쿠팡도 대규모 정보보호 유출 피해 … 해킹사태 반복가입자 주소 등 민감정보 포함, 2차 피해 우려 증폭정보보안 실태 낙제점 … ISMS 인증 한계 드러내
  • ▲ ⓒ뉴데일리
    ▲ ⓒ뉴데일리
    쿠팡이 3370만건에 달하는 대규모 개인정보 유출 사고가 발생하면서 국내 기업들의 정보보안 실태에도 경고등이 켜졌다. 탈취된 개인정보를 활용한 2차 피해 우려도 증폭되고 있다. 올해 들어 SKT를 비롯해 KT, LG유플러스, 롯데카드, 넷마블, 업비트 이어 쿠팡까지 업종 불문하고 다양한 기업들이 정보보안에 헛점이 생긴 것.

    1일 업계에 따르면 쿠팡은 지난달 29일 오후 고객 계정 약 3370만개가 무단으로 노출됐다는 내용을 고객에게 공지했다. 쿠팡에 따르면 유출된 정보는 이름과 이메일, 전화번호