“쿠팡 개인정보 유출 파장”…이통3사, 스미싱 경보 강화

쿠팡에서 3370만건 규모의 계정 정보가 유출된 이후 이를 악용한 스미싱과 보이스피싱이 대규모로 확산될 수 있다는 우려가 통신·보안 업계 전반으로 번지고 있다. 고객 이름과 연락처, 주소 등 실사용 정보가 외부로 대량 노출되면서, 실제 가입 정보를 알고 접근하는 정교한 사회공학 기반 피싱 범죄가 급증할 수 있다는 분석이다. 이동통신 3사는 사전에 경보 체계를 높이고, 정부와 합동으로 이용자 인식 제고와 기술적 차단 조치에 나서며 디지털 보안 리스크 완화에 힘을 싣는 모양새다. 개인정보 탈취와 금융 피해가 연결되는 최근 공격 패턴을 감안할 때, 이번 사건이 국내 모바일 보안 체계의 분기점이 될 수 있다는 관측도 나온다.

이동통신업계에 따르면 SK텔레콤과 KT, LG유플러스는 4일 경찰청 전기통신금융사기 통합대응단의 주의 요청에 따라 긴급 안내 문자를 자사 가입자에게 일제히 발송했다. 안내 메시지는 쿠팡 계정 정보 유출 사실을 전제로, 피해보상·환불·개인정보 보호·이벤트 참여 등을 빌미로 한 악성 링크 문자와 앱 설치 유도 전화를 주의하라는 내용을 담았다. 통신사들은 쿠팡 정보 유출을 악용한 스미싱과 보이스피싱 시도가 본격화될 수 있다고 보고 사전 경고 범위를 최대한 넓히는 대응에 나섰다.

이통3사가 경고한 핵심 수법은 유출된 개인정보를 활용한 맞춤형 스미싱이다. 예를 들어 신청하지 않은 신용카드 배송을 사칭해 “취소 접수”를 이유로 수신자의 전화를 유도한 뒤, 통화 과정에서 추가 개인정보를 확보하거나 악성 앱 설치를 유도하는 방식이다. 이 경우 공격자는 이름, 주소, 연락처 등 일부 정보를 이미 알고 있어 이용자가 실제 거래로 오인하기 쉽다. 통신사들은 개인정보를 모두 알고 전화를 걸어오더라도 피싱 범죄일 수 있다며, 발신 번호와 통화 내용, 링크 포함 여부 등을 종합적으로 의심해 볼 필요가 있다고 설명했다.

통신사들은 특히 모르는 번호로 걸려온 전화는 우선 보이스피싱을 의심해야 한다고 강조했다. 국가기관이나 공공기관을 사칭해 세금 체납, 지원금 환수, 전기통신요금 미납 등을 이유로 금전을 요구할 경우, 즉시 전화를 끊고 주변 지인에게 알리거나 112에 신고하는 것이 안전하다는 점도 재차 안내했다. 더불어 출처가 불명확한 문자나 인터넷 주소는 열어보지 말고 즉시 삭제하는 것이 1차 방어선이라고 덧붙였다.

단말기 차원의 방어 기능과 공적 신고 채널도 함께 소개됐다. 통신사들은 삼성 스마트폰에 탑재된 “피싱으로 신고하기” 기능을 활용하면 의심되는 전화를 곧바로 신고할 수 있다고 알렸다. 또 경찰청 전기통신금융사기 통합대응단 홈페이지를 통해 관련 제보를 접수하면 수사기관이 번호 차단과 계좌 추적 등에 속도를 낼 수 있다고 설명했다. 통신망 레벨의 스팸 차단 시스템과 이용자 측 신고 메커니즘을 결합해 피싱 시도 자체를 조기에 걸러내겠다는 전략이다.

통신업계는 이번 쿠팡 유출 정보가 스미싱과 보이스피싱 고도화의 “재료”가 될 수 있다는 점을 가장 우려하고 있다. 공격자가 실제 거래 정보나 배송 이력을 결합할 경우, 기존의 일괄 발송형 스팸 문자를 넘어 개인화된 타깃형 공격으로 진화할 수 있어서다. 최근 금융·통신 분야 해킹 사례에서도 악성 앱 설치 유도나 원격조종 앱을 활용해 계좌를 탈취하는 범죄가 반복돼, 개인정보 기반 사회공학 공격이 모바일 금융 보안의 가장 취약한 고리로 떠오르고 있다.

정부도 쿠팡 사고 규모가 알려진 이후 과학기술정보통신부를 중심으로 민관 합동 조사단을 가동해 유출 경위를 추적하고, 추가 피해 차단 조치를 병행하고 있다. 데이터 처리 과정과 보안 체계, 외부 공격 여부 등을 종합적으로 점검해 제도적 보완이 필요한 지점도 함께 검토한다는 방침이다. 개인정보보호·통신·금융 규제를 아우르는 합동 대응 체계를 가동해 유사 사고 재발 가능성을 낮추겠다는 구상이다.

방송통신위원회도 전날 쿠팡 유출 사고를 악용한 스미싱 피해 가능성을 별도로 경고했다. 방통위는 쿠팡 개인정보 유출과 민생회복 소비쿠폰 지급 등을 빌미로 한 미끼 문자가 확산될 수 있다고 보고 “주문하신 물건이 배송되었습니다”, “민생회복 소비쿠폰 과다지급 환수 안내”와 같은 문구가 포함된 출처 불명 메시지의 URL을 누르지 말아야 한다고 강조했다. 확인되지 않은 링크를 클릭할 경우 정부기관을 사칭한 가짜 사이트로 연결돼 악성 프로그램 설치, 개인정보·금융정보 탈취, 원격 제어 등으로 이어질 수 있다는 설명이다.

정부는 이용자 대응도 구체적으로 안내하고 있다. 카카오톡 “보호나라” 채널을 통해 수신 문자의 정상 여부를 확인하고, 불법스팸 간편신고 애플리케이션으로 의심 문자를 신고하는 절차가 대표적이다. 방통위는 신고된 스팸을 즉시 차단하고, 경찰청과 금융위원회 등 관계 기관과 정보를 공유해 피싱·스미싱 패턴 분석과 차단 정책에 반영한다는 계획이다. 사이버 범죄 정보 공유 체계를 고도화해 공격 시나리오가 반복되는 것을 막겠다는 취지다.

업계에서는 쿠팡 규모의 개인정보 유출 사고가 통신, 플랫폼, 금융을 아우르는 전방위 보안 재점검 계기가 될 것으로 보고 있다. 대형 온라인 플랫폼의 계정 정보는 곧바로 모바일 네트워크 기반 금융사기에 연결되는 만큼, 기업 보안 투자와 정부 규제 기준, 이용자 보안 교육이 함께 강화돼야 한다는 지적도 나온다. 통신업계와 정부는 기술적 차단과 인식 개선 캠페인을 병행하며 2차 피해 확산을 막겠다는 입장이고, 산업계는 이번 사태가 실제로 스미싱·보이스피싱 확산을 차단하는 전환점이 될 수 있을지 주시하고 있다.