[Weekly Threat] 유출 정보 악용한 2차 피해 가능성도
보안사고는 '일상'입니다. 이번 주 국내외에서 발생한 주요 사이버 위협과 사건·사고를 소개합니다. 최신 소식이 궁금하다면, '위클리 쓰렛(Weekly Threat)'을 확인해 보세요. <편집자주>
[디지털데일리 김보민기자] 3370만 개인정보를 유출한 쿠팡이 코너에 몰렸다. 국회 현안질의에 이틀 연속 출석해 뭇매를 받은 데 이어, 정부가 징벌적 과징금 뿐만 아니라 엄정 제재를 가하겠다고 예고하면서 산업계 전반에 위기감이 감도는 분위기다.
쿠팡보다 먼저 개인정보 유출 사실이 드러난 넷마블은 내부 조사를 통해 추가 피해를 확인했다. 추가로 발견된 유출 정보에는 고객센터 고객과 온라인 입사 지원자 등이 있었고 주민등록번호도 일부 포함된 것으로 나타났다.
유통부터 게임까지 산업을 가리지 않은 보안사고가 이어지면서 "터질게 터졌다"는 반응도 이어지고 있다. 관계당국과 기관은 유출 정보를 악용하는 2차 피해 가능성이 있는 만큼 사용자 주의가 필요하다고 경고했다.
 |
쿠팡보다 먼저 개인정보 유출 사실이 드러난 넷마블은 내부 조사를 통해 추가 피해를 확인했다. 추가로 발견된 유출 정보에는 고객센터 고객과 온라인 입사 지원자 등이 있었고 주민등록번호도 일부 포함된 것으로 나타났다.
유통부터 게임까지 산업을 가리지 않은 보안사고가 이어지면서 "터질게 터졌다"는 반응도 이어지고 있다. 관계당국과 기관은 유출 정보를 악용하는 2차 피해 가능성이 있는 만큼 사용자 주의가 필요하다고 경고했다.
 |
쿠팡은 2일 국회 과학기술정보방송통신위원회, 3일 정무위원회 현안질의에 연달아 출석하며 대규모 개인정보 유출 사고 원인과 대응 방식에 대한 질타를 받았다. 현장에는 쿠팡 박대준 대표와 브랫 매티스 정보보호최고책임자(CISO)가 참석했지만, 출석에 불응한 김범석 쿠팡Inc 이사회 의장은 모습을 드러내지 않았다.
현장에서는 쿠팡이 주력 매출원으로 한국 시장에서 활약해왔지만 사용자 보호 등을 위한 보안 조치를 뒷전으로 여겼다는 지적이 나왔다. 일례로 비밀번호 없이 생체인식과 핀(PIN) 등으로 인증을 할 수 없는 '패스키'가 부재했다는 의견도 나왔다. 이에 박 대표는 정무위 질의에서 "(패스키가 한국에 적용됐더라면) 더 안전하게 서비스할 수 있었을 것"이라고 답했다.
정부는 쿠팡뿐만 아니라 대형 보안사고를 내 피해를 입힌 기업을 엄정 제재하겠다고 예고했다. 배경훈 부총리 겸 과학기술정보통신부 장관은 과방위 질의에서 "징벌적 손해배상을 통해 (쿠팡과 같은) 일이 다시 일어나지 않도록 하는 것이 중요하다"고 밝혔다. 개인정보보호위원회도 현행 개인정보보호법상 과징금과 손해배상 제도에 대한 보완이 필요한 점을 고려해 제도 개선책을 마련할 방침이다.
일각에서는 국내 최상위 보안 인증을 받은 기업에서 연달아 사고가 일어나고 있는 만큼 제도 실효성을 높여야 한다는 지적이 제기된다. 쿠팡에 인증을 취소해야 한다는 의견도 나왔다. 이상중 KISA 원장은 "(쿠팡 인증 취소와 관련해) 잘 살펴보겠다"고 답했다.
 |
이러한 분위기 속 넷마블을 둘러싼 추가 피해 소식도 나왔다. 넷마블은 3일 홈페이지를 통해 "내부 조사를 진행하는 과정에서 유출 내용이 추가 확인됐다"고 밝혔다.
추가 공지에 따르면 고객센터 문의 고객의 이름·이메일 등 상담자 확인 내용, 온라인 입사 지원자 이름·이메일·종교 등 기재 내용, 2011년 취업박람회 부스 방문자 이름·이메일·휴대폰번호, 기업간거래(B2B) 사업 제안 담당자 이름·이메일·휴대폰번호 등 내용이 유출됐다. 총 8000여건에 달하는 추가 유출 정보다.
유출 정보 중에는 고객센터 고객 주민등록번호와, 온라인 입사 지원자 주민등록번호도 포함됐다. 민감정보를 유출하지 않았다는 넷마블 측 초기 입장과 대비되는 결과다. 넷마블은 11월26일 PC사이트 고객정보 유출 사실을 처음 알렸을 당시 "주민등록번호 등 고유식별정보나 민감정보 유출은 없었다"고 말했다. 당초 넷마블이 공지한 유출 규모는 611만명이다.
 |
대규모 유출이 이어지자 해당 정보를 악용한 2차 피해를 주의해야 한다는 경고가 이어지고 있다. 보안업계와 한국인터넷진흥원(KISA)에 따르면, 해킹 사고 직후에는 피해 기업을 사칭한 스미싱이 대량 유포되는 경우가 있다.
공격자는 '긴급 앱 업데이트', '피해보상 신청', '환불 안내' 등 문구를 담은 문자 메시지를 보내 악성 인터넷주소(URL)를 누르도록 유도한다. 주소를 누를 경우 피싱 사이트로 연결되거나 악성 앱 설치를 요구받을 수 있다. '피해사실 조회' 등 키워드를 악용해 포털 검색 결과 상단에 피싱 사이트가 노출되는 방식도 활용할 가능성이 있다. 전화로 피해보상 절차를 안내하는 것처럼 접근해 원격제어 앱을 설치하거나 피싱사이트 접속을 요구하는 보이스피싱도 증가할 수 있다.
일단 경찰은 쿠팡 개인정보 유출 사태로 인한 2차 피해는 없다는 입장이다. 경찰청 국가수사본부는 5일 의심 사례를 발견하지 않았다고 밝혔다. 유출사고가 발생한 6월 전후로 스미싱, 보이스피싱 범죄가 증감한 추세도 없었다고 설명했다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.