쿠팡 유출 문자, 절대 열지 마세요… 내 폰 노리는 '가짜 보상'의 덫
쿠팡 유출 문자, 절대 열지 마세요… 내 폰 노리는 '가짜 보상'의 덫
개인정보 유출 불안감 파고든 스미싱 기승
법적 책임과 배상 가능성은?
쿠팡 브랜드 로고
국내 이커머스 1위 기업 쿠팡에서 발생한 대규모 개인정보 유출 사고가 단순한 정보 유출을 넘어 실제 금전 피해를 노리는 '2차 범죄'로 확산될 조짐을 보이고 있다. "피해 보상금을 확인하라"는 문자를 받고 무심코 링크를 눌렀다가는 소액결제 사기나 금융 정보 탈취의 덫에 걸릴 수 있어 각별한 주의가 요구된다.
한국인터넷진흥원(KISA)은 최근 보안 공지를 통해 쿠팡 사태와 관련된 스미싱 및 보이스피싱 주의보를 발령했다. 유출된 개인정보가 범죄 집단의 손에 들어가면서, 피해자들의 불안한 심리를 악용한 지능형 범죄가 시작된 것이다.
"보상 신청하세요" 달콤한 유혹의 실체
현재 가장 우려되는 수법은 피해자들에게 '피해보상 신청', '환불 안내', '긴급 앱 업데이트' 등의 키워드가 포함된 문자를 발송하는 방식이다. 소비자가 문자에 포함된 인터넷 주소(URL)를 클릭하는 순간, 스마트폰에 악성 애플리케이션(앱)이 설치되거나 가짜 피싱 사이트로 연결된다.
이 악성 앱은 사용자의 휴대폰을 좀비 폰으로 만들어 소액결제를 유도하거나, 공인인증서·보안카드 등 민감한 금융 정보를 탈취한다. 심지어 포털 사이트 검색 결과 상단이나 광고 영역에 정교하게 꾸며진 가짜 '피해 사실 조회' 사이트를 노출시켜 피해자가 제 발로 찾아오게 만드는 수법까지 등장했다.
KISA 관계자는 "정부 기관이나 금융 회사는 절대로 전화나 문자를 통해 원격 제어 앱 설치를 요구하지 않는다"며 "출처가 불분명한 문자의 링크는 절대 클릭하지 말고 즉시 삭제해야 한다"고 당부했다.
개인정보 유출, 기업의 '72시간' 골든타임
이번 사태의 시발점이 된 쿠팡의 개인정보 유출은 법적으로 어떤 의미를 가질까. 개인정보 보호법 제34조에 따르면, 개인정보처리자인 기업은 유출 사실을 알게 된 후 지체 없이(통상 72시간 이내) 정보주체에게 유출 항목, 시점, 경위, 피해 최소화 방법 등을 알려야 할 의무가 있다.
법조계에서는 쿠팡이 이 '골든타임'을 준수했는지, 그리고 유출 이후 피해 최소화를 위한 실질적인 조치를 취했는지가 향후 법적 분쟁의 핵심 쟁점이 될 것으로 보고 있다. 만약 1천 명 이상의 정보가 유출되었거나 민감정보가 포함된 경우라면, 기업은 즉시 개인정보보호위원회나 KISA에 신고해야 하며, 이를 어길 시 과태료 처분 대상이 된다.
스미싱은 명백한 범죄… 법적 처벌 수위는?
이번 사태를 악용한 스미싱과 보이스피싱은 법적으로 중대한 범죄 행위다. 단순히 문자를 보내는 것을 넘어, 악성 프로그램을 유포해 타인의 정보통신망에 침입하는 행위는 정보통신망법 위반에 해당한다.
대법원 판례(대법원 2010도14607 판결)는 악성 프로그램이 설치됨으로써 피해자 컴퓨터의 정보통신망에 침입한 경우 정보통신망법 위반을 인정하고 있으며, 허위 신호를 보내 정보 처리에 장애를 발생시켰다면 컴퓨터등장애업무방해죄까지 성립한다고 판시한 바 있다. 또한, 피해자를 속여 재산상 이익을 편취했다면 형법상 사기죄로 처벌받게 된다.
내 정보 샌 것도 억울한데… 손해배상 받을 수 있나
소비자들의 가장 큰 관심사는 단연 '손해배상' 가능성이다. 개인정보가 유출됐다는 사실만으로 배상을 받을 수 있을까?
법원은 개인정보 유출로 인한 위자료 청구 소송에서 단순히 정보가 유출되었다는 사실뿐만 아니라, ▲유출된 정보의 종류와 성격 ▲식별 가능성 ▲제3자의 열람 여부 ▲확산 범위 등을 종합적으로 고려한다(대법원 2018다222303 판결).
특히 이번 사태처럼 유출된 정보가 실제로 스미싱 범죄에 악용되는 등 '2차 피해'의 우려가 현실화되거나, 민감정보·고유식별정보가 포함된 경우라면 정신적 손해를 인정받을 가능성이 높아진다. 현행법은 기업의 고의나 과실로 개인정보가 유출된 경우, 피해자가 손해액을 입증하지 않더라도 최대 300만 원까지 배상받을 수 있는 법정손해배상제도(개인정보 보호법 제39조의2)를 두고 있다.
2차 피해 막으려면 '이것'부터 확인해야
이미 내 정보가 유출된 것 같다면 신속한 대응이 필수적이다. 만약 악성 앱이 설치된 것으로 의심된다면 즉시 삭제하거나 서비스센터를 방문해 초기화해야 한다. 이미 금융 서비스를 이용했다면 공인인증서와 보안카드를 즉시 폐기하고 재발급받아야 한다.
이동통신사에 '번호 도용 문자 차단 서비스'를 신청하거나 카카오톡 채널 '보호나라'를 통해 수신한 문자의 스미싱 여부를 확인하는 것도 좋은 예방책이다.
법조계 관계자는 "쿠팡 측이 유출 사실을 인지하고도 통지를 지연했거나 보안 조치를 소홀히 했다면, 이를 근거로 집단 소송이 제기될 가능성도 배제할 수 없다"며 "피해 사실이 의심되는 경우 스팸 문자 내역이나 통화 녹음 등 증거를 확보해두는 것이 중요하다"고 조언했다.
한편, 쿠팡 박대준 대표이사는 30일 사과문을 통해 이번 사고에 대한 공식 입장을 밝혔다. 쿠팡 측은 "무단 접근된 정보는 이름, 이메일, 전화번호, 배송지 주소, 특정 주문 정보로 제한되었다"며 "비밀번호나 결제 정보, 신용카드 정보는 포함되지 않았다"고 설명했다.
이어 "현재 과학기술정보통신부, 경찰청 등 민관합동조사단과 긴밀히 협력해 추가 피해 예방에 최선을 다하고 있다"며 "보안 시스템 전반을 재검토해 고객 정보 보호를 최우선으로 하겠다"고 덧붙였다.
