CloudPNG

ºC

logo
IT/바이오

“3000만 계정 노출된 쿠팡 사고”…정부, 민관조사단 가동해 디지털 보안경쟁 시험대

윤선우 기자
입력

쿠팡에서 발생한 개인정보 유출 규모가 초기 알려진 수준을 훌쩍 넘어선 것으로 드러나면서 국내 디지털 경제 전반의 보안 체계가 시험대에 올랐다. 특히 수천만 단위 이용자를 보유한 대형 이커머스 플랫폼에서 고객 식별 정보가 대량으로 새어나간 정황이 확인되며, 전자상거래와 핀테크 등 연계 산업으로의 파장이 커질 수 있다는 관측이 나온다. 정부는 이번 사태를 대규모 디지털 인프라 보안 역량의 분기점으로 보고, 민관 공조를 통한 조사와 제도 개선에 나선다는 입장이다.

 

과학기술정보통신부와 개인정보보호위원회는 29일 쿠팡 해킹 침해 사고 조사와 관련한 대응 방향을 발표하고, 30일부터 민관합동조사단을 구성해 본격적인 진상 규명에 착수하기로 했다. 쿠팡 측이 지난 19일 신고한 1차 내용에서는 4536개 계정의 고객 이름, 이메일, 주소 등이 유출된 것으로 파악됐으나, 추가 조사 과정에서 3000만 개 이상 계정에서 개인정보가 유출된 정황이 확인되며 사안의 중대성이 급격히 커졌다.

민관합동조사단은 대규모 계정 침해 경위와 해킹 기법, 내부 보안통제 수준, 암호화와 접근통제 등 기술적 보호조치 이행 여부를 집중 점검할 것으로 예상된다. 특히 로그인 인증 체계, 다중인증 적용 여부, 비밀번호 관리 방식, 외부 API와 내부망 분리 구조 등 전자상거래 플랫폼 보안 설계의 핵심 요소가 조사 대상에 포함될 수 있다. 정부는 조사 결과를 토대로 유사 사고 재발을 막기 위한 기술적·관리적 가이드라인 강화와 제도 보완을 추진하겠다는 방침이다.

 

개인정보보호위원회는 쿠팡으로부터 20일 1차, 29일 2차 유출 신고를 접수한 상태다. 개인정보보호법상 대규모 유출 사고 발생 시 사업자는 지체 없이 신고하고, 원인과 피해 규모, 재발 방지 조치를 보고해야 한다. 개인정보위는 쿠팡의 안전조치 의무 준수 여부를 신속히 조사해 법 위반이 확인될 경우 과징금과 시정명령 등 엄정한 제재에 나설 수 있음을 시사했다. 업계에서는 이번 조사가 향후 대형 플랫폼 전반의 보안 투자 수준과 책임 범위를 재정의하는 계기가 될 수 있다고 본다.

 

정부는 기술적 원인 규명과 별도로, 유출된 정보를 악용한 2차 피해 차단을 우선 과제로 두겠다고 밝혔다. 과기정통부와 개인정보위는 보호나라 홈페이지를 통해 대국민 보안 공지를 발령하고, 쿠팡 해킹 이슈를 악용한 스미싱과 보이스피싱 등 추가 피해 유형에 대한 경고를 강화했다. 특히 피해 보상, 피해 사실 조회, 환불, 쿠폰 제공 등 문구를 내세운 가짜 문자 메시지와 메신저 링크를 통해 악성앱 설치나 계좌 탈취가 시도될 수 있다는 점을 강조했다.

 

보호나라 카카오톡 채널에서 제공하는 스미싱·피싱 확인 서비스를 활용하면 의심 문자 신고와 함께 악성 여부를 자동 판별할 수 있다. 정부는 출처가 불분명한 사이트 주소가 포함된 문자를 수신했을 때 링크를 클릭하지 말고 즉시 삭제할 것을 권고했다. 또한 전화번호, 아이디, 비밀번호 등 민감한 개인정보는 신뢰할 수 있는 공식 사이트에만 입력하고, 문자로 수신한 인증번호는 모바일 결제나 계정 도용과 직접 연결될 수 있어 입력 전 한 번 더 확인해야 한다고 당부했다.

 

정부와 금융당국은 공공기관과 금융기관은 전화나 문자 등을 통해 원격제어앱 설치를 요구하지 않는다는 점도 재차 상기시켰다. 공식 앱스토어에 등록된 앱이라 하더라도 피싱 문자를 통해 유도되는 경우 악성 버전일 수 있는 만큼, 반드시 기관 공식 채널이나 스토어 내 직접 검색을 통해 설치해야 한다는 설명이다. 만약 악성 앱을 설치한 것으로 의심되면 모바일 백신으로 해당 앱을 삭제하고, 이후에도 이상 징후가 계속되면 단말 초기화와 통신사, 금융기관 신고를 고려할 필요가 있다.

 

유출된 계정으로 금융 서비스나 간편결제 등을 이용한 경우에는 공인인증서, 보안카드, 일회용 비밀번호 등 금융거래 필수 정보가 노출됐을 가능성에 대비해야 한다. 정부는 의심 정황이 있을 시 관련 인증수단을 폐기하고 재발급을 받는 것이 안전하다고 안내했다. 동시에 쿠팡 계정과 동일하거나 유사한 아이디·비밀번호를 사용하는 다른 온라인 서비스도 즉시 비밀번호를 변경하고, 가능하다면 일회용 비밀번호와 생체인증 등 다중인증을 활성화하라고 권고했다.

 

IT 업계에서는 이번 사고가 대형 플랫폼의 개인정보 보호 체계에 대한 시장과 규제당국의 기대치를 한층 끌어올리는 계기가 될 것으로 보고 있다. 수천만 이용자를 보유한 서비스에서 단 한 차례의 침해 사고만으로도 금융, 통신, 커머스, 온·오프라인 멤버십 등으로 피해 영역이 한 번에 확산될 수 있기 때문이다. 특히 클라우드 인프라와 마이크로서비스 아키텍처를 활용하는 최신 전자상거래 시스템 환경에서는 공격자 입장에서 표적이 되는 지점도 다양해지는 만큼, 보안 설계의 기본 수준 자체를 재정비해야 한다는 지적이 나온다.

 

국내외에서는 이미 대형 플랫폼을 겨냥한 계정 탈취 시도가 일상화된 상황이다. 글로벌 시장에서는 이메일과 패스워드 조합을 무차별적으로 입력하는 크리덴셜 스터핑 공격과 피싱을 결합한 계정 탈취 범죄가 지속 발생하고 있다. 이번 쿠팡 사고에서도 외부에서 유출된 다른 서비스의 계정 정보가 악용됐는지, 내부 시스템 취약점이나 관리자 계정 탈취 등 구조적 허점이 있었는지에 대한 정밀 분석이 핵심 쟁점이 될 수 있다.

 

개인정보보호 체계 강화를 위한 법제도 정비 논의도 속도를 낼 전망이다. 개인정보위는 기존에도 대규모 유출 시 지체 없는 통지와 신고를 의무화하고, 안전조치 기준을 세분화해 왔다. 그러나 실제로는 기업 간 보안 투자 여력과 인력 수준 격차가 크고, 클라우드와 외부 위탁 구조가 복잡해지면서 책임 소재를 명확히 하기가 어렵다는 지적이 꾸준히 제기돼 왔다. 이번 사고가 대형 전자상거래 사업자를 포함해 금융과 ICT 전반의 안전조치 기준과 책임 범위를 재조정하는 계기가 될 여지도 있다.

 

전문가들은 특정 기업의 보안 실패를 넘어, 대규모 디지털 서비스 산업 전반의 구조적 리스크를 점검해야 할 시점으로 보고 있다. 개인정보와 거래 데이터가 플랫폼에 집중된 구조에서는 단일 실패 지점이 곧 사회적 리스크로 전이되기 때문이다. 한 보안 업계 관계자는 대규모 개인정보를 보유한 서비스는 기술적 보호조치뿐 아니라, 사고 발생 시 신속한 통지와 투명한 정보 제공, 피해 회복 절차를 포함한 전 주기 대응 체계를 갖추는지가 신뢰의 핵심 기준이 될 것이라고 말했다.

 

정부와 업계는 민관합동조사단 활동을 통해 사고 원인과 보안 허점을 규명하는 한편, 전자상거래와 디지털 금융 등 주요 인프라 전반의 보안 수준을 끌어올릴 수 있는 제도 개선 방안을 모색할 예정이다. 동시에 이용자 스스로도 계정 관리와 의심 문자의 자가 점검을 강화해야만 대규모 침해 사고의 파급력을 줄일 수 있는 상황이다. 산업계는 이번 사태를 계기로 대형 플랫폼의 보안과 책임 체계가 어떻게 재정립될지 주시하고 있다.

윤선우 기자
share-band
밴드
URL복사
#쿠팡#과학기술정보통신부#개인정보보호위원회