"로그인 없이 다 뚫렸다"… 쿠팡 보안 참사, 범죄자에게 쥐어준 '사기 만능키'
"로그인 없이 다 뚫렸다"… 쿠팡 보안 참사, 범죄자에게 쥐어준 '사기 만능키'
이름·주소에 구매 이력까지 결합된 '완성형 데이터'
유출 인증 없는 접근 허용
개인정보 유출 관련 문자 발송한 쿠팡 /연합뉴스
쿠팡에서 발생한 개인정보 유출 사태의 규모가 3,370만 건으로 확인되면서 파장이 일파만파 커지고 있다. 이번 유출은 단순한 연락처 노출을 넘어, 개별 소비자의 '구매 이력'이 포함됐다는 점에서 기존 사고들과 차원이 다르다는 분석이 나온다.
보안 및 법률 전문가들은 이름, 주소, 전화번호에 구체적인 소비 패턴까지 결합된 정보가 범죄 조직의 손에 들어갈 경우, 사실상 식별이 불가능한 '맞춤형 피싱'이 가능해진다고 경고한다.
정부의 합동 조사가 진행 중인 가운데, 쿠팡의 법적 책임 범위와 피해 구제 가능성에 관심이 쏠린다.
구매 정보와 연락처의 결합… '보이스피싱 성공률' 높이는 치명적 변수
이번 사고의 핵심은 유출된 정보의 '질(Quality)'이다. 쿠팡 측과 정부 조사에 따르면 유출된 데이터에는 고객의 실명, 휴대전화 번호, 배송지 주소와 함께 일부 '구매 이력'이 포함됐다.
보안 업계는 이 조합을 보이스피싱과 스미싱 범죄의 '완성형 재료'로 평가한다. 범죄자가 피해자에게 접근할 때 "최근 주문하신 A상품 배송이 지연되고 있다"라며 구체적인 상품명을 언급할 수 있기 때문이다. 이는 불특정 다수에게 무작위로 발송되는 기존 스팸 문자와 달리, 피해자의 의심을 원천 차단하는 기제로 작용한다.
실제로 다크웹 등 음지에서는 단순 개인정보보다 쇼핑몰 구매 이력이 포함된 데이터가 훨씬 높은 가격에 거래된다. AI(인공지능) 기술과 결합할 경우, 탈취한 정보를 바탕으로 정교한 시나리오를 자동 생성하는 '초개인화 피싱' 공격이 가능해져 2차 피해 위험은 최고조에 달한 상태다.
"로그인 없이 정보 열람"… 명백한 '안전조치 의무' 위반 정황
법적 쟁점은 쿠팡의 과실 여부다. 정부 민관합동조사단의 중간 조사 결과, 해커는 별도의 로그인 절차 없이 인증 시스템의 취약점을 악용해 정보를 열람한 것으로 드러났다.
이는 개인정보 보호법 제29조가 규정한 '안전성 확보 조치 의무'를 위반했을 가능성이 매우 높다. 법무법인 관계자는 "대규모 정보를 처리하는 기업이 기본적인 접근 통제 장치를 제대로 갖추지 않아 비로그인 상태에서의 열람을 허용했다는 것은 중대한 과실"이라며 "이는 향후 형사 처벌 및 과징금 부과의 결정적인 근거가 될 것"이라고 설명했다.
늑장 대응도 도마 위에 올랐다. 쿠팡은 초기 유출 규모를 수천 건으로 보고했으나, 열흘 만에 3,370만 건으로 수정했다. 개인정보 유출 인지 시 지체 없이 정보 주체에게 알려야 한다는 법적 의무(제34조)를 소홀히 했다는 지적을 피하기 어려운 대목이다. 이는 민사 소송에서 손해배상 책임을 가르는 중요한 판단 요소로 작용할 전망이다.
'인과관계 입증'이 관건… 집단분쟁조정 대안 부상
피해자들 사이에서는 집단소송 움직임이 구체화되고 있다. 관건은 유출된 정보와 실제 발생한 2차 피해 사이의 '인과관계' 입증이다.
통상적으로 법원은 개인정보 유출 사고에서 2차 피해(보이스피싱 등 금전 피해)에 대한 배상 책임을 엄격하게 판단해왔다. 범죄자가 획득한 정보가 반드시 해당 유출 사고에서 비롯됐다고 단정하기 어렵다는 이유에서다.
그러나 이번 건은 양상이 다르다는 게 법조계의 시각이다. 유출된 정보에 특정한 '구매 내역'이 포함되어 있어, 범죄자가 이를 언급하며 접근했다면 인과관계를 인정받을 여지가 크다. 법률 전문가는 "피싱범이 정확한 주문 정보를 미끼로 사용했다면, 이는 쿠팡 유출 사고와의 연관성을 입증하는 강력한 고리가 될 수 있다"고 분석했다.
소송 비용과 기간이 부담스러운 피해자들에게는 '개인정보 분쟁조정위원회'를 통한 집단분쟁조정이 현실적인 대안으로 꼽힌다. 50명 이상이 신청하면 개시되는 이 절차는 소송보다 신속하며, 조정안이 수락될 경우 재판상 화해와 동일한 효력을 갖는다.
"아는 번호도 의심하라"… 개인 차원 방어막 구축 시급
정부는 현재 다크웹 모니터링을 강화하고, 과기정통부·개인정보위·경찰청 등이 참여하는 조사를 통해 쿠팡의 보안 시스템 전반을 들여다보고 있다. 경찰 역시 내부자 공모 가능성까지 열어두고 수사를 확대 중이다.
전문가들은 제도적 대응과 별개로 개인의 방어 조치가 시급하다고 조언한다. 특히 "내가 주문한 물건을 알고 있다"는 이유만으로 상담원을 신뢰해서는 안 된다는 점을 강조한다. 쿠팡 앱 내 공식 알림이 아닌 외부 문자나 전화로 오는 배송·환불 안내는 일단 사기로 간주하고, 공식 고객센터를 통해 사실 여부를 교차 검증하는 절차가 필수적이다.
한편, 이번 사태와 관련해 쿠팡 박대준 대표이사는 11월 30일 공식 입장문을 내고 진화에 나섰다.
박 대표는 "국민 여러분께 심려를 끼쳐 진심으로 사과드린다"며 지난 6월부터 최근까지 무단 접근이 있었음을 시인했다. 다만 그는 "유출된 정보는 이름, 연락처, 주소와 특정 주문 정보에 한정되며, 비밀번호나 신용카드 번호 등 민감한 결제 정보는 포함되지 않았다"고 해명했다. 쿠팡 측은 현재 민관합동조사단과 긴밀히 협력해 보안 시스템을 전면 재검토하겠다고 밝혔다.
