“고객님 계좌서 출금됐습니다”…과도한 불안 조장 아냐, 당장 해야 할일은 ‘이것’

쿠팡발 정보 유출 사고…문자·전화 피싱 활개 우려
웹사이트 비밀번호 변경, 카드·계좌 연동 해제해야
배송·보상 관련 문자·카톡 링크 받았다면 클릭금지

이커머스업체인 쿠팡에서 3000만건이 넘는 대규모 개인정보 유출 사고가 일어났다. 사실상 쿠팡 가입자 전원이 피해를 입은 것으로 추정된다. [이승환 기자]

쿠팡에서 초유의 개인정보 유출 사태가 발생했다. 무려 3370만개 계정에 저장된 데이터가 중국인 퇴직자에 의해서 빠져나갔다. 사실상 우리나라 국민 절반이 신상정보와 구매정보를 빼앗긴 만큼 불안감이 확산하는 분위기다. 이에 후속 피해 방지를 위한 대책 마련의 필요성이 대두되고 있다.

6일 보안업계에 따르면 지난주 쿠팡에서 이용자의 이름·생년월일·전화번호·주소·이메일·공용현관비밀번호·주문내역 등이 유출됐다. 정보의 구성이 다양한 사기 범죄에 악용하기 용이한 항목들인 만큼 피해자가 늘어날 것이라는 우려가 나온다. 그렇다면 후속 피해를 막기 위해 무엇을 해야 할까?

보안업계는 가장 먼저 쿠팡과 동일한 아이디·비밀번호를 사용 중인 웹사이트의 비밀번호를 바꿔야 한다고 조언했다. 네이버·카카오·구글 등 포털과 인스타그램·페이스북 등 사회관계망서비스(SNS), G마켓·SSG닷컴·컬리 등 쇼핑몰, 학교·직장 등 인트라넷, 당근·번개장터·커뮤니티 등 플랫폼에 로그인을 시도해 본다. 이용자들이 편의상 웹사이트 아이디와 비밀번호를 통일하기 때문이다.

사전에 허용한 기기로만 로그인할 수 있는 권한을 부여하고, 지문·얼굴을 비롯한 생체 인식이 가능한 추가 인증을 생활화하면 계정 도용·스팸 전송과 같은 범죄 피해를 예방하는 데 도움이 된다. 쿠팡은 결제정보 유출 정황은 파악되지 않았다고 주장했지만, 만약에 대비해 간편결제도 해지하라고 강조했다.

[챗GPT]

보안업계에서 주시 중인 범죄는 스미싱과 피싱이다. 특히 공공·금융기관을 사칭한 범죄가 활개칠 수 있어서 주의가 요구된다. 안랩이 발간한 피싱 문자 보고서를 참고하면 지난 3분기 기준 스미싱 피해 사례 가운데 정부·공공기관(30.99%) 사칭이 가장 많았다. 그 뒤를 금융기관(7.62%)과 물류업체(3.04%)가 이었다.

카드번호나 은행계좌처럼 직접적으로 금전을 탈취할 수 있는 정보는 아니지만, 실생활과 밀접해 타깃을 손쉽게 속일 수 있다. 예컨대 택배 정보가 정확하지 않으니 추가 정보를 입력하라는 링크를 발송하거나, 해외직구 상품과 관련해 세금을 납부해야 통관 패스를 시켜 준다거나, 경찰·검찰에서 등기 서류를 보냈으니 확인하라는 식이다. 보상·환불 절차 안내를 미끼로 금융정보 입력을 유도할 가능성도 존재한다.

스미싱 범죄를 당하지 않으려면 ‘구매 물품 오배송’, ‘배송 주소 불일치’, ‘주소 확인’, ‘반품 주소 입력’ 등의 키워드와 인터넷주소(URL)·애플리케이션 다운로드 경로가 첨부된 휴대전화 메시지(SMS)나 카카오톡 메시지를 열어서는 안 된다. 번거롭더라도 공식 채널·고객센터로 연락해 진위 여부를 확인하는 습관을 들여야 한다.

휴대전화가 악성 앱에 감염돼 모바일 무단결제 피해가 발생했다면 통신사에서 소액결제확인서를 발급해 준다. 이 확인서를 지참해 관할 경찰서 사이버수사대에 신고하고, 공인인증서·공동인증서를 포함한 본인 인증 수단을 일괄 폐기해야 한다.

