"쿠팡과 같은 비번 사이트 다 바꿔라"…나도 모르게 2차 피해

3370만개의 쿠팡 이용자 개인정보가 유출되며 피싱 사기 등 소비자들의 2차 피해가 이어질 수 있다는 우려의 목소리가 커지고 있다.

30일 유통업계에 따르면 쿠팡은 전날 약 3370만개 계정의 개인정보가 무단으로 유출됐다고 밝혔다. 노출된 정보는 ▶이름 ▶전화번호 ▶배송지(주소) ▶이메일 주소 ▶일부 주문 정보 등이다. 쿠팡 관계자는 “개인들의 카드 번호, 결제 정보, 로그인 비밀번호 등은 유출되지 않았고 안전하게 보호되고 있다”고 강조했다.

이에 대해 과학기술정보통신부·개인정보보호위원회·한국인터넷진흥원(KISA)는 지난달 29일 “추가적인 개인정보·금전 탈취 시도가 우려되기 때문에 주의가 필요하다”며 대국민 보안 공지를 냈다. 개인 정보를 활용한 추가 범죄는 ▶스미싱·보이스피싱 사기 ▶주식 리딩방 사기 ▶온라인 계정 탈취 ▶신용 사기 및 명의 도용 등으로 유형이 다양하다. 구체적으로 ▶피해보상·환불 등의 문자 메시지를 통한 피싱 사이트로의 접속 유도 행위 ▶정보 유출 대상자 통보를 사칭한 스마트폰·PC 원격 제어 프로그램 설치 유도 행위 등을 주의하라고 권고했다.

사회관계망서비스(SNS)와 온라인 커뮤니티 등에도 쿠팡 사태와 관련 2차 피해와 관련된 우려의 목소리가 올라오고 있다. 일부 이용자들은 해외직구 시 세관 통관 절차를 위해 사용되는 개인 식별번호(개인통관고유부호)도 자발적으로 변경하고 있고, 이참에 쿠팡을 탈퇴하겠다는 이들도 나타나고 있다. 이외에도 쿠팡이 고객 집 앞까지 배송하는 만큼 공동 현관 비밀번호까지 털린 게 아니냐는 소비자들의 불안과 우려도 잇따르고 있다.

전문가들은 현재 유출된 정보만으로도 피해가 커질 수 있으니 변경 가능한 정보는 즉시 바꿔야 한다고 조언한다. KISA에 따르면 한 번 탈취 당한 계정 정보가 사용자가 모르는 사이 거래되고 N차로 악용된 경우가 적잖았다. 이 중 하나가 여러 사이트에 계정 정보를 무작위로 대입해 이용자 계정을 탈취하는 ‘크리덴셜스터핑(Credential Stuffing)’ 공격이다.

염흥열 순천향대 정보보호학 교수는 “공격자가 지난 8월 롯데카드에서 유출된 정보(카드번호·비밀번호·주민등록번호 등)와 쿠팡에서 유출된 정보를 조합해 나머지 인적정보를 조합할 가능성도 배제할 수 없다”며 “쿠팡과 다른 온라인 서비스에서 동일한 비밀번호를 쓰고 있다면 즉시 모두 변경하고 가능하면 2단계 인증을 적용해야 한다”고 조언했다.

황석진 동국대 국제정보보호대학원 교수는 이외에도 “범죄자가 전화번호를 저장해 카카오톡 친구로 추가하고 프로필 사진 등을 다운받은 다음 딥페이크에 활용할 가능성도 높다”고 우려했다.

배송을 받기 위해 기재한 아파트의 공동현관 번호 등 주소 관련 정보 또한 즉각 변경해야 한다는 지적도 나왔다. 권헌영 고려대 정보보호대학원 교수는 “쿠팡의 서비스는 온라인·오프라인 서비스가 연동된 상태이기 때문에 만약 범죄 집단에 관련 정보가 흘러가게 된다면 피싱은 물론 스토킹 등 각종 범죄까지 이어질 가능성이 농후하다”고 분석했다.

이날 맘 카페와 X(옛 트위터) 등에는 “공동현관 비밀번호 누르고 누군가 들어올 것 같아서 무섭다”는 취지의 글이 다수 올라왔다. 이번 사태가 중국인 내부 직원 소행인 것으로 추정되고 있는 가운데 일부 보수 성향 커뮤니티에선 “쿠팡 죽이고 중국 기업 알리·테무 등을 쓰게 만들려고 중국이 벌인 짓”이라는 음모론까지 퍼지고 있다.

이같은 국민 우려를 불식시키기 위해 “쿠팡과 정보보안 당국이 선제적으로 추가 피해 상황을 취합해 투명하게 공개해야 한다”는 의견도 나온다. 황 교수는 “해킹 등 정보 유출 사건은 국가 공조가 협조적이지 않을 때도 많아 수사가 아무리 빨라도 2~3년 이상 걸리는 경우가 상당히 많다”며 “이 사이에 발생하는 추가 유출이나 N차 피해를 투명하게 공개하고 조치해야 국민적 불안감과 의구심을 해소할 수 있을 것”이라고 말했다.

배경훈 부총리 겸 과학기술정보통신부 장관은 이날 “금일부터 3개월간 ‘인터넷상 개인정보 노출 및 불법유통 모니터링 강화 기간’을 운영하겠다”고 밝혔다.