시큐리티팩트
[시큐리티팩트=최석윤 기자] 대한민국이 완전히 발가벗겨졌다. '로켓배송'의 편리함 뒤에 숨겨져 있던 보안의 둑이 터졌다. 국내 최대 이커머스 기업 쿠팡에서 발생한 3370만 개 계정 정보 유출 사태는 단순한 해킹 사고가 아니다. 이는 대한민국 디지털 경제의 취약성을 적나라하게 드러낸 '디지털 재난'이다.
국민 대다수의 실명, 주소, 전화번호가 통째로 털렸다. 사실상 전 국민의 개인정보가 '공공재'가 되어버린 셈이다. 이번 사태는 2011년 네이트 해킹 이후 최대 규모다. 하지만 그 성격은 훨씬 더 치명적이다. 쇼핑 데이터는 개인의 라이프스타일과 거주 동선까지 파악할 수 있는 '민감 정보의 집합체'이기 때문이다.
우리는 왜 속수무책으로 털렸는가. 그리고 발가벗겨진 개인은 이제 무엇을 해야 하는가. 기존 보도들이 놓친 '쿠팡 게이트'의 구조적 문제와 실질적인 생존 매뉴얼을 심층 분석한다.
가장 충격적인 것은 유출 규모보다 '인지 시점'이다. 쿠팡은 최초 4500개 유출을 발표했다가, 당국의 조사 후 3370만 개로 정정했다. 무려 7500배의 차이다. 이는 단순한 집계 오류가 아니다. 쿠팡의 보안 관제 시스템이 내부 데이터의 대량 이동을 전혀 감지하지 못했다는 자백이나 다름없다.
해킹 시점은 올해 6월로 추정된다. 쿠팡이 이를 인지한 것은 11월이다. 5개월이다. 그 긴 시간 동안 해커들은, 혹은 정보를 빼돌린 누군가는 대한민국 국민의 안방 주소를 마음대로 들여다봤다. "제3자의 비인가 접근"이라던 초기 해명은 "해외 서버를 통한 침입"으로 바뀌었다. 급기야 내부 직원을 형사 고소했다.
내부자의 소행이든 외부의 공격이든 결론은 하나다. 연 매출 30조 원을 바라보는 거대 기업의 보안 시스템이 '자동문' 수준이었다는 것이다. 고객이 신고하기 전까지 기업은 까맣게 몰랐다. 이것은 사고가 아니라 직무 유기다.
이번 사건을 단순한 기업 범죄로 봐선 안 된다. 전문가들은 '지정학적 데이터 안보' 관점에서 접근해야 한다고 경고한다. 여당 과방위원들이 지적했듯, 최근 일련의 대형 해킹 배후에는 '적성 국가'나 그 지원을 받는 해커 그룹이 존재하는 경우가 많다.
쿠팡의 데이터는 왜 위험한가. 여기엔 단순한 연락처가 아닌 '배송지 정보'가 있다. 우리 집 현관 비밀번호, 가족의 이름, 주로 구매하는 물품(취향), 거주지 이동 경로가 포함된다. 이 정보가 해외, 특히 보이스피싱 조직의 본거지인 중국 등지로 넘어갔을 때의 파괴력은 상상을 초월한다.
기업들은 비용 절감을 위해 보안 투자를 미룬다. 정부의 과징금은 기업 매출에 비하면 '껌값'이다. SK텔레콤이 2,700만 명 정보를 털리고도 건재하듯, 기업들은 '보안 투자비보다 과징금이 싸다'는 계산을 끝냈을지도 모른다. 이 도덕적 해이가 대한민국을 '글로벌 해커들의 맛집'으로 만들었다.
쿠팡 측은 "결제 정보는 안전하니 별도 조치는 필요 없다"고 안내했다. 틀렸다. 이것은 매우 무책임한 발언이다. 범죄자들은 결제 정보를 직접 훔치는 대신, 확보한 주소와 전화번호를 조합해 '사회공학적 해킹(Social Engineering)'을 시도할 것이다.
소비자는 이제 스스로를 지켜야 한다. 뻔한 비밀번호 변경을 넘어선, 구체적이고 실질적인 대응책이 필요하다.
△ '크리덴셜 스터핑' 방어, 비밀번호 대청소
해커들은 쿠팡 아이디와 비번을 다른 사이트(네이버, 카카오, 금융앱)에 무차별 대입한다. 이를 '크리덴셜 스터핑'이라 한다.
행동 요령: 쿠팡과 아이디/비번을 똑같이 쓰는 모든 사이트의 비밀번호를 즉시 변경하라. 특히 주거래 은행과 주요 메일 계정은 필수다. 모든 사이트에 '2단계 인증(2FA)'을 설정하라. 이것만이 뚫린 비번을 막을 최후의 방패다.
△ '맞춤형 스미싱' 구별법... "택배 기사도 의심하라“
이제 스미싱 문자는 정교해진다. "김쿠팡 고객님, 서초대로 12길 배송지 오류입니다"라고 온다. 내 이름과 주소를 정확히 알기에 속을 수밖에 없다.
행동 요령: 문자 메시지에 포함된 URL(인터넷 주소)은 절대, 무슨 일이 있어도 클릭하지 않는다. 배송 문제는 무조건 쿠팡 공식 앱을 켜서 확인한다. 해외 발신 번호나 '070' 번호, 혹은 일반 휴대전화 번호로 온 'URL 포함 문자'는 100% 사기다.
△ '통신사 소액결제' 차단, 금전 피해 원천 봉쇄
내 정보로 알뜰폰을 개통하거나 소액결제를 시도할 수 있다.
행동 요령: 통신사 고객센터 앱에서 '소액결제 차단' 혹은 '한도 0원' 설정을 하라. 명의도용 방지 서비스인 '엠세이퍼(Msafer)'에 가입하여 내 명의로 몰래 개통되는 휴대전화나 인터넷 가입을 실시간으로 감시하고 차단해야 한다.
△ 탈퇴 전 정보 내역 캡처 등) 확보
개인은 약하다. 하지만 뭉치면 기업을 움직일 수 있다.
행동 요령: 개인정보분쟁조정위원회에 분쟁 조정을 신청하라. 소송보다 빠르고 비용이 들지 않는다. 향후 진행될 수 있는 집단 소송 카페나 커뮤니티 동향을 주시하며 증거(탈퇴 전 정보 내역 캡처 등)를 확보해 두는 것도 좋다.
쿠팡 사태는 예고된 참사였다. 편리함을 위해 개인정보를 무한정 제공해 온 우리 사회에 울리는 거대한 경종이다. 기업은 "죄송하다"는 사과문 한 장으로 끝낼 일이 아니다. 징벌적 손해배상제 도입 등 기업이 파산할 수도 있다는 공포를 느낄 정도의 강력한 법적 제재가 뒤따라야 한다.
국민의 개인정보는 기업의 자산이 아니다. 보호받아야 할 인권이다. 지금 대한민국은 디지털 세상에서 발가벗겨졌다. 옷을 다시 입혀줄 주체는 결국, 각성한 소비자와 강력한 법의 철퇴뿐이다.
