최근 10년간 3억건 유출…국민 평균 6회 이상 털려
[헤럴드경제=강승연 기자] 국내 이커머스 업계 1위인 쿠팡의 3370만 회원 개인정보가 유출되는 사태를 계기로 국내 기업들의 허술한 정보 보안이 도마 위에 올랐다.
1일 쿠팡에 따르면 유출된 정보는 고객의 이름, 이메일, 전화번호, 주소, 일부 주문 정보 등이다. 결제 정보, 신용카드 번호나 비밀번호 등 직접적인 금융 정보는 포함되지 않은 것으로 파악된다.
하지만 실명과 전화번호, 집 주소가 주문 정보와 결합되면 범죄에 악용될 위험이 커진다. 인터넷으로 물건을 구매한 소비자에게 택배사나 AS 센터를 가장해 스미싱, 보이스피싱을 시도할 수 있어서다. 특히 대규모 개인정보 유출 사고가 계속 반복됐다는 점에서 소비자들의 불안을 더 키우고 있다.
실제 2014년 카드 3사 대란(약 1억건)을 시작으로 지난 10년간 유출된 개인정보 누적 건수는 최소 3억건을 웃도는 것으로 보안 업계는 추산한다. 중복 유출을 고려하더라도 국민 1인당 평균 6~7회 이상 정보가 유출된 셈이다. 다크웹 등에서는 한국인의 개인정보가 패키지로 거래될 정도다.
지난 10년 사이 해커들의 공격 방식과 목표물도 교묘하게 진화했다.
2010년대 초중반만 해도 카드사나 금융기관 서버를 직접 타격하거나 내부 공모자를 통해 DB를 통째로 빼돌려 금전을 요구하는 형태였다. 2020년대 들어서는 ‘라이프스타일 정보’가 핵심 타깃이 됐다. 배달 앱, 이커머스, 여행 플랫폼 등이 보유한 위치 정보와 소비 패턴은 개인을 특정하기가 좋다.
AI(인공지능)가 등장하면서 해킹의 공세는 더 강화됐다. 과거 해커가 수작업으로 찾던 보안 취약점을 이제 AI 에이전트가 24시간 쉬지 않고 자동 탐색한다. 나아가 유출된 정보를 바탕으로 생성형 AI를 활용해 아주 자연스러운 한국어로 피싱 메일을 작성하거나 딥페이크 기술로 가족의 목소리를 흉내 내는 등 범죄 수법을 고도화하고 있다.
방어하는 입장에서도 AI를 적극 활용하고 있다. 사람이 일일이 감시할 수 없는 수천만 건의 트래픽 홍수 속에서 ‘평소와 다른 미세한 접속 패턴’을 AI가 실시간으로 감지해 차단하는 기술이 속속 도입되고 있다.
이번 쿠팡 사태처럼 정상적인 경로를 가장한 비정상적인 접근을 막기 위해서는 AI 기반의 ‘이상 징후 탐지’ 시스템이 유일한 대안으로 꼽힌다.
보안 전문가들은 개인정보가 이미 공공재처럼 퍼진 상황에서 기업의 보안 패러다임이 바뀌어야 한다고 조언한다. ‘유출 제로’를 장담하기보다는 유출되더라도 데이터가 무용지물이 되도록 암호화 수준을 높이고 내부망조차 신뢰하지 않는 ‘제로 트러스트(Zero Trust)’ 체계를 구축해야 한다는 지적이다.
 |
| 서울 도심의 쿠팡 물류센터에서 한 직원이 배송을 준비하는 모습. 임세준 기자 |
[헤럴드경제=강승연 기자] 국내 이커머스 업계 1위인 쿠팡의 3370만 회원 개인정보가 유출되는 사태를 계기로 국내 기업들의 허술한 정보 보안이 도마 위에 올랐다.
1일 쿠팡에 따르면 유출된 정보는 고객의 이름, 이메일, 전화번호, 주소, 일부 주문 정보 등이다. 결제 정보, 신용카드 번호나 비밀번호 등 직접적인 금융 정보는 포함되지 않은 것으로 파악된다.
하지만 실명과 전화번호, 집 주소가 주문 정보와 결합되면 범죄에 악용될 위험이 커진다. 인터넷으로 물건을 구매한 소비자에게 택배사나 AS 센터를 가장해 스미싱, 보이스피싱을 시도할 수 있어서다. 특히 대규모 개인정보 유출 사고가 계속 반복됐다는 점에서 소비자들의 불안을 더 키우고 있다.
실제 2014년 카드 3사 대란(약 1억건)을 시작으로 지난 10년간 유출된 개인정보 누적 건수는 최소 3억건을 웃도는 것으로 보안 업계는 추산한다. 중복 유출을 고려하더라도 국민 1인당 평균 6~7회 이상 정보가 유출된 셈이다. 다크웹 등에서는 한국인의 개인정보가 패키지로 거래될 정도다.
지난 10년 사이 해커들의 공격 방식과 목표물도 교묘하게 진화했다.
2010년대 초중반만 해도 카드사나 금융기관 서버를 직접 타격하거나 내부 공모자를 통해 DB를 통째로 빼돌려 금전을 요구하는 형태였다. 2020년대 들어서는 ‘라이프스타일 정보’가 핵심 타깃이 됐다. 배달 앱, 이커머스, 여행 플랫폼 등이 보유한 위치 정보와 소비 패턴은 개인을 특정하기가 좋다.
AI(인공지능)가 등장하면서 해킹의 공세는 더 강화됐다. 과거 해커가 수작업으로 찾던 보안 취약점을 이제 AI 에이전트가 24시간 쉬지 않고 자동 탐색한다. 나아가 유출된 정보를 바탕으로 생성형 AI를 활용해 아주 자연스러운 한국어로 피싱 메일을 작성하거나 딥페이크 기술로 가족의 목소리를 흉내 내는 등 범죄 수법을 고도화하고 있다.
방어하는 입장에서도 AI를 적극 활용하고 있다. 사람이 일일이 감시할 수 없는 수천만 건의 트래픽 홍수 속에서 ‘평소와 다른 미세한 접속 패턴’을 AI가 실시간으로 감지해 차단하는 기술이 속속 도입되고 있다.
이번 쿠팡 사태처럼 정상적인 경로를 가장한 비정상적인 접근을 막기 위해서는 AI 기반의 ‘이상 징후 탐지’ 시스템이 유일한 대안으로 꼽힌다.
보안 전문가들은 개인정보가 이미 공공재처럼 퍼진 상황에서 기업의 보안 패러다임이 바뀌어야 한다고 조언한다. ‘유출 제로’를 장담하기보다는 유출되더라도 데이터가 무용지물이 되도록 암호화 수준을 높이고 내부망조차 신뢰하지 않는 ‘제로 트러스트(Zero Trust)’ 체계를 구축해야 한다는 지적이다.
