“쿠팡 정보 유출 후폭풍”…SNS 비번도 바꿔야 2차 피해 막는다

쿠팡에서 최대 3370만명 분량의 개인정보가 유출된 사실이 확인되면서 전자상거래를 넘어 전 생활영역으로 피해가 확산될 수 있다는 경고가 나온다. 이름과 전화번호, 주소, 이메일 등 신상정보가 대량 노출되면 공격자는 다른 인터넷 서비스 계정까지 연쇄적으로 노릴 수 있다. 보안 당국과 전문가들은 “로그인 정보 유출 여부가 완전히 규명되기 전까지를 최고 위험 구간으로 봐야 한다”며 비밀번호 변경과 2차 인증 설정, 스미싱·보이스피싱 대응 등 구체적 행동 수칙을 요구하고 있다. 업계에선 이번 사고가 국내 온라인 쇼핑 플랫폼 보안 체계 전반을 재점검하는 계기가 될 가능성도 제기된다.

쿠팡은 내부 조사 결과 로그인 계정 정보와 신용카드 번호, 결제정보 등은 유출 목록에 포함되지 않았다고 설명하고 있다. 그러나 민관합동조사단의 정밀 조사가 진행되는 동안에는 로그인 정보까지 노출됐을 가능성도 완전히 배제할 수 없는 상황이다. 특히 대다수 이용자가 여러 사이트에서 같은 아이디와 비밀번호 조합을 사용하는 관행을 고려할 때, 실제 피해는 개별 쇼핑몰을 넘어 포털과 SNS, 각종 커뮤니티까지 확산될 수 있다고 보안 업계는 진단한다.

전문가들이 가장 먼저 꼽는 대응책은 ‘비밀번호 재사용 차단’이다. 쿠팡에 등록한 아이디와 동일하거나, 비밀번호를 그대로 쓰는 모든 인터넷 서비스의 비밀번호를 즉시 변경해야 한다는 조언이다. 대상에는 네이버와 카카오 같은 포털 계정은 물론 페이스북, 인스타그램 등 SNS, 학교나 직장 인트라넷, 중고거래 플랫폼과 각종 멤버십 서비스까지 포함된다. 하나의 계정 정보가 유출되면, 이를 자동으로 여러 사이트에 넣어보며 로그인에 성공하는지 시험하는 크리덴셜 스터핑 공격에 그대로 노출되기 때문이다.

크리덴셜 스터핑은 유출된 아이디와 비밀번호 목록을 자동화 도구로 다른 웹사이트 로그인 창에 대입해 보는 방식이다. 기술적으로 복잡하지 않지만, 사용자가 비밀번호를 반복 사용하는 습관 탓에 공격 성공률이 높다. 실제로 해외에선 대형 쇼핑몰 정보 유출 이후 SNS와 이메일, 클라우드 저장소, 게임 계정이 연쇄 탈취되는 사례가 반복돼 왔다. 탈취된 SNS 계정은 스팸 홍보, 투자 사기, 지인 사칭 보이스피싱에 활용되며, 기업 메일 계정이 뚫릴 경우 내부 문서와 고객 정보까지 추가 유출될 위험이 생긴다.

이를 막기 위해선 비밀번호를 주기적으로 변경하고, 서로 다른 2~3개 이상의 규칙을 만들어 사이트마다 다르게 설정하는 것이 기본 수칙으로 꼽힌다. 여기에 더해 기기 인증과 문자 메시지(SMS) 인증, 지문·얼굴 인식 등 2단계 인증을 반드시 활성화해야 한다는 것이 전문가들의 공통된 조언이다. 패스워드가 유출되더라도 2차 인증 절차가 추가로 작동하면 계정 탈취를 상당 부분 차단할 수 있기 때문이다. 비밀번호 관리가 어렵다면, 신뢰할 수 있는 비밀번호 관리 프로그램을 활용하는 방법도 대안으로 제시된다.

