쿠팡 정보유출 후폭풍, 스미싱 확산 우려…정부·경찰 ‘전방위 대응’

3370만 계정 털린 ‘전례 없는 규모’…정부·개보위 합동조사 착수
중국 국적 전직 직원 ‘유력 용의자’…경찰, 내부자 연루 가능성 수사
스미싱·보이스피싱 위험 급등…KISA “출처 불명 URL 즉시 삭제” 경고

▲배경훈 부총리 겸 과학기술정보통신부 장관이 30일 서울 종로구 정부서울청사에서 열린 쿠팡 관련 긴급 관계부처 장관회의에서 모두발언을 하고 있다. 조현호 기자 hyunho@

국내 최대 이커머스 기업 쿠팡에서 발생한 대규모 개인정보 유출 사태가 전 국민 보안 경보로 번지고 있다. 내부 직원 연루 가능성까지 제기되면서 기업 전반의 개인정보 관리 체계가 도마 위에 올랐고, 유출된 전화번호·주소 등을 노린 스미싱·보이스피싱 위험까지 커지면서 소비자 불안은 급속히 확산하는 분위기다.

30일 정부는 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 긴급회의를 열고 “많은 국민이 이용하는 플랫폼사에서 침해사고가 발생해 송구하다”며 철저한 사고 조사를 약속했다. 배 장관은 “정부는 지난 19일 쿠팡으로부터 침해사고 신고를, 20일 개인정보 유출 신고를 받고 현장 조사를 진행 중”이라며 “공격자가 서버 인증 취약점을 악용해 정상 로그인 없이 고객 정보가 대량 유출된 것으로 확인됐다”고 설명했다.

유출 규모는 조사 과정에서 급속히 확대됐다. 애초 약 4000여 개로 알려졌던 피해 계정은 3370만 개로 폭증하며 사실상 ‘전 계정 유출’ 수준에 가까운 것으로 드러났다. 유출된 정보는 고객명, 이메일, 발송지 전화번호, 주소 등 핵심 개인정보다. 이는 2011년 싸이월드·네이트(약 3500만 명), SK텔레콤(약 2324만 명) 사례를 넘어서는 국내 최악 수준의 정보 유출 사고로 평가된다.

개인정보보호위원회는 쿠팡의 안전조치 의무 위반 여부를 집중 점검 중이다. 정부는 이날부터 민·관 합동조사단을 본격 가동해 사고 원인 규명과 피해 차단에 총력을 기울이고 있다.

경찰도 수사에 속도를 내고 있다. 서울경찰청 사이버수사대는 지난 25일 접수된 고소장을 바탕으로 서버 접근 기록과 유출 경로를 분석 중이며 내부 직원 개입 가능성도 배제하지 않고 수사를 병행하고 있다. 유력 용의자로 거론되는 전직 직원이 중국 국적이며 이미 출국한 것으로 알려져 수사 난항도 예상된다.

소비자 불안은 현실로 번지고 있다. 쿠팡이 사고 발생 나흘 만에 일부 고객에게만 안내 문자를 발송하고, 웹 공지도 늦게 게재하면서 “대응이 지나치게 늦었다”는 비판이 확산했다. 온라인상에서는 단체 대응을 준비하는 ‘피해자 모임’까지 등장했다.

▲박대준 쿠팡 대표가 30일 서울 종로구 정부서울청사에서 열린 쿠팡 관련 긴급 관계부처 장관회의를 마친 뒤 고개를 숙여 사과하고 있다. 조현호 기자 hyunho@

특히 유출된 전화번호·주소를 악용한 스미싱·보이스피싱 피해 우려가 빠르게 커지고 있다. 한국인터넷진흥원(KISA)은 “피해조회·환불·보상 등을 미끼로 한 스미싱이 대량 확산할 수 있다”며 경보를 발령했다. 악성 앱 설치를 유도하는 문자, 가짜 ‘피해조회’ 검색광고, 전화 기반 원격제어 앱 설치 요구 등이 대표적 사례다.

KISA는 “정부 기관·금융사는 원격제어 앱 설치를 절대 요구하지 않는다”며 “출처 불명 URL은 즉시 삭제하고 ‘보호나라’ 스미싱·피싱 확인 서비스를 이용해야 한다”고 당부했다. 악성 앱 설치가 의심될 경우 즉시 삭제 후 통신사의 ‘번호 도용 차단 서비스’를 신청해야 하며, 지인 연락처로 확산되는 2차 피해 가능성에도 주의를 강조했다.

이번 사태는 정보보호 인증 제도의 실효성 논란까지 불러왔다. 쿠팡은 2021년과 올해 두 차례 ISMS-P 인증을 획득했지만, 최근 4건의 개인정보 유출 사고가 반복되면서 인증 제도 자체에 대한 회의론이 커진 상황이다. 정부는 합동조사단을 통해 △ISMS-P 전면 개선 △대형 플랫폼 실시간 탐지 의무 강화 △내부자 통제 기준 상향 △보안 제도 개편 등 후속 대책을 마련할 방침이다.