‘쿠팡 사태’로 본 개인정보 유출
계정 3370만개…사실상 전 국민
해킹·내부자 소행 등 10년간 3억건
불안한 소비자 “보상·제도개선하라”
“AI 기반 이상징후 탐지 체계 시급”
계정 3370만개…사실상 전 국민
해킹·내부자 소행 등 10년간 3억건
불안한 소비자 “보상·제도개선하라”
“AI 기반 이상징후 탐지 체계 시급”
 |
| 국내 이커머스시장 1위 업체인 쿠팡에서 3370만건에 달하는 대규모 정보 유출 사고가 발생하면서 소비자들의 불안이 커지고 있다. 정부는 민간과 합동조사단을 꾸려 사고 원인 분석에 나섰고, 경찰은 수사에 착수했다. 1일 오전 서울 송파구 쿠팡 본사 인근 신호등에 빨간불이 켜져 있다. 임세준 기자 |
 |
국내 최대 규모 이커머스인 쿠팡에서 3370만 회원의 개인정보가 유출되는 사태가 발생했다. 올해 산업 전반에서 개인정보 유출 사례가 잇따르면서 허술한 정보 보안 체계가 도마 위에 올랐다. ▶관련기사 2·3면
1일 쿠팡에 따르면 유출된 정보는 고객의 이름, 이메일, 전화번호, 주소, 일부 주문 정보 등이다. 결제 정보, 신용카드 번호나 비밀번호 등 직접적인 금융 정보는 포함되지 않았다는 것이 쿠팡 측 설명이다.
하지만 실명과 전화번호, 집 주소가 주문 정보와 결합하면 범죄에 악용될 위험이 커진다. 인터넷으로 물건을 구매한 소비자에게 택배사나 AS 센터를 가장해 스미싱, 보이스피싱을 시도할 수 있어서다.
쿠팡의 경우 외부 해킹이 아닌 내부자 소행인 것으로 추정되면서 보안 시스템 관리 허점도 드러났다. 조사 결과 개인정보 무단 접근 시도는 해외 서버를 통해 지난 6월 24일부터 시작된 것으로 추정된다. 수개월간 비인가 접근이 이어졌음에도 이를 즉시 감지하지 못한 셈이다.
추가 피해도 우려된다. 당초 쿠팡은 지난달 18일 약 4500개 계정의 개인정보가 무단으로 노출된 사실을 파악했다. 하지만 후속 조사로 확인된 유출 규모는 3370만개로 늘어났다. 쿠팡의 월간 활성화 이용자 수(MAU)를 고려하면, 사실상 모든 회원의 개인정보가 유출된 것으로 보인다.
특히 그간 대규모 개인정보 유출 사고가 계속 반복됐다는 점은 소비자들의 불안감을 더 키우고 있다. 실제 2014년 카드 3사 대란(약 1억건)을 시작으로 지난 10년간 유출된 개인정보 누적 건수는 최소 3억건을 웃도는 것으로 보안 업계는 추산한다. 중복 유출을 고려하더라도 국민 1인당 평균 6~7회 이상 정보가 유출된 셈이다. 다크웹 등에서는 한국인의 개인정보가 패키지로 거래될 정도다.
올해 산업계에서만 발생한 개인정보 유출 사고도 적지 않다. 지난 1~2월에는 GS리테일에서 개인정보 유출 사고가 발생했다. GS25 홈페이지를 통해서는 고객 9만여명의 개인정보가 유출된 것으로 파악됐고, GS홈쇼핑 웹사이트에서는 158만건의 개인정보 유출 정황을 확인했다. 당시 GS리테일은 사고 수습을 위해 최고경영진이 참여하는 정보보호 대책 위원회를 발족했다.
6월에는 명품 플랫폼 머스트잇 역시 고객 이름과 휴대전화 번호, 이메일 등 정보 유출 사고가 발생 사실을 알렸다. 5~7월에는 디올과 티파니, 까르띠에, 루이비통 등 명품 브랜드들이 잇따라 고객 정보 유출 사고가 발생했다고 밝혔다. 스포츠의류 브랜드 아디다스도 지난 5월 해킹으로 고객 개인 정보가 유출되는 사고가 발생했다며 당국에 이를 신고했다.
외식업계 중에서는 한국파파존스에서 고객의 개인 정보 유출 사고가 발생해, 지난 6월 이를 고객에게 공지했다. 유출 정보는 고객 이름과 연락처, 주소뿐 아니라 일부 카드 정보까지 포함된 것으로 확인됐다.
지난 10년 사이 해커들의 공격 방식과 목표물도 교묘하게 진화했다. 2010년대 초중반만 해도 카드사나 금융기관 서버를 직접 타격하거나 내부 공모자를 통해 DB를 통째로 빼돌려 금전을 요구하는 형태였다. 2020년대 들어서는 ‘라이프스타일 정보’가 핵심 타깃이 됐다. 배달 앱, 이커머스, 여행 플랫폼 등이 보유한 위치 정보와 소비 패턴은 개인을 특정하기가 좋다.
AI(인공지능)가 등장하면서 해킹의 공세는 더 강화됐다. 과거 해커가 수작업으로 찾던 보안 취약점을 이제 AI 에이전트가 24시간 쉬지 않고 자동 탐색한다. 나아가 유출된 정보를 바탕으로 생성형 AI를 활용해 아주 자연스러운 한국어로 피싱 메일을 작성하거나 딥페이크 기술로 가족의 목소리를 흉내 내는 등 범죄 수법을 고도화하고 있다.
고객 정보 유출 사고가 이어지면서 시민단체도 제도 개선을 요구하고 나섰다. 참여연대는 지난달 30일 논평을 내고 “기업들의 허술한 개인정보 관리와 반복되는 대규모 유출사태에 대해 강력히 규탄한다”며 “쿠팡은 피해를 입은 국민에게 충분한 정보를 제공하고 납득할 만한 보상대책을 내놓아야 한다”고 밝혔다.
정부와 국회가 기업의 반복되는 고객정보 유출 사태에 엄정히 대응해야 한다는 점도 강조했다. 참여연대는 “정부와 국회는 더 이상 생색내기 과징금에 그치지 말고, 조속히 집단소송법과 징벌적손해배상제도, 증거개시제도를 도입해야 한다”라며 “기업들의 책임을 강화하고 국민들이 제대로 된 피해구제를 받을 수 있도록 해야 한다”라고 주장했다.
이동통신 3사의 대규모 개인정보 유출 뒤, 본회의 통과를 앞두고 있는 ‘정보통신망법’, ‘전기통신사업법’에 대해서는 “해당 개정안에 담긴 과징금이나 과태료 상한은 기업의 광범위한 정보보안 투자나 해킹방지 노력을 끌어내기에는 턱없이 부족하다”며 “자칫 최소한의 노력만 있어도 과징금 책임을 면할 수 있는 ‘면죄부’로 작용할 가능성이 크다”고 짚었다.
쿠팡 사태처럼 정상적인 경로를 가장한 비정상적인 접근을 막기 위해서는 AI 기반의 ‘이상 징후 탐지’ 시스템이 유일한 대안으로 꼽힌다. 보안 전문가들은 개인정보가 이미 공공재처럼 퍼진 상황에서 기업의 보안 패러다임이 바뀌어야 한다고 조언한다. ‘유출 제로’를 장담하기보다는 유출되더라도 데이터가 무용지물이 되도록 암호화 수준을 높이고 내부망조차 신뢰하지 않는 ‘제로 트러스트(Zero Trust)’ 체계를 구축해야 한다는 지적이다. 박세정·전새날 기자
