쿠팡 개인정보 유출 노린 피싱 급증…KISA, 문자보상 링크 주의 촉구

쿠팡 개인정보 유출 사고를 빌미로 정부기관을 사칭한 피싱과 스미싱이 급증하면서 2차 피해 우려가 커지고 있다. 개인정보 유출에 대한 국민 불안이 커진 틈을 타, 피해 보상 신청을 미끼로 한 악성 문자와 보이스피싱이 조직적으로 퍼지는 양상이다. 한국인터넷진흥원 KISA는 쿠팡 유출 사고를 언급하며 링크 접속과 텔레그램 연락을 유도하는 문자, 검찰과 경찰을 사칭해 계좌동결을 운운하는 전화 등이 확인됐다며 이용자 주의를 당부했다. 업계에서는 디지털 민생범죄 패턴이 개인정보 유출 사고와 즉각 결합하는 최근 흐름이 보안 체계뿐 아니라 대국민 경보 시스템의 정교함을 요구하는 분기점이 될 수 있다고 본다.

KISA는 10일 쿠팡 개인정보 유출 사고를 악용한 악성 문자 유포와 보이스피싱 사례를 잇따라 포착했다고 밝혔다. 이용자 단말기에 도착한 문자에는 쿠팡 사고 내용을 구체적으로 언급하면서 발신자 역시 고객 개인정보가 유출된 사업자인 것처럼 가장하는 문구가 포함됐다. 금융감독원과 소비자보호원 지침을 거론해 마치 정부 차원의 보상 절차가 진행되는 것처럼 신뢰를 조성한 뒤, 문자에 삽입된 인터넷 주소 클릭을 유도하는 방식이다. 일부 링크는 언론사의 쿠팡 개인정보 유출 관련 기사 화면을 먼저 노출해 이용자의 의심을 낮추고, 이후 피싱사이트나 악성 앱 설치 페이지로 연결되는 구조로 설계돼 있다.

공격자는 문자 내에서 실제 유출된 것처럼 보이는 정보의 항목을 나열해 신뢰를 높인다. 이름과 연락처, 계좌정보, 주소 등 민감정보 항목을 구체적으로 적고, 피해보상액을 원 단위까지 산출해 제시해 피해자의 집중을 끌어낸다. 일정 기한을 정해 두고 그 안에 보상 신청을 하지 않으면 권리가 소멸된다고 압박하는 사례도 확인됐다. 개인정보보호법을 언급하면서 텔레그램 비밀 대화를 통해서만 피해보상 신청이 가능하다고 안내하는 경우가 대표적이다. KISA는 이러한 유도 과정이 악성 앱 설치나 계정정보 탈취로 이어질 것으로 보고 있다.

보이스피싱 유형은 한층 더 치밀하다. 쿠팡이 실제 발송했던 개인정보 유출 안내 문자를 받은 이용자를 표적으로 삼아, 해당 문자 수신 여부를 재확인하는 전화를 거는 방식이다. 이 과정에서 공격자는 스스로를 검찰이나 경찰 수사관으로 소개한다. 이어 유출된 개인정보가 제3자에 의해 도용돼 범죄에 활용되고 있다며 수사 협조를 요구하는 시나리오가 뒤따른다. 상대방이 불안감을 드러내면 곧바로 계좌추적과 동결, 체포나 구금 가능성을 언급하며 공포심을 키우는 수법이다.

KISA는 이런 통화에서 공격자가 결국 안전한 장소로 이동해 도피 활동 기간 동안 사용할 생활비를 안전계좌에 입금하라고 지시하는 패턴으로 이어질 가능성이 크다고 분석했다. 이른바 안전계좌는 수사기관이 지정한 계좌처럼 포장되지만 실제로는 범죄 조직이 통제하는 계좌에 불과하다. 피해자는 수사협조와 계좌 보호를 위한 임시 조치라고 믿고 송금을 했다가 돌이킬 수 없는 금전 피해를 입을 위험에 놓인다. 개인정보 유출 우려와 형사처벌 공포를 동시에 겨냥한 복합형 사회공학 공격에 가깝다는 평가가 나온다.

