 |
쿠팡 사옥 전경. 쿠키뉴스 자료사진 |
국내 이커머스 보안 신뢰가 연이어 흔들리고 있다. 쿠팡에서 3370만명의 개인정보가 유출된 데 이어 G마켓에서도 외부에서 탈취된 계정을 통한 무단 결제 피해가 발생하면서, 온라인 쇼핑 기반 자체에 대한 불안이 확산하는 모습이다. G마켓은 피해 고객 전원에게 선보상을 약속하며 진화에 나섰지만, 간편결제 시스템의 인증 취약성이 다시 도마 위에 올랐다.
5일 쿠키뉴스 취재에 따르면 금융당국은 지난 1일 ‘쿠팡 개인정보 유출과 관련해 보이스피싱·스미싱 피해에 주의하라’는 소비자경보(주의)를 발령했다. 유출된 이름·주소지 등이 범죄 조직에 악용될 경우, 정부기관이나 금융회사를 사칭해 연락을 취하거나 ‘환불·보상 절차’를 미끼로 금융정보 입력을 유도하는 문자 사기가 급증할 수 있다는 우려에서다.
앞서 쿠팡은 지난달 29일 이름·이메일·전화번호·주소·일부 주문 정보 등 총 3370만개 계정 정보가 외부로 유출됐다고 공식 발표했다. 국내 성인 인구의 약 4분의 3에 해당하는 규모다. 특히 이번 사건은 네 번째 대규모 유출 사례로, 반복되는 사고가 내부 통제와 개인정보 접근 관리 체계 전반의 취약함을 보여준다는 비판이 제기된다. 사고 발생 후 최소 다섯 달간 유출 사실을 인지하지 못한 점, 퇴사한 중국 국적 직원에 의한 내부 유출로 확인된 점 역시 보안 시스템의 허점을 드러냈다는 지적이다.
업계 역시 이번 사건을 단순 내부자 일탈로만 보기는 어렵다고 본다. 개인정보 접근은 통상 단계별 권한 관리와 로그 기록을 통해 추적되므로, 수개월 간의 대량 정보 반출을 회사가 전혀 인지하지 못할 가능성은 낮다는 것이다.
한 개발자는 “보안 시스템이 정상적으로 굴러갔다면 내부 직원이 이렇게 대량의 정보를 빼가는데 로그가 안 남는 건 불가능하다. AWS·DB 접근 기록은 기본적으로 모두 남는 구조라 단순 직원이 혼자 우회하기 어렵다”며 “한국에서 개인정보 보유 기업은 ISMS 정기 심사를 받는데 이런 구조에서 내부 직원이 혼자 털었다는 설명은 납득하기 어렵다”고 말했다. 이어 “주요 보안 장치를 모두 피했다는 건 시스템적으로 허점이 있었거나 내부 통제가 사실상 작동하지 않았다는 의미”라고 덧붙였다.
커머스 시장 신뢰 붕괴…‘보안 도미노’ 현실화
이런 상황에서 G마켓에서도 외부에서 탈취된 계정을 이용한 무단 결제 사고가 발생하며 보안 우려는 온라인 커머스 전반으로 확산됐다. 구매 이력이 없는 모바일 상품권 결제 문의가 잇따랐고 피해자는 약 60명, 피해액은 1인당 3만~20만원으로 파악됐다. G마켓은 여러 플랫폼에서 동일 계정을 사용하는 관행을 악용한 전형적인 도용 범죄로 보고 전원 환불을 완료했으며, 금융당국에도 즉시 신고했다. 쿠팡 사태로 높아진 소비자 불안감을 감안한 대응이다.
 |
G마켓 사옥 전경. G마켓 제공 |
이러한 보안 우려 속에서 네이버도 자체 점검과 대응 체계 강화에 나선 분위기다. 네이버 관계자는 “네이버는 자체 개발한 정보보호 시스템을 다수 운영하고 있다”며 “내부적으로도 기술 기반의 다양한 정보보호 활동을 지속적으로 수행하고 있다”고 설명했다.
이어 “이용자의 프라이버시와 데이터 안전성을 최우선에 두고 여러 활동을 전개하고 있으며, 이러한 내용은 프라이버시 센터, 개인정보보호 공식 블로그, ESG 리포트 등을 통해 투명하게 공개하고 있다”고 밝혔다. 그러면서 “쇼핑 서비스의 경우 전담 인력을 두어 서비스 설계 단계부터 운영 과정 전반의 이슈를 밀도 있게 검토하고 대응하고 있다”며 “개인정보에 대한 무단 열람을 막기 위한 예방 조치와 상시 모니터링도 강화해 운영 중”이라고 덧붙였다.
해킹보다 무서운 후폭풍…전문가들 “2차 피해 막아야”
전문가들은 이번 쿠팡·G마켓 사태를 국내 이커머스 보안 전반의 구조적 취약성이 드러난 신호로 해석한다. 한 플랫폼에서 유출된 정보가 다른 사이트에서의 계정 도용으로 이어질 수 있고, 소비자들의 동일 비밀번호 사용 관행이 위험을 키운다는 것이다. 스미싱·보이스피싱 등 2차 피해로 번질 수 있는 만큼, 소비자 스스로의 보안 관리가 무엇보다 중요하다고 조언한다.
특히 비밀번호 교체와 의심 링크 무대응을 핵심 대응책으로 꼽았다.
황석진 동국대 국제정보보호대학원 교수는 “쿠팡은 결제 정보는 유출되지 않았다고 밝혔지만, 실제로는 더 많은 정보가 빠져나갔을 가능성도 배제할 수 없다”며 “이용자들이 여러 커머스 사이트에서 동일한 아이디와 비밀번호를 쓰는 경우가 많아 ‘크리덴셜 스터핑(credential stuffing)’ 공격이 발생했을 가능성도 있다”고 설명했다.
크리덴셜 스터핑은 한 사이트에서 유출된 로그인 정보를 다른 웹사이트에 무작위로 대입해 로그인이 되는지 시험하는 방식으로, 한 번 성공하면 그 플랫폼에 저장된 결제 정보나 주소·연락처 등이 그대로 악용될 수 있다.
황 교수는 “소비자는 우선 모든 사이트의 비밀번호를 교체하고, 같은 비밀번호를 여러 곳에 사용하지 않는 것이 가장 기본적인 보호조치”라며 “쿠팡을 사칭한 스미싱도 많이 발생하는데, 링크는 절대 클릭하지 말고, 실제 결제·취소 이슈가 있는지 확인하려면 반드시 플랫폼에 직접 접속해야 한다”고 강조했다.
권헌영 고려대 정보보호대학원 교수도 “지금 가장 중요한 건 2차 피해를 막는 것”이라며 “개인정보가 유출되면 보이스피싱이나 스미싱 같은 범죄가 집중적으로 발생하기 때문에, 아무리 나를 아는 것처럼 접근해도 상대가 요구하는 대로 행동해선 안 된다. 소비자가 스스로 확인하는 절차를 반드시 거쳐야 한다”고 강조했다.
그러면서 “플랫폼 차원에서 지금 즉시 할 수 있는 조치는 많지 않다”며 “피해 사실을 투명하게 알리고, 피해 가능성이 있는 이용자들에게 신속하게 안내하는 것이 무엇보다 중요하다”고 덧붙였다.
 |
이 기사의 카테고리는 언론사의 분류를 따릅니다.