탈퇴 인증글에 ‘2차 피해 차단 요령’ 글 공유 확산
전문가 “카더라식 공포 그만, 멀티팩터 인증 설정부터”
국내 1위 유통 플랫폼 쿠팡에서 3370만 이용자의 계정 정보가 유출되는 초유의 사태가 벌어지자 보이스피싱·스미싱 등 2차 피해를 우려하는 목소리가 커지고 있다. 일부 이용자들은 탈퇴 인증 게시글을 남기거나 ‘개인정보가 유출됐을 때 해야 할 일’ 목록을 공유하며 피해 방지 대책을 찾고 있다.
1일 사회관계망서비스(SNS)에는 잇단 ‘탈퇴 인증글’이 올라오고 있다. 전날 쿠팡이 사과문을 올리고 박대준 대표가 고개를 숙였음에도 불구하고 이용자들의 공분이 식지 않는 가운데 사태 추이에 따라 대규모 탈퇴 러쉬로 비화할지 주목된다.
일부 이용자들은 ‘해야 할 일’ 목록을 공유하기도 했다. 개인 통관 번호나 신분증을 재발급받고, 인터넷 은행에서 ‘비대면 계좌 개설 차단 신청’, ‘명의도용 방지 서비스 신청’ 등을 해야 한다는 내용이 포함됐다. 이 글은 약 8900번이나 공유됐으며, 한때 실시간 검색어 1위에 통관 번호가 오르기도 했다.
이 외에도 유출된 ‘공동현관 번호’를 바꿔야 한다거나 집단 손해배상 소송을 하겠다는 글이 이어졌다.
전문가는 지금 당장 할 수 있는 조처로 쿠팡 계정 아이디 변경을 꼽았다. 최경진 한국인공지능법학회장(가천대 법학과 교수)은 “다른 사이트에서도 반드시 2단계 인증이나 멀티팩터(MFA) 인증을 설정하는 것이 우선순위”라고 조언했다. 멀티팩터 인증이란 사용자의 신원을 확인하기 위해 기본적인 ID와 비밀번호 입력 후 지문·홍채 등 생체인증, OTP 인증 등을 추가 확인하는 더 강력한 보안 절차다.
단 지나친 공포감 확산에는 침착하고 냉정히 접근할 필요가 있다고 했다. 최 교수는 “과거에도 개인정보 유출·해킹 사고가 났을 때 주소와 휴대전화 번호가 나간 적이 여러 번 있다. 오남용될 수 있는 여지는 있지만 범죄자들의 관점에서 오프라인보다는 온라인에서 경제적으로 (확보한 정보를) 오남용할 유인이 더 크다”고 분석했다.
그러면서 “카더라식으로 위험성을 자꾸 확대하고 두려움을 자꾸 만들기보다는 정확한 인식과 조사가 필요하다”며 “과도한 두려움이 과도한 규제를 낳고 사회적 비용이 커질 가능성이 있다”고 했다.
최 교수는 “지금은 비밀번호를 바꾸고, 멀티팩터 인증으로 바꾸면 상당한 문제는 해결될 것이다. 보호와 활용이 적절히 조화돼야 한다”고 했다.
정부 대책 역시 오프라인보다는 온라인 대응에 초점이 맞춰져 있다. 한국인터넷진흥원(KISA)은 지난 29일 보안 공지를 통해 △피해보상 △피해 사실 조회 △환불 등 키워드를 활용해 쿠팡을 사칭한 스미싱 또는 보이스피싱 시도가 예상된다고 경고했다. 주로 피해보상 신청이나 환불을 유도하는 내용이 될 가능성이 크다.
만약 이와 유사한 내용의 문자·메시지를 받았다면 카카오톡 채널 ‘보호나라’에서 악성 여부를 확인하고 신고할 수 있다. 무엇보다도 발신자가 불분명한 메시지에 붙어 있는 인터넷 주소(URL)는 클릭하지 않고 즉시 삭제하는 것이 중요하다. 사이트 공식 주소와 일치하는지도 확인해야 한다.
한편 서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 개인정보 유출 사고와 관련한 고소장을 접수해 수사 중이다. 유출된 계정은 약 3370만 개로, 계정 내 복수의 주소지가 포함된 점을 감안하면 실제 유출 규모는 더 커질 것으로 보인다.
유출의 유력 용의자는 쿠팡에서 인증 업무를 담당했던 중국 국적의 A 씨로, 퇴사 후 범행을 저지른 것으로 알려졌다. A 씨는 쿠팡 측이 제때 갱신·폐기하지 않은 ‘엑세스 토큰 서명키’를 범행에 이용한 것으로 파악됐는데, A 씨의 퇴사 후에도 서명키가 소멸하지 않고 유효한 상태로 방치돼 있었던 것이 사태의 원인으로 지목됐다.
최민희 국회 과학기술정보방송통신위원회 위원장은 “서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다”며 “장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라 인증 체계를 방치한 쿠팡의 조직적·구조적 문제의 결과”라고 지적했다.
과학기술정보통신부는 쿠팡 개인정보 유출 사태 대응을 위해 민관합동조사단을 가동하고 정밀한 사고 원인 분석 및 재발 방지 대책을 마련에 나섰다.