보호나라 이용 방법. [한국인터넷진흥원(KISA)]

안전한 금융·통신환경을 지원하는 서비스를 활용하는 것도 방법이다. 비대면 계좌개설, 비대면 대출실행, 오픈뱅킹 이용 시 비정상적인 접근을 차단해 주는 ‘안심차단서비스’에 가입하면 명의도용 금융사기 피해를 방지할 수 있다. 이동통신회사들도 인공지능(AI)을 접목한 SMS 보안 기능과 의심 번호 차단 기능 등을 제공한다.

스미싱 여부 판별은 카카오톡 ‘보호나라’ 채널과 보이스피싱통합신고대응센터 ‘스미싱 메시지 차단 신고’에서 가능하다. 휴대전화 보안 수준을 높일 수도 있다. 안드로이드 단말기 사용자는 ‘설정’의 ‘보안 및 개인정보보호’ 메뉴에서 ‘보안 위험 자동 차단’ 기능을 활성화하면 출처를 알 수 없는 앱 설치를 막아 준다.

관세청은 해외직구에 필수적인 개인통관고유번호 변경을 추천했다. 최대 직구 성수기인 블랙프라이데이를 앞둔 상황에서, 통관번호 재발급 건수는 지난달 30일부터 지난 4일까지 113만1355건으로 집계됐다. 닷새간 재발급된 통관번호 개수가 올해 1월부터 10월까지 발급된 통관번호 개수의 10배에 달한다.

복수의 보안업계 관계자는 “과거 해외에서도 계정 일부가 노출된 사고가 부가적인 피해를 낳았다. 아마존에서 배송이 지연됐다는 스미싱이, DHL에서는 배송에 실패했다는 스미싱이 기승을 부려 사회 문제가 됐다”라며 “물품 배송 관련 연락은 대체로 의심하지 않기에 범죄 성공률이 올라간다”고 설명했다.

박대준 쿠팡 대표이사가 3일 서울 여의도 국회 정무위원회에서 열린 쿠팡 개인정보 유출 관련 현안질의에서 국회의원들의 질문에 답변하고 있다. [뉴스1]

금융당국과 통신당국도 피싱 경보를 내리고 온라인 모니터링 강화에 나섰다. 먼저 금융위원회·금융감독원이 소비자경보 ‘주의’를 발령했다. 개인정보보호위원회는 앞으로 석 달 동안 다크웹을 포함한 인터넷상 개인정보 유·노출 및 불법유통 모니터링 강화 기간을 운영한다. 과학기술정보통신부는 자세한 사건 경위 및 피해 규모를 파악하고 보안 수준과 대응 방침을 점검하는 동시에 피해 예방 교육과 캠페인을 전개하기로 했다.

금융위·금감원 관계자는 “정부기관과 금융회사는 절대 전화나 문자로 앱 설치를 요구하지 않는다”라며 “발신자가 불분명한 문자메시지의 URL는 절대 클릭하지 말고 관계기관에 신고한 뒤 메시지를 삭제해 달라”고 당부했다.

한편, 쿠팡은 지난 2일 국회 과학기술정보방송통신위원회 현안질의에서 미온적인 태도를 보여 빈축을 샀다. 과방위는 홈페이지 로그인 비밀번호 변경과 쿠팡페이 결제카드 삭제 및 결제카드 비밀번호 교체를 권고했다.

그러자 박대준 쿠팡 대표이사는 “현재 이야기한 (결제용 카드번호 및 비밀번호) 정보가 노출됐다고 확인된 바는 아직 없다”라며 “과잉해서 안내를 하게 될 경우 불안감을 증폭시킬 수 있다”고 반박했다. 이번 사고를 노출이 아닌 유출로 표현해야 한다는 지적을 묵살하고 사과문도 내렸다.

김승주 고려대 정보보호대학원 교수는 “과거 통신사 개인정보 유출 사태에서도 최악의 경우를 상정해 유심 교체를 진행했다”라며 “전수 조사를 하면 피해가 확산될 수 있기에 최악의 상황을 가정하고 대책을 강구해야 한다”고 지적했다.

[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]