국내 최대 e커머스 업체 쿠팡에서 사상 초유의 대규모 개인정보 유출 사고가 드러나면서 소비자 사이에 ‘2차 피해’ 우려가 급속히 번지고 있다. 올 한 해에만 유통업계를 겨냥한 해킹·정보유출 사고가 패션, 명품, 식품, 외식 업계를 가리지 않고 잇따라 발생해 불안감이 더욱 커지고 있다.
30일 업계에 따르면 쿠팡은 지난 19일 약 4500개 계정의 개인정보가 무단 노출된 사실을 처음 인지하고 경찰청·한국인터넷진흥원(KISA)·개인정보보호위원회에 즉시 신고했다. 이후 후속 조사에서 고객 계정 약 3370만 개가 외부로 무단 노출된 사실이 확인되면서 사태는 대형 사고로 번졌다.
노출된 정보는 이름, 이메일 주소, 배송지 주소록(입력한 이름·전화번호·주소), 일부 주문 정보 등이다. 쿠팡은 “결제 정보, 신용카드 번호, 로그인 정보 등은 포함되지 않았다”고 설명했다. 현재까지 조사된 내용에 따르면 무단 접근은 해외 서버를 통해 올해 6월 24일부터 지속적으로 이뤄진 것으로 추정된다.
쿠팡은 무단 접근 경로를 차단하고 내부 모니터링을 강화하면서 사법기관 및 규제 당국과 조사를 이어가고 있다.
이번 사태는 유통업계를 강타한 연쇄 개인정보 유출 흐름의 연장선에 있다. 지난 1~2월 GS리테일에서도 개인정보 유출이 발생해 GS25 홈페이지 고객 9만여 명의 정보가 유출된 것으로 확인됐다. GS리테일은 사고 수습을 위해 최고경영진이 참여하는 정보보호 대책위원회를 꾸려 대응에 나섰다.
명품 플랫폼 머스트잇에서는 지난 5~6월 특정 API(응용프로그램 인터페이스)에서 대량의 비정상 접근 시도가 포착됐다. 문제의 API는 별도 인증 없이도 개인정보 일부를 조회할 수 있는 구조였으며, 유출 가능성이 있는 정보는 회원번호, 아이디, 가입일, 이름, 생년월일, 성별, 휴대전화번호, 이메일, 주소 등이었다. 다만 탈퇴 회원 정보는 포함되지 않았다.
명품·패션 브랜드인 디올, 루이비통, 티파니코리아, 까르띠에, 아디다스 등 역시 5~7월 사이 잇따라 정보유출 사고를 겪었고 한국파파존스·써브웨이 등 외식 업계에서도 올해 비슷한 사고가 반복됐다. 소비자 정보가 여러 업종에 걸쳐 동시다발적으로 새어나가면서 피해 우려는 더욱 커지고 있다.
전문가들은 이번 유출 정보가 보이스피싱이나 스미싱(문자 메시지로 개인정보 탈취) 범죄에 악용될 수 있다며 각별한 주의를 당부했다. 한국인터넷진흥원은 출처가 불분명한 문자 내 사이트 주소는 클릭하지 말고 즉시 삭제할 것, 의심되는 사이트는 정상 사이트 주소와 비교해 확인할 것, 휴대전화번호·아이디·비밀번호 등 개인정보는 신뢰할 수 있는 사이트에만 입력할 것 등을 강조했다. 또한 모바일 결제로 연계될 수 있는 인증번호는 반드시 재차 확인해야 한다고 조언했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
hihilinn@sedaily.com