KISA는 현재 운영 중인 개인정보 유출 피해 보상 제도와도 관련 오해를 차단하고 나섰다. 쿠팡 개인정보 유출 사고를 비롯해 현행 개인정보 유출 피해 보상 안내는 특정 개인에게 문자나 메신저를 통해 개별 통보하는 방식으로 진행되지 않는다는 점을 명확히 했다. 정부기관 역시 텔레그램과 같은 메신저를 통해 개인정보 유출 관련 민원 접수나 보상 청구를 받지 않는다. 이와 다른 방식으로 접근하는 연락은 모두 악성 가능성을 전제로 검토해야 한다는 설명이다.

특히 문자 내용에 개인정보 유출 피해 보상, 텔레그램으로 신청 또는 접수와 같은 문구가 포함돼 있다면 스미싱을 의심해야 한다. 스미싱은 문자결제 시스템이나 악성 링크를 활용해 개인정보를 탈취하거나 소액결제를 유도하는 사기 수법을 뜻한다. KISA는 이 같은 문자를 수신했을 경우 링크를 누르지 말고 즉시 신고·삭제하는 것이 최선의 대응이라고 강조했다. 악성 앱 설치가 이미 이뤄졌을 수 있다고 판단되면 모바일 백신 검사와 금융사 고객센터 문의를 병행하는 것이 필요하다.

수사기관 사칭 연락에 대한 대응 요령도 재차 안내했다. 쿠팡 개인정보 유출을 이유로 검찰이나 경찰이라는 발신자가 연락을 취할 경우, 먼저 연락자의 소속 부서와 직위, 이름을 상세히 확인해야 한다. 이후 직접 수사기관 대표번호로 다시 전화를 걸어 해당 인물이 실제 재직 중인지, 관련 수사 진행 여부가 맞는지 별도로 검증해야 한다는 것이다. 수사기관은 전화로 계좌 비밀번호나 일회용 인증번호 입력을 요구하지 않으며, 안전계좌 이체나 현금 인출을 종용하지 않는다는 기본 원칙도 상기할 필요가 있다.

정부와 공공기관 차원의 모니터링도 강화되고 있다. KISA와 과학기술정보통신부는 지난달 29일 이커머스 해킹 피해를 악용한 스미싱과 피싱 주의를 당부하는 보안 공지문을 게시했다. 최근 대형 온라인 플랫폼을 겨냥한 해킹 시도가 빈번해지는 가운데, 공격자가 해킹 소식이 알려지는 즉시 관련 키워드를 활용한 스미싱을 대량 살포하는 패턴이 관찰되고 있기 때문이다. 두 기관은 쿠팡 사례와 유사한 이커머스 해킹 악용 문자를 상시 탐지하고 이동통신사, 금융사와 공조해 신속 차단을 추진 중이다.

KISA는 앞으로도 보이스피싱, 스팸과 스미싱 등 디지털 민생범죄 전반에 대한 모니터링을 지속적으로 강화하겠다고 밝혔다. 통신사와 금융권, 수사기관과의 공조 체계를 고도화해 악성 번호와 도메인, 계좌에 대한 차단 속도를 높이고, 이용자 신고 채널도 손쉽게 접근할 수 있도록 개선할 계획이다. 개인정보 유출 사고 자체를 막는 기술적 보안 투자와 더불어, 유출 정보를 활용한 2차 사기 탐지와 예방 시스템이 병행될 때 피해 확산을 줄일 수 있다는 분석이 나온다. 산업계는 쿠팡 사태를 계기로 개인정보 유출과 디지털 사기의 연결 고리를 얼마나 신속하게 끊어낼 수 있을지에 주목하고 있다.