[Q&A] 쿠팡 '2차 피해' 불안한 이용자들…보안업계 "공포 노린 스미싱 주의"

[아이뉴스24 박정민 기자] 쿠팡에서 약 3370만건의 개인정보 유출 사고가 발생한 가운데, 이용자들이 스미싱 범죄나 계정 도용 등 '2차 피해'를 우려하고 있다. 2일 보안업계와 전문가 조언을 바탕으로 이용자들이 궁금해하는 내용을 정리했다.

Q. 가장 우려되는 2차 피해는 무엇인가?

A. 보안업계에서 가장 우려하는 2차 피해는 '스미싱·피싱' 범죄 확산이다. 문자(스미싱)나 전화(피싱)으로 결제를 유도하는 사이버 공격으로, 이번 사고를 통해 이름·전화번호·주소와 주문내역 등 개인별 특성이 반영된 정보가 유출되면서 스미싱 문자, 피싱 전화 수법이 고도화할 수 있다.

특히 유출 공포를 악용한 '공공·금융기관' 사칭 범죄가 확대될 수 있어 주의해야 한다. 최근 안랩이 발표한 3분기 피싱 문자 트렌드 보고서에서도 가장 많은 피싱 사례로 '정부·공공기관(30.99%)' 사칭을 꼽았으며, 금융기관(7.62%)이 그 뒤를 이었다.

보안업계 관계자는 "대형 유출사고 발생에 대한 불안을 악용해 특히 기관을 사칭하는 스미싱·피싱이 증가할 수 있다"며 "개인 차원에서 의심스러운 문자나 URL 확인을 자제하는 등 대응이 필요하다"고 지적했다. 한국인터넷진흥원(KISA)은 지난 29일 쿠팡 개인정보 유출 사고 발표 직후 의심스러운 전화, 문자 등에 대응하는 대국민 수칙을 공지했다.

황석진 동국대 정보보호대학원 교수는 "최근 피싱 공격은 인공지능(AI) 딥페이크까지 활용되는 등 갈수록 진화하는 양상"이라며 "대규모 개인정보 유출 사고 여파가 겹쳐 스미싱·피싱 공격이 한동안 기승을 부릴 수 있다"고 밝혔다.

Q. 계정 탈취 등 추가 피해 가능성은 없나?

A. 쿠팡은 이번 사고에서 비밀번호 등 로그인 관련 정보, 신용카드 번호 같은 결제 정보 유출은 없다는 입장이다. 그러나 보안업계에서는 이번 유출 데이터가 지난 4월 SK텔레콤 개인정보 유출 사태, 8월 롯데카드 유출 사태 당시 노출된 데이터와 결합해 계정 탈취나 결제 도용 등 추가 피해로 이어질 수 있다고 지적했다.

쿠팡의 경우 개인정보 유출이 지난 6월 말부터 장기간 지속된 점을 고려하면, 유출 정보가 이미 불법 정보를 유통하는 '다크웹'에서 거래됐을 가능성을 부정할 수 없다. 보안업체 관계자는 "통상 해킹 조직의 경우 다크웹에 올라온 정보를 수시로 거래, 수집한다"며 즉각 비밀번호 등을 교체하는 것이 필요하다고 지적했다. 정부는 앞으로 3개월간 다크웹 모니터링을 강화한다.

Q. 직구를 자주 이용하는데 문제가 없을까?

A. 해외직구(직접구매) 서비스와 관련해 쿠팡은 직구에 사용되는 '개인통관고유번호(통관번호)' 해킹은 없다고 밝혔다. 그러나 관세청에 따르면 지난달 30일부터 전날까지 이틀간 통관번호 재발급 건수는 42만여건으로 폭증했다.

보안업계에서는 향후 조사로 추가 유출 내용이 확인될 수 있는 만큼, 통관번호 등 다른 정보도 변경할 필요가 있다고 조언했다. 통관번호는 관세청 '유니패스' 사이트를 통해 1년에 5회까지 재발급이 가능하다.

유출된 '주문내역'의 경우 배달 편의를 위해 아파트 '공동현관 비밀번호'를 기재하는 경우가 많아 현재 입주민 회의를 거쳐 변경하는 아파트가 늘고 있는 것으로 알려졌다. 시설 관련 정보가 노출되면 물리보안 영역이 약해져 범죄로도 이어질 수 있다.

물리보안 업계 관계자는 "쿠팡이 많은 사람들이 이용하는 배송 서비스인 만큼 사이버 보안을 떠나 일상 범죄에도 영향을 미칠 수 있는 상황"이라며 "바꿀 수 있는 모든 정보는 바꾸는 게 제일 안전하다"고 밝혔다.

Q. 유출 피해 보상은 가능한가?

A. 쿠팡은 아직 뚜렷한 보상계획을 밝히지 않고 있다. 그러나 법조계와 일부 이용자들은 이와 별도로 쿠팡을 상대로 한 집단 손해배상 소송을 추진 중이다. 전날(1일) 쿠팡 이용자 14명은 서울중앙지법에 쿠팡을 상대로 1인당 20만원의 위자료를 청구하는 손배소를 제기했으며, 현재 다른 손배소 참여자를 모집하는 온라인 카페가 다수 운영되고 있다. 로피드 법률사무소의 경우 오는 24일 쿠팡 측에 인당 10만원씩 배상을 청구하는 집단 소송을 제기한다.

개인정보 유출 관련 소송의 경우 지난 2016년 인터파크 해킹 사건과 관련해 소송 참여자 2400여명이 10만원씩 배상 판결을 받은 사례가 있다. 지난 2014년 카드 3사 개인정보 유출 사태와 관련해서도 대법원에서 2018년 인당 10만원씩 배상하라는 판결을 내렸다. 법조계 관계자는 "2018년 이후 개인정보 관련 손배소 승소 확률 자체는 이미 높아진 상황"이라며 "이번 사태가 개인정보 3000여만건이 유출된 초유의 상황임을 감안하면, 인당 10~20만원 수준 이상의 금액이 책정될 수도 있다"고 설명했다.

이재명 대통령은 이날 국무회의에서 "개인정보 보호를 소홀히 하는 잘못된 관행을 완전히 바꿔야 한다"며 쿠팡 사태와 관련해 '징벌적 손해배상' 도입을 언급하기도 했다.

Q. 그밖에 주의할 게 있나?

스미싱·피싱 의심 사이트를 발견했다면 KISA 카카오톡 채널 '보호나라'를 통해 악성 여부를 판별할 수 있다. 스미싱 피해가 발생했다면 통신사를 통해 '번호도용문자차단서비스'를 신청하고 피해 번호의 추가 범죄 악용을 차단해야 한다. 개인정보를 활용한 대포통장이나 휴대전화 개설이 우려될 경우 각각 금융감독원 안심차단서비스, 통신사 명의도용 방지 서비스로 보호받을 수 있다.

쿠팡을 사칭해 유출 여부 조회나 보상을 확인하라는 내용 등의 문자나 전화에 특히 주의할 필요가 있다. 배경훈 과학기술부총리 겸 과학기술정보통신부 장관은 "쿠팡을 사칭하는 전화나 문자 등에 각별히 주의하여 2차 피해가 일어나지 않도록 당부드린다"며 "정부는 이번 사고로 인한 국민 여러분의 불편과 심려를 해소할 수 있도록 최선의 노력을 다할 것"이라고 밝혔다.