이름·주소·구매기록까지 통째로…‘생활데이터’ 털린 국민, 2차 피해 공포 [이커머스 보안쇼크]

쿠팡 계정에 자택ㆍ직장 주소 물론
가족 이름ㆍ전화번호까지 고스란히
생활맞춤형 스미싱 악용 가능해져

▲국내 이커머스 시장 1위 업체인 쿠팡에서 3000만건이 넘는 대규모 정보 유출 사고가 발생하면서 소비자들의 불안이 커지고 있다. 30일 유통업계에 따르면 쿠팡은 전날 오후 고객 계정 약 3370만개가 무단으로 노출된 것으로 확인됐다고 공지했다. 쿠팡은 이 사고를 18일 인지하고 20일과 전날 각각 관련 내용을 개인정보보호위원회에 신고했다. 개인정보보호위는 현재 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 이날 서울 송파구 쿠팡 본사 모습. 조현호 기자 hyunho@

쿠팡 고객 3370만 명의 개인정보가 유출됐다는 사실이 알려지자 온라인 커뮤니티와 사회관계망서비스(SNS)에는 “더 이상 어디도 믿을 수 없다”는 반응이 쏟아지고 있다. 이번에 빠져나간 정보가 단순한 아이디나 이메일 수준이 아니라 이름·휴대전화·집 주소·배송지·주문 내역까지 포괄하는 사실상 개인 생활 패턴이 고스란히 드러나는 민감 데이터이기 때문이다.

　

쿠팡 측은 결제 정보·카드 번호·로그인 비밀번호는 유출 대상에 포함되지 않았다고 밝혔다. 하지만 이번에 털린 정보 조합만으로도 고도의 스미싱·보이스피싱을 설계하기에 충분하다는 게 보안 전문가들의 지적이다.

　

실제 사기범들이 노리는 정보는 카드 번호처럼 즉각적인 금융 탈취 수단뿐만이 아니다. 이름·연락처·주소·과거 구매 내역이 한꺼번에 확보되면 사기 수법의 정교함은 전혀 다른 차원이 된다. 예컨대 “○○님, 지난번 주문하신 상품 배송 중 오류가 발생했습니다”, “최근 수령하신 택배와 관련해 본인 인증이 추가로 필요합니다” 등 피해자의 실제 구매 이력과 생활 상황을 정확히 겨냥한 ‘맞춤형 스토리텔링형’ 사기가 가능해진다. 이는 단순 개인정보가 아니라 개인의 생활 패턴이 구조화된 데이터가 갖는 파괴력이다.

　

‘배송지 주소록’ 노출은 위험을 더 키운다. 쿠팡은 특성상 한 계정에 △본인 자택 △직장 △배우자·자녀·부모 집 △지인 주소 등 여러 배송지를 저장해 두는 경우가 많다. 한 계정이 유출되면 여러 명의 이름·전화번호·주소가 세트로 노출될 수 있게 된다. 하나의 계정 침해가 한 사람에게 국한되지 않고 가족·직장 동료·지인 등 ‘생활 네트워크 전체로 위험이 확산되는 연쇄 노출’로 이어질 수 있다는 뜻이다.

　

전문가들은 소비자들이 최소한의 ‘생활 방어선’을 직접 세울 필요가 있다고 조언한다. 우선 △쿠팡을 사칭한 문자·카카오톡·전화에 즉시 응답하지 말 것 △애플리케이션(앱)이나 공식 홈페이지에서 직접 주문·배송 상태를 확인할 것 △저장해 둔 배송지 주소록을 점검해 사용하지 않는 주소·연락처는 지울 것 등이다.

　

이번 사고는 온라인 쇼핑 편리함의 이면에 가려졌던 데이터 집중 구조의 위험성을 적나라하게 드러냈다는 평가다. 과거 네이트·싸이월드 해킹이 ‘온라인 계정’의 위험을 보여줬다면 이번 쿠팡 사태는 집주소와 생활 동선까지 얽힌 ‘생활 데이터 유출 시대’가 본격화했다는 신호일 수 있다는 것이다.

　

개인정보 유출 피해자들의 움직임도 본격화하고 있다. SNS상 ‘쿠팡 개인정보 유출 단체 소송 준비’ 오픈채팅방에는 이날 16시 48분 기준 1400명 이상이 입장해 개인정보 유출에 대한 분노와 집단소송에 관심을 표했다.