국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3천만건이 넘는 대규모 정보 유출 사고가 발생했다. 쿠팡은 현재까지 고객 계정 약 3천370만개가 유출된 것을 확인했다. 사진은 30일 쿠팡이 피해 고객에게 보낸 개인정보 노출 통지 문자 메시지.


쿠팡에서 국민 대다수의 주소와 전화번호, 이름 등 민감한 개인정보가 유출되는 광범위한 피해가 발생한 가운데, 유출 정보를 악용하는 2차 피해 가능성이 높아지고 있다. 올들어 연이어 발생한 대규모 해킹 사고로 개인정보가 이미 많이 유출된 만큼, 공격자가 유출된 바다이야기슬롯 정보들을 조합해 개인에 대한 구체적인 정보를 획득하는 3차 피해에 대한 우려도 나온다.
30일 기준 쿠팡 침해사고에서 확인된 피해 규모는 계정 3370만개에 달한다. 온라인 거래를 하는 사실상 전 국민의 정보가 유출된 것으로 추정되는데, 추가 조사가 진행되면서 유출된 정보의 가짓수가 늘어날 가능성도 있다. 실제 쿠팡은 지난 20일 450 사이다릴게임 0개 계정의 정보가 노출됐다고 공지한 바 있는데, 외부 참여 조사 과정에서 피해 계정이 7500배 늘었다.



30일 서울 송파구 쿠팡 본사. 연합뉴스


가장 우려되는 것은 쿠팡을 사칭한 스미싱(문자 등으로 악성 링크를 골드몽 보내 클릭을 유도하는 피싱) 등 2차 피해다. 이번에 유출된 것으로 알려진 정보가 주소·주문내역 등 배송 관련 정보인 만큼, 소비자들은 택배 도착을 가장해 악성코드를 전달하려는 문자를 특히 조심해야 한다. 박기웅 세종대 교수(정보보호학)는 “비밀번호는 교체가 쉽지만 배송지 주소 같은 경우는 변경이 너무 어려운 정보다”며 “주소와 연관된 피싱 공격 등에 시 야마토게임 민들이 유의해야 한다”고 말했다. 주소를 악용해 보낼 수 있는 ‘법원 출석’ ‘과태료 납부’ 등의 형식으로도 스미싱 공격이 변용될 수 있어 주의를 기울여야 한다.
개인정보를 조합하는 3차 피해도 우려된다. 쿠팡에서 유출된 정보도 문제지만, 올해 연이어 발생한 해킹 사고로 이미 유출된 다양한 개인정보들과의 조합될 경우, 프로파일링(대상을 분 릴게임야마토 석해 공통된 특징을 뽑아내는 것)을 통해 개인이 특정되는 방식의 피해 가능성도 배제할 수 없기 때문이다.
예컨대 공격자가 지난 8월 롯데카드에서 유출된 정보인 △카드번호 △비밀번호 △주민등록번호 △전화번호 등을 확보한 상황에서, 이번에 쿠팡에서 유출 우려가 있는 △이름 △전화번호 △배송지 정보를 조합한다면 공통분모인 ‘전화번호’를 중심으로 나머지 인적정보를 퍼즐 맞추듯 조합할 수 있다는 것이다. 곽진 아주대 교수(사이버보안학)는 “꼭 쿠팡에서 민감 정보가 유출됐지 않았더라도, 기존에 유출된 정보들을 조합해 개인을 특정 짓는 일도 가능하다”며 “워낙 광범위한 정보가 유출돼 악용 가능성이 높다. 상당히 다양한 형태의 2차∙3차 피해가 발생할 수 있다”고 말했다.
피해를 방지하기 위해 출처가 불분명한 문자 메시지에 적힌 사이트 주소는 클릭을 자제하고, 의심되는 사이트 주소는 정상 사이트와 일치하는지 확인하는 편이 좋다. 앞서 정부는 추가 피해를 막기 위해 지난 29일 보호나라 누리집(https://www.boho.or.kr)에 대국민 보안 공지를 안내한 바 있다. 카카오톡 채널 ‘보호나라’에서 스미싱·피싱 여부를 판별해주는 기능도 제공된다.
채반석 기자 chaibs@hani.co.kr