이번 사고로 특히 우려되는 부분은 배송지 주소와 구매 이력 등 ‘행동 데이터’가 공격자의 손에 들어갔을 가능성이다. 단순 연락처 목록이 아니라 실제 구매 품목과 시점, 수령 주소, 수령인 정보까지 결합될 경우 스미싱과 보이스피싱은 훨씬 정교해진다. 그동안 무작위로 뿌리던 공격에서 벗어나, 특정인의 최근 구매 행태에 맞춘 타깃형 공격이 늘어날 수 있다는 전망이다.

예를 들어 공격자는 “상품이 오배송됐다”, “배송 주소가 불일치한다”, “반품 주소를 다시 입력해 달라”는 내용의 문자 메시지에 실제 이용자의 이름과 주소 일부를 넣어 신뢰도를 높일 수 있다. 최근 주문 내역을 알고 있다는 인상을 주면, 수신자가 의심 없이 첨부된 인터넷 링크를 누를 개연성이 커진다. 링크에는 악성 앱 설치나 피싱 사이트 접속을 유도하는 코드가 포함될 수 있고, 이 과정에서 금융정보와 추가 개인정보가 탈취된다.

정부 기관이나 쿠팡, 관련 보상 담당 기업을 사칭한 피싱도 예상된다. “개인정보 유출 피해 보상 안내”, “피해 사실 조회”, “법원 등기 우편 반송 확인” 등 긴박해 보이는 문구로 링크 접속이나 앱 설치를 요구하는 메시지가 대표적이다. 전문가들은 “구체적인 상품명과 주소 등 실제 정보가 문자에 포함돼 있어도, 발신자 번호와 링크 주소, 앱 설치 요구 여부를 먼저 검증해야 한다”고 조언한다.

2차 피해를 줄이기 위해선 의심스러운 링크를 아예 클릭하지 않는 습관이 중요하다. 출처가 확인되지 않은 문자에 첨부된 인터넷 주소나 파일, 앱 설치 요청은 바로 삭제하거나 신고하는 편이 안전하다. 전화번호, 아이디, 비밀번호, 주민등록번호 등 민감 정보는 반드시 브라우저 주소창에 직접 입력한 공식 사이트에서만 입력해야 하며, 일회용 인증번호는 모바일 결제나 계좌 이체로 곧바로 이어질 수 있는 만큼 재차 확인이 필요하다.

국내에선 스미싱·피싱 여부를 판별할 수 있는 공적 지원 채널도 운영 중이다. 예를 들어 카카오톡에서 ‘보호나라’ 채널을 통해 스미싱·피싱 확인 서비스를 이용하거나, 보이스피싱통합신고대응센터가 제공하는 ‘스미싱 문자메세지 차단 신고하기’ 기능을 활용하면 의심 문자를 분석·차단할 수 있다. 이동통신사 고객센터나 스마트폰 기본 스팸 차단 기능을 활용해 번호를 신고·차단하는 방법도 병행할 수 있다.

이미 악성 앱에 감염됐다고 의심되거나, 피싱 사이트에 개인정보를 입력한 뒤 모바일 결제나 계좌 이체 등 금전적 피해가 발생한 경우에는 신속한 대응이 필요하다. 우선 통신사 고객센터를 통해 최근 결제 내역을 확인하고, 소액결제확인서를 발급받아 관할 경찰서 사이버수사대에 피해 사실을 신고해야 한다. 스마트폰에 악성 앱이 설치된 상태에서 금융서비스를 이용했다면 기존 공인인증서를 폐기하고, 금융기관을 통해 새 인증서를 재발급받는 조치가 요구된다.

보안 전문가는 “이번 쿠팡 개인정보 유출은 단일 쇼핑몰 사고를 넘어, 국민 다수의 디지털 생활 계정 전반을 노린 공격의 출발점이 될 수 있다”며 “당장 계정 비밀번호 재점검과 2단계 인증 활성화, 스미싱 문자 차단 등 사용자의 기본 보안 수칙 준수가 2차 피해 규모를 좌우할 것”이라고 말했다. 산업계는 이번 사건을 계기로 전자상거래 플랫폼의 보안 투자를 강화하고, 정부 차원에서도 대규모 유출 사고 이후 2차 범죄 차단을 위한 컨트롤타워 역할을 강화할 수 있을지 주목하고 있다.