[서울=뉴스핌] 조민교 기자 = 쿠팡에서 대규모 개인정보 유출 사태가 발생한 가운데 이를 활용한 2차 피해 우려가 제기되고 있다. 쿠팡에 따르면 결제정보 등 민감 정보는 유출되지 않았지만 이미 노출된 이름·연락처·주소 등 정보만으로도 스미싱, 보이스피싱, 위장 택배 안내 문자, 구매 이력 기반 허위 상담 전화 등 맞춤형 악용 사기가 발생할 수 있다. 특히 유출 정보가 실제 소비생활과 연결돼 있어 범죄 조직이 안내 메시지로 위장해 접근할 경우 일반 사용자가 구분하기 어렵다는 우려가 나온다.

1일 국회 과학기술정보방송통신위원회 최민희 의원이 쿠팡으로부터 확인한 자료에 따르면 이번 유출은 인증 관련 담당자에게 발급된 서명된 액세스 토큰의 유효 인증키가 직원 퇴사 후에도 갱신되지 않고 장기간 방치된 것이 주요 원인으로 분석됐다.

쿠팡은 서명키 유효기간에 대해 정확한 수치는 밝히지 않았지만 "5~10년으로 설정하는 경우가 많다"며 "키 종류에 따라 로테이션 기간이 길다"는 입장을 밝혔다. 로그인용 '토큰'이 출입증이라면 이를 승인하는 '서명키'는 도장 역할에 해당하며 이 도장이 장기간 교체되지 않은 채 내부에서 악용된 셈이다.

국가통계포털 기준 2025년 우리나라 총인구는 약 5,168만 명이다. 이번 쿠팡 유출 규모가 3,370만 건에 달하면서 전체 인구 대비 약 65.20%에 해당하는 정보가 노출된 것으로 추정된다. 모바일인덱스에 따르면 쿠팡의 월간 활성사용자는 3,438만 명이며 유료 멤버십 회원은 약 1,500만 명 수준이다. 쿠팡은 "이름·주소 등 배송지 정보만 유출됐고 카드정보 등 결제 수단은 포함되지 않았다"고 해명했지만 소비자 입장에서는 유출 범위보다 추후 정보 악용으로 인한 실제 금전 피해 가능성이 높아진 것이 문제라고 본다. 최근 SK텔레콤과 KT 해킹 사례에서도 초반 '단순 개인정보 유출'로 발표됐다가 소액결제 악용 등 피해가 확산된 바 있다.

AI시대가 도래하면서 2차 피해 발생 방식은 더욱 정교해지고 있다. 업계는 유출된 정보를 활용해 배송지 정보 확인 필요, 상품 반송 처리 중 등 안내 문자를 가장한 스미싱이 발생할 가능성을 경고한다. 사용자가 문자 내 링크를 클릭할 경우 악성 앱 설치 또는 인증 정보 탈취로 이어질 수 있다. 보이스피싱은 "최근 주문 건 관련 확인 전화" 등 실제 구매 이력을 활용한 상담 형태로 접근해 신뢰를 얻은 뒤 카드번호나 계좌 인증값을 요구하는 방식이 활용될 수 있다.

정보 유출의 전조 증상으로 내부 보안 체계 미비가 지속 지적된다. 정부와 업계는 ▲인증키 정기 교체 ▲퇴사자 접근 권한 즉시 차단 ▲로그 기록 실시간 감시 ▲데이터 암호화 강화 ▲다크웹 유출 정보 추적 모니터링 등 근본적인 안전장치 마련이 필요하다고 강조한다. 최민희 의원은 "쿠팡 사태는 단순 직원 일탈이 아니라 인증 체계 자체를 관리하지 않은 기업 차원의 문제"라며 "IT·테크기업은 보안키 로테이션을 포함해 정보보호 수준을 근본적으로 재점검해야 한다"고 말했다.

염흥열 순천향대 정보보호학과 교수 또한 "전화번호, 주소, 공동현관 비밀번호 등 민감 정보가 유출되면서 여러 형태의 2차·3차 피해가 발생할 가능성이 있다"며 "퇴사한 직원이 정보를 빼갔다고 알려진 만큼 쿠팡은 권한 회수 및 보안 관리에 있어 구조적 허점을 보완해야 한다"고 지적했다. 

소비자 개인의 경각심도 요구된다. 염 교수는 "소비자 입장에서는 링크·이메일·첨부파일 등 출처가 불분명한 경우 절대 클릭하지 않는 등 '정보보호 10대 수칙'을 생활화하는 것이 최선의 대응"이라며 "기업 보안 강화와 함께 이용자 스스로의 경각심도 필요하다"고 강조했다.

mkyo@newspim.com