"쿠팡 유출 탓에 카드 발급됐다?"… 3400만 명 '공포심' 노린 신종 사기 주의보
"쿠팡 유출 탓에 카드 발급됐다?"… 3400만 명 '공포심' 노린 신종 사기 주의보
경찰청 "문자 수신 시 즉시 삭제 요망"
악성 앱 설치 유도해 금융 정보 탈취 개인정보 유출 사고와 결합한 지능형 범죄 기승
3일 서울 송파구 쿠팡 본사 앞에서 참여연대와 민주사회를 위한 변호사모임 민생경제위원회, 한국소비자연맹이 연 '쿠팡 개인정보 유출 집단분쟁조정 신청 돌입 기자회견'에서 참가자들이 사과와 책임을 촉구하는 퍼포먼스를 하고 있다. /연합뉴스
쿠팡에서 발생한 3,400만 건 규모의 대규모 개인정보 유출 사태를 악용한 신종 보이스피싱 범죄가 기승을 부리고 있어 각별한 주의가 요구된다. 범죄 조직은 정보 유출에 대한 대중의 불안 심리를 교묘히 파고들어 "명의 도용으로 카드가 발급됐다"고 속이는 수법을 사용하고 있는 것으로 드러났다.
"고객님 명의로 카드가 발급되었습니다" 문자의 실체
7일 경찰청 전기통신금융사기 통합대응단에 따르면, 최근 발견된 신종 수법은 '카드 발급 안내' 문자로 시작된다. 피해자가 "카드를 신청한 적이 없다"고 반응하면, 사기범은 "최근 발생한 쿠팡 개인정보 유출 사고로 인해 명의가 도용된 것으로 보인다"며 피해자를 안심시키는 척 접근한다.
이후 "명의 도용 확인 및 보안 조치를 위해 고객센터 연결이 필요하다"며 가짜 고객센터 전화번호로 유도하거나, 보안 점검을 핑계로 '원격제어 앱(악성 앱)' 설치를 요구한다. 피해자가 해당 앱을 설치하는 순간 휴대전화의 모든 권한이 범죄자에게 넘어가며, 이를 통해 금융 정보 탈취 및 무단 자금 이체가 실시간으로 이루어진다.
이외에도 쿠팡 배송 지연이나 물품 누락을 가장해 특정 URL 클릭을 유도하는 스미싱 문자 또한 증가하고 있어, 출처가 불분명한 링크는 절대 클릭하지 말아야 한다.
형법상 '컴퓨터등 사용사기'… 명백한 중범죄
법률 전문가들은 이번 사태가 단순 사기를 넘어 정보통신망을 이용한 복합적 중범죄에 해당한다고 분석했다.
피싱 조직의 행위는 형법 제347조(사기) 및 '전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법' 위반에 해당한다. 특히 악성 앱을 통해 피해자의 휴대전화를 원격 조종하여 자금을 이체하는 행위는 형법 제347조의2(컴퓨터등 사용사기)가 적용될 수 있다. 이는 정보처리장치에 부정한 명령을 입력하여 재산상 이익을 취득하는 행위이기 때문이다.
또한 악성 앱(프로그램)을 유포하는 행위 자체만으로도 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 제48조 및 제70조의2 위반으로 처벌받는다. 대법원은 악성 프로그램을 전달 또는 유포하는 행위만으로도 범죄가 성립한다고 판시한 바 있다(대법원 2020. 4. 9. 선고 2018도16938 판결).
쿠팡의 법적 책임과 피해자 손해배상 가능성
이번 사태의 발단이 된 개인정보 유출과 관련해 쿠팡 측의 법적 책임 공방도 불가피할 전망이다. 개인정보 보호법 제34조에 따라 쿠팡은 유출 사실 인지 즉시 정보주체에게 유출 항목과 경위, 피해 최소화 방법을 통지해야 할 의무가 있다.
법조계는 이번 피싱 피해가 개인정보 유출과 인과관계가 인정될 경우, 쿠팡을 상대로 한 손해배상 청구도 가능할 것으로 보고 있다. 대법원 판례에 따르면 개인정보 유출로 인한 위자료 배상 책임은 ▲유출된 정보의 성격 ▲제3자의 열람 여부 ▲추가 법익침해 가능성 등을 종합적으로 고려해 판단한다(대법원 2019. 9. 26. 선고 2018다222303 등).
특히 이번 사안은 유출된 정보를 악용한 2차 범죄(보이스피싱)가 실제로 발생하고 있어, 단순 유출을 넘어선 실질적 정신적·재산적 손해가 인정될 가능성이 높다. 다만, 배상 범위는 쿠팡 측이 평소 개인정보 보호를 위한 기술적·관리적 보호 조치를 얼마나 충실히 이행했는지에 따라 달라질 수 있다.
골든타임 놓치지 말아야… 즉각적인 계좌 지급정지 필수
피싱 범죄에 노출되었을 때 가장 중요한 것은 신속한 초동 조치다. 악성 앱 설치가 의심되거나 자금을 이체한 경우, 즉시 경찰청(112) 또는 해당 금융회사에 연락해 '계좌 지급정지'를 요청해야 한다.
'전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법'에 따라 피해자는 사기 이용 계좌의 지급정지를 신청할 수 있으며, 이후 금융감독원의 절차를 통해 채권소멸 및 피해금 환급을 받을 수 있다.
경찰 관계자는 "정부 기관이나 금융사는 전화나 문자로 앱 설치를 요구하지 않는다"며 "쿠팡 사태와 관련해 불안감을 조성하는 문자를 받으면 즉시 삭제하고, 확인이 필요할 경우 반드시 공식 대표번호를 이용해야 한다"고 당부했다.
한편, 이번 사태와 관련해 쿠팡 박대준 대표이사는 지난 11월 30일 공식 입장문을 발표하고 진화에 나섰다.
박 대표는 "올해 6월 24일 시작된 고객 정보 무단 접근 사고에 대해 유감을 표한다"며 "국민 여러분께 심려와 걱정을 끼쳐드려 진심으로 사과드린다"고 밝혔다.
쿠팡 측 공식 입장에 따르면 이번 사고로 유출된 정보는 ▲이름 ▲이메일 ▲전화번호 ▲배송지 주소 ▲특정 주문 정보 등으로 제한된다. 박 대표는 입장문을 통해 "고객 비밀번호를 비롯한 로그인 계정정보, 결제 정보, 신용카드 정보는 포함되지 않았다"고 명확히 선을 그었다.