로 거래될 수도 있다는 지적이 나온다. 이상진 고려대 정보보호대학원 교수는 “다크웹에서는 개인정보 거래가 빈번하다”며 “특히 이번 사례처럼 현재 사용되는 정보는 높은 가격에 팔릴 수 있다”고 말했다. 실제로 한국인터넷진흥원(KISA)이 9월 국민의힘 김상훈 의원실에 제출한 자료에 따르면 최근 6년간 국내외 사이트에서 탐지된 한국인 개인정보 불법 거래·유통 게시물은 90만8649건(쪽수 기준)에 달한다.

기업과의 거래 가능성도 제기된다. 보안 전문가인 왕효근 스텔스솔루션 대표는 “누군가가 한 사람의 정보를 계속 모은다고 생각해보라. 그럼 이를 바탕으로 소비 습관과 수준을 알 수 있는 로그 기록이 만들어진다”며 “이런 정보를 알리익스프레스나 테무 같은 업체에 팔 수도 있는 것”이라고 말했다. 국민의힘 김장겸 의원은 12월 2일 국회 과학기술정보방송통신위원회 현안 질의에서 중국 쇼핑몰에서 쿠팡 계정이 판매되는 점을 지적하며 로그인 계정 유출 가능성을 언급하기도 했다. 해외 IP 로그인 시도나 비정상 결제 알림을 받은 사례도 온라인 커뮤니티 등에서 인증이 이어지고 있다. 

한국인터넷진흥원은 11월 30일 보안 공지를 통해 “‘피해 보상’ ‘피해 사실 조회’ ‘환불’ 같은 키워드를 활용한 유출 기업 사칭 스미싱 유포, 피해 보상 안내를 빙자한 보이스피싱 등 피싱 시도가 예상된다”고 경고하면서 “앞으로 3개월을 ‘인터넷상(다크웹 포함) 개인정보 유노출 및 불법 유통 모니터링 강화 기간’으로 운영하겠다”고 밝혔다.

과거에 머무른 보안 인식 수준

여러 피해를 낳을 수 있는 역대급 개인정보 유출 사태의 1차 원인이 내부 통제 부실로 드러나 더 큰 공분을 사고 있다. 과거 SK텔레콤, KT, 롯데카드의 개인정보 유출이 외부 해커들 소행이었다면 이번 사태는 퇴사한 내부자가 정보를 탈취한 데다, 이를 쿠팡 측이 5개월 동안 알지 못했기 때문이다. 이상진 교수는 “SK텔레콤 해킹 사태는 집 문을 강제로 부수고 들어온 것이라면 쿠팡은 집 내부에 있는 사람이 물건을 훔친 것”이라며 “보안의 기본이 안 돼 있었던 것”이라고 지적했다. 

전문가들은 개인정보의 가장 기초적인 내용 역시 암호화가 필요하다고 강조한다. 황석진 교수는 “서버에 정보를 보관할 때도 모든 정보를 암호화할 수 있는데 이를 평문 데이터로 내버려뒀다”며 “그러다 보니 피의자가 크롤링 방식으로 정보를 끌어가기 편했던 것”이라고 말했다. 왕효근 대표는 “미국은 4년 전부터 정부 차원에서 ‘누구도 믿지 않는 것’을 기본으로 하는 제로 트러스트(Zero Trust) 정책을 펴왔다”면서 “하지만 우리는 이번 쿠팡 사태를 통해 보안 수준이 아직 과거에 머물러 있다는 사실을 알 수 있다”고 말했다. 

_{*유튜브와 포털에서 각각 ‘매거진동아’와 ‘투벤저스’를 검색해 팔로잉하시면 기사 외에도 동영상 등 다채로운 투자 정보를 만나보실 수 있습니다.}