CloudPNG

ºC

logo
IT/바이오

“Unknown 로그인 확산”…쿠팡, 계열 통합계정 보안 논란 커진다

장서준 기자
입력

대규모 개인정보 유출 사고 후 쿠팡 앱에서 ‘Unknown’으로 표시된 미확인 기기 로그인 기록이 보인다는 이용자 제보가 소셜미디어를 통해 잇따르고 있다. 쿠팡은 계열 서비스 간 공통 계정 체계에서 발생하는 정상 로그 기록이라는 입장이지만, 이용자들은 실제 침해 여부를 스스로 구분하기 어렵다며 불안감을 드러내고 있다. 업계에서는 대형 이커머스 플랫폼의 통합 인증 설계와 보안 투명성이 향후 규제와 시장 신뢰를 가르는 분기점이 될 수 있다고 본다.

 

지난달 30일 X에서 한 이용자가 쿠팡 앱의 로그인 기록을 캡처해 공유하며 “쿠팡 로그인 기록 한번씩 확인해보라”고 올린 게시물이 빠르게 확산됐다. 이 이용자는 앱 내 ‘보안 및 로그인’ 메뉴에서 최근 접속 기기와 시간대가 표시된다며, 알 수 없는 기록이 있으면 즉시 로그아웃할 것을 권고했다. 12월 1일 오후 기준 이 게시물 조회수는 25만 회를 넘었고, 댓글과 인용 게시를 통해 유사한 ‘Unknown’ 로그 화면이 연달아 공유되고 있다.

공개된 화면에는 ‘Unknown’ 혹은 기기 정보가 명확히 식별되지 않는 항목이 연속으로 노출된 경우가 다수 포착됐다. 일부 이용자는 쿠팡으로부터 “Unknown으로 표시된 로그는 쿠팡이츠, 쿠팡플레이 등 다른 쿠팡 계열 서비스 이용 과정에서 남는 정상 기록이며, 안드로이드 2.32.0-b6242는 쿠팡플레이 앱 버전”이라는 답변을 받았다고 전했다. 통합 계정 기반의 멀티 디바이스 로그인 구조에서 앱·OS 버전이나 접속 경로에 따라 내부적으로 부여된 기기 식별 값이 그대로 노출되면서, 이용자 입장에서는 외부 침입과 구분이 어렵게 보이는 셈이다.

 

통합 계정 체계는 쿠팡과 같은 플랫폼에서 필수 인프라에 가깝다. 하나의 아이디와 비밀번호로 쇼핑, 배달, 동영상 등 여러 서비스를 넘나들기 위해서는 공용 인증 토큰과 세션 관리 시스템이 사용된다. 이 과정에서 API 단위 접속, 백그라운드 갱신 요청, 앱 버전별 모듈 차이 등 다양한 접속 패턴이 전부 로그인 이력에 쌓일 수 있다. 특히 계열 서비스별로 내장된 SDK와 웹뷰 등 복합 구조가 뒤섞일 경우, 기기명이 일반 이용자가 이해하기 어려운 형태로 표기되기도 한다.

 

문제는 이런 기술적 내부 로직이 이용자에게 거의 설명되지 않았고, 최근 대규모 유출 사고와 맞물리면서 불신을 증폭시키고 있다는 점이다. 실제로 X에는 “유출 안내 문자는 안 왔는데 Unknown 접속이 여럿 보인다”, “본인이 쓰지 않는 시간대에 기록이 있다”는 증언이 연달아 올라오고 있다. 평소에는 통상적인 계정 공유나 기기 교체 과정에서 나올 수 있는 상황이지만, 보안 사고 직후에는 잠재적 계정 탈취 징후로 해석되기 쉽다.

 

계정·인증 체계 관점에서 보면, 이번 논란은 단순한 UI 표기 문제를 넘어 대규모 플랫폼의 보안 투명성 한계를 드러낸 사례에 가깝다. 글로벌 빅테크는 동일 계정으로 수십 개 서비스를 묶는 대신, 디바이스 명칭, IP 대역, 접속 국가, 접속 앱 버전 등 세부 정보를 이용자에게 상세히 노출하고 비정상 패턴을 실시간으로 경고하는 방향으로 진화해 왔다. 반면 국내 다수 서비스는 계정 보호를 위한 기술적 조치는 도입하면서도, 로그·알림 설계에서 이용자 이해를 전제로 한 정보 제공에는 상대적으로 소극적이었다는 지적이 나온다.

 

정책 환경도 플랫폼 계정 보호를 강화하는 방향으로 압박 수위를 높이고 있다. 쿠팡은 현재 대규모 개인정보 유출 사고와 관련해 국회와 감독기관의 집중 점검 대상이 됐다. 2일에는 박대준 쿠팡 대표이사가 국회 과학기술정보방송통신위원회 긴급 현안 질의에 출석해 사고 경위와 사후 대응, 시스템 보안 수준 등에 대한 질의를 받을 예정이다. 정무위원회 역시 같은 날 오후 박 대표와 개인정보보호위원회 위원장을 불러 개인정보 보호 조치와 후속 대책을 따로 점검할 계획이다. 산업통상자원중소벤처기업위원회도 유통·플랫폼 산업 전반의 정보보호·사이버 리스크 관리 수준을 살피는 현안 질의를 검토 중으로 알려졌다.

 

전문가들은 이번 사태가 단순한 단일 기업 사고를 넘어, 대형 온라인 플랫폼의 통합 계정 구조와 보안 설계 전반에 대한 제도적 재점검으로 이어질 수 있다고 보고 있다. 통합 로그인 편의성과 개인정보 최소 수집, 다중 인증, 로그인 이력 투명성, 계정 탈취 탐지 자동화 등이 어떻게 균형을 이룰지 논의가 불가피하다는 평가다. 산업계는 이번 쿠팡 유출 사태와 ‘Unknown 로그인’ 논란이 실제 시장에서 어떤 제도 변화와 이용자 행동 변화를 만들어낼지 촉각을 곤두세우고 있다.

장서준 기자
share-band
밴드
URL복사
#쿠팡#쿠팡플레이#개인정보보호위원회