영화에서나 보던 싸패가? ..처제 강간·살해 후 장례식장 찾아 조카들을 돌보기까지!!
“탈세 아니다” 웹툰 여신강림 작가… 국세청 과세 취소, 수억대 세금 돌려받는다
빵빵여행 5- 🥜 다음 빵 트렌드는 피넛버터? … 성신여대의 숨은 보석, '어썸피넛'
‘우리들의 발라드’ TOP6, 첫 우승자를 향해 선 마지막 여섯 명 매력 완전 해부
“나 혼자만 레벨업 on ICE” OST 깜짝 공개.. 나혼렙 온 아이스 리스닝 파티 현장 스케치
누리호, 새벽 1시 13분 하늘을 찢다… 센서 이상에도 흔들리지 않고 첫 야간 발사 성공
40대, 소득 피크라는데… 40대 통장은 왜 항상 마이너스일까 - 4060 소득 리얼체크 시리즈 ①
《천수연의 AI시대 한국문화 읽기》김치와 김장, 시대를 넘어 이어지는 한국의 맛과 문화
South Korea Emerges as the Top English-Proficient Country Among Non-English-Speaking Nations in Asia
목록
사실상 ‘전 고객’ 정보 노출… 역대급 사고로 번졌다
국내 최대 이커머스 기업 쿠팡에서 고객 계정 3,370만 개의 개인정보가 외부로 무단 노출된 사실이 확인됐다. 쿠팡이 11월 29일 추가 조사 결과를 발표하면서, 이번 사건은 2011년 네이트·싸이월드 유출 사태에 견줄 만한 ‘역대급 개인정보 침해’로 기록될 전망이다.
쿠팡은 당초 11월 19일 당국에 “약 4,536개 계정의 개인정보가 비인가 조회됐다”고 신고했다. 그러나 이후 조사를 거치면서 피해 규모가 3,000만 개 이상 계정으로 급격히 불어났고, 29일 최종적으로 3,370만 개 계정 유출을 공식 확인했다. 쿠팡의 최근 활성 고객 수(2,470만 명)를 훌쩍 웃도는 수치로, 업계에서는 “사실상 전 고객 정보가 털렸다”는 평가가 나온다.
4,536명에서 3,370만 명으로… 5개월간 이어진 무단 접근
정부와 쿠팡이 밝힌 내용을 종합하면, 무단 정보 조회는 올해 6월 24일경부터 시작됐다. 해커들은 해외 서버를 경유해 쿠팡 시스템에 비정상적으로 접근했고, 이 상태가 5개월가량 이어진 뒤에야 본격적인 침해 사고로 인지됐다.
쿠팡은 6월 말부터 반복된 비정상 접속을 뒤늦게 분석한 끝에 11월 18일 밤 유출 정황을 파악했고, 19일 한국인터넷진흥원과 개인정보보호위원회에 침해 사고를 신고했다. 이후 추가 조사에서 당초 알려진 4,536개 계정이 아닌 3,370만 개 계정 정보가 무단 노출됐다는 결론에 이르렀다.
이름·주소·배송지·주문 정보… “생활 전체가 들여다보인다”
이번에 노출된 정보는 단순한 아이디 목록이 아니다. 쿠팡과 정부는 유출 항목으로 고객 이름, 이메일 주소, 배송지 주소록에 저장된 수령인 이름·전화번호·주소 등과 일부 주문 정보(최근 주문 내역 등)를 확인했다. 반면 결제 정보, 신용카드 번호, 비밀번호·로그인 정보 등 핵심 민감 정보는 유출되지 않았다고 쿠팡은 설명했다. 다만, 이름·연락처·주소·구매 이력처럼 개인의 생활상이 고스란히 드러나는 정보가 한꺼번에 묶여나간 만큼, 전문가들은 “직접적인 카드 정보 유출보다 오히려 범죄 악용 위험이 크다”고 경고한다.
스미싱·피싱·보이스피싱… “쿠팡입니다”로 시작하는 맞춤형 사기
정부와 보안 당국이 가장 먼저 경계하는 것은 쿠팡을 사칭한 스미싱·피싱·보이스피싱이다.
과학기술정보통신부와 개인정보보호위원회는 11월 29일 합동 대응 방안을 내놓으며, 이번 유출 정보가 “피해 보상·환불·유출 사실 조회 등을 미끼로 한 스미싱·보이스피싱으로 악용될 우려가 크다”고 공식 경고했다.
해커들은 이름, 휴대전화 번호, 주소는 물론, 최근 주문 내역까지 알고 있는 상태다.
“고객님, ○월 ○일 주문하신 ○○○ 상품 결제 오류로 환불이 진행 중입니다. 아래 링크에서 계좌 정보를 입력해 주세요.”
“개인정보 유출 보상 차원에서 쿠폰·캐시를 지급합니다. 링크 접속 후 로그인해 주세요.”
같은 문구는 실제 주문 정보와 결합될 경우 소비자의 경계심을 쉽게 무너뜨릴 수 있다.
현재까지 정부나 쿠팡이 “어떤 2차 피해가 공식적으로 확인됐다”고 발표한 바는 없다. 그러나 유사한 대형 유출 사건들에서 비슷한 유형의 사기가 반복돼 온 만큼, 관계 당국은 “사전 경계가 무엇보다 중요하다”고 강조하고 있다.
집과 생활권까지 노출… 스토킹·주거 침입 위험도 상존
배송지 주소록에는 자택뿐 아니라 직장, 가족·연인 거주지, 선물 배송지 등이 함께 저장돼 있다. 여기에 주문·배송 패턴 정보까지 더해지면, 범죄자는 특정 인물의 생활권과 부재 시간대를 상당 부분 유추할 수 있다.
아직 이번 사고와 직접 연결된 스토킹·주거 침입 사례가 보고된 것은 아니지만, 택배 기사·설치 기사 등을 사칭해 초인종을 누르거나 “쿠팡에서 나왔습니다”라는 말로 경계를 낮춘 뒤 주거 침입·절도·스토킹으로 이어지는 시나리오는 충분히 현실적인 우려로 꼽힌다. 실제로 경찰 관계자들도 “공동 현관 비밀번호 등 2차 정보까지 노출됐을 가능성을 배제하기 어렵다”고 언급하며, 입주민·관리사무소 차원의 경계 강화를 주문했다.
계정 탈취·연쇄 공격… 다른 플랫폼으로 번질 가능성
쿠팡은 “비밀번호, 카드번호 등은 유출되지 않았다”고 거듭 강조하고 있다. 그러나 이메일 주소와 휴대전화 번호는 이미 여러 온라인 서비스에서 기본 로그인 ID로 쓰이고 있다.
해커들은 이번에 확보한 이메일 목록을, 과거 다른 유출 사고에서 얻은 ID·비밀번호 조합과 대조해 쿠팡 계정은 물론, 같은 이메일을 사용하는 다른 사이트를 노리는 연쇄 공격(크리덴셜 스터핑)을 시도할 수 있다.
메일·클라우드 저장소·SNS·다른 쇼핑몰·배달·택시 앱까지 연쇄적으로 뚫릴 경우, 사진·문서·추가 결제 정보 등 피해 범위는 더 이상 예측하기 어려운 수준으로 커진다.
다크웹·스팸·불법 마케팅… ‘긴 꼬리’로 이어지는 2·3차 피해
대규모 개인정보 유출 사건 뒤에는 대개 다크웹에서의 재유통과 스팸·불법 마케팅 폭증이 뒤따른다.
해외 불법 거래 사이트에서는 특정 국가·특정 서비스 이용자 목록이 묶음으로 팔리는 일이 흔하다. 한 번 올라간 데이터는 여러 범죄 조직에 복사·재판매되며, 몇 년 뒤 전혀 다른 사고와 결합해 더 정교한 사기에 활용되는 경우도 있다.
이번 사건 역시 전화번호·이메일·주소가 동시에 묶여 유출된 만큼, 대출·투자·불법 도박 사이트 광고
“정보 삭제·보상”을 내세운 2차 사기, 각종 스팸 문자·전화 등으로 이어질 가능성이 제기된다. “당장 눈에 보이는 피해가 없다”고 끝난 일이 아니라, 장기간 이어질 수 있는 위험이라는 점이 전문가들의 공통된 지적이다.
정부·경찰 움직임과 ‘중국 국적 전직 직원’ 의혹
정부는 사안의 중대성을 고려해 11월 30일부터 민관합동조사단을 구성해 사고 원인 분석과 기술적 취약점 점검에 나선다. 과학기술정보통신부와 개인정보보호위원회는 쿠팡의 개인정보 보호 조치·침해사고 대응 절차 전반을 들여다보고, 관련 법령 위반이 확인될 경우 강력한 제재를 예고했다.
수사 당국도 움직이기 시작했다. 서울경찰청 사이버수사대는 11월 25일 쿠팡이 제출한 고소장을 접수하고, 정보통신망법상 침입 혐의 등을 중심으로 수사에 착수했다.
한편, 일부 언론에서는 이번 유출 사건의 핵심 관련자로 중국 국적의 쿠팡 전 직원이 지목됐고, 사건 직후 출국했다는 의혹을 제기하고 있다. 다만 경찰은 “모든 가능성을 열어두고 수사 중이며, 현재 특정인을 피의자로 공식 규정한 단계는 아니다”라는 입장을 밝히고 있다.
즉, 내부자 개입 가능성은 보도 수준에서 제기된 의혹일 뿐, 수사기관이 최종적으로 확인한 사실은 아직 아니다.
지금 이용자가 해야 할 최소한의 방어선
전문가들은 이번 사고를 계기로 개인 이용자도 기본적인 방어 수칙을 반드시 지켜야 한다고 강조한다. 정부·보안기관 권고를 바탕으로 정리하면 다음과 같다.
쿠팡 관련 문자·카톡의 링크는 누르지 않는 것을 원칙으로 한다.
문자나 카톡이 오더라도 링크 대신, 직접 쿠팡 앱을 실행하거나 브라우저에 ‘coupang.com’을 입력해 확인한다.쿠팡과 이메일·은행·간편결제 등 주요 서비스의 비밀번호를 서로 다르게 설정하고, 가급적 10자 이상 복잡한 조합으로 바꾼다.
이메일, 금융 앱, 주요 쇼핑몰 계정에는 2단계 인증(OTP·문자 인증)을 반드시 활성화한다.
가족·지인에게 “쿠팡·은행·정부기관은 전화·문자로 보안계좌, 원격제어 앱 설치, 계좌이체를 요구하지 않는다”는 점을 여러 차례 공유한다. 특히 고령층에게는 실제 사례를 들어 설명하는 것이 효과적이다.
최근 카드·계좌 내역을 한 번 더 확인하고, 모르는 소액 결제나 정기 결제가 있다면 즉시 카드사·은행에 신고해 결제 정지·재발급을 요청한다.
출처가 불분명한 ‘보안 앱 설치’, ‘피해 보상 조회 앱’ 요청은 모두 의심하고, 통신사 스팸 차단 서비스·정부의 ‘보호나라’ 신고 창구 등을 적극 활용한다.
반복되는 대형 유출… 신뢰의 기준이 바뀌고 있다
쿠팡 3,370만 계정 유출은 한 회사의 ‘보안 사고’를 넘어, 데이터 기반 플랫폼 사회에서 이용자가 무엇을 기준으로 신뢰를 줄 것인가라는 질문을 던진다.
기업 입장에서 개인정보는 비즈니스의 연료이자 자산이지만, 이용자 입장에서는 최소한의 안전이 보장돼야 맡길 수 있는 것이다. 그동안 우리 사회에서 “서비스가 편리한가, 가격이 싼가”가 주요 선택 기준이었다면, 이번 사건 이후에는 “내 정보를 얼마나 철저히 지키는가”가 그 자리를 대신할 가능성이 크다.
정부 조사와 수사 결과, 그리고 쿠팡의 후속 대책이 어떤 방향으로 나오는지에 따라, 이번 사고가 또 하나의 ‘유출 사고 목록’에 그칠지, 아니면 개인정보 보호 수준을 한 단계 끌어올리는 계기가 될지가 결정될 것이다.
