쿠팡 주문 패턴 통해 집 머무는 시간대, 가족 구성 등 실생활 정보 탈취 가능 카드는 재발급 되지만 집주소는 못 바꿔 공동현관 비밀번호까지 유출됐을 가능성 유출규모 역대급, 3500만 싸이월드 때와 맞먹어
고객 정보가 대랸 유출된 쿠팡의 서울 잠실 본사 건물에 30일 오후 긴장감이 돌고 있다. 변영욱 기자 cut@donga.com
30일 쿠팡에 따르면 이번 사고로 유출된 정보는 △이름 △이메일 주소 △휴대전화 번호 △자택(배송지) 주소 △수령인 정보 등이다. 여기에 최근 제품 구매 이력(5건) 등도 포함된 것으로 알려졌다. 쿠팡은 유출 항목에 대해 “신용카드 번호, 결제 정보, 로그인 비밀번호 등은 포함되지 않았다”고 설명했다. 그러나 유출된 배송지 주소는 자택과 직장, 가족 거주지와 연결되는 경우가 많다. 또 수령인 정보나 배송 요청 메시지에는 공동현관 비밀번호 등 민감한 정보가 포함되는 경우가 있어 실제 일상생활 공간이 외부에 고스란히 노출될 수도 있다는 지적이 나온다.
● ‘생활 침투형’ 유출
광고 로드중
과거 유출 사건들이 유심 인증키나 카드번호·CVC 등 ‘인증·금융 기반 정보’ 중심이었다면, 쿠팡 사고는 이름·주소·구매 이력 등 이용자의 동선과 소비 성향을 파악할 수 있는 ‘밀착형 정보’가 대부분이다.
2011년 발생했던 네이트·싸이월드 해킹 사건은 중국발 해커의 외부 공격으로 이름·주민등록번호·비밀번호(암호화된 상태) 등 인증 기반 정보가 유출되며 명의 도용 및 불법 대출 악용 우려를 불러왔다. 올해 4월 발생한 SK텔레콤 정보 유출 사건은 단말기 고유식별번호(IMEI) 등 가입자 약 2300만 명의 유심(USIM) 관련 정보가 유출되면서 유심 복제나 문자 탈취를 이용한 금융 범죄 가능성이 제기됐다. 9월 롯데카드에서는 카드번호·비밀번호(2자리)·CVC·주민등록번호 등 금융 거래 핵심 정보가 유출됐다.
반면 쿠팡은 거주지와 배송 이력이 노출되면서 동일한 계정 내 주문 패턴을 통해 집에 머무는 시간대나 가족 구성, 생활 스타일 등이 특정될 가능성이 커졌다. 공동현관 비밀번호가 기재된 배송 요청 메시지가 포함됐을 가능성까지 제기되면서 단순한 정보 유출을 넘어 사생활 침입, 스토킹, 자택 침입 등 물리적 범죄로 이어질 수 있다는 우려도 있다.
박춘식 서울여대 정보보호학과 교수는 “과거 SKT·KT 사태는 통화 도청이나 과금, 대포폰 개설 우려가 중심이었다면 쿠팡은 직접적인 사생활과 관련된 문제”라며 “거주지 정보가 다른 데이터와 결합되면 위치, 취향, 생활 패턴까지 드러나 스미싱이나 피싱 등에 악용될 가능성이 크다”고 했다.
광고 로드중
● 유출 규모 역대 최대 규모
현재 쿠팡은 사고 경위에 대해 경찰 수사에 협조 중이다. 추가 조사를 통해 유출된 항목의 세부 범위와 관련자 신원 확인에 나설 예정이다. 하지만 유출된 정보가 다크웹 등에 이미 판매되었을 가능성도 배제할 수 없어 고객 불안은 쉽게 가라앉지 않을 것으로 보인다.
유출 규모 또한 역대 최대급이다. 3370만 명의 개인정보 유출은 역대 최악의 사고로 평가받는 싸이월드·네이트 사고 당시 3500만 명과 맞먹는 규모다. SK텔레콤(2324만 명), 넷마블(661만 명), 롯데카드(297만 명), 골프존(221만 명) 등 주요 기업들의 사고보다 더 큰 규모다. 특히 쿠팡 사건의 경우 고객들의 최근 제품 구매이력 5건씩 유출됐다면 최대 1억6850만 건의 구매정보가 유출됐다고 볼 수 있다. 다른 사건과 비교할 수 없을 정도의 생활 밀착 정보가 유출된 것이다.
이상진 고려대 정보보호대학원 교수는 “특히 주문정보는 소비 패턴이 담긴 중대한 사생활 정보로, 과거 옥션에서도 개인정보를 탈취한 자가 성관련 물품을 구입한 여성의 정보를 공개하겠다고 협박한 적이 있다”며 “동일하게 구매한 내역만 가지고 특정인의 내밀한 사생활 정보를 알 수 있어 범죄로 악용될 수 있다”고 했다.
광고 로드중
남혜정 기자 namduck2@donga.com
이소정 기자 sojee@donga.com
김다연 기자 damong@donga.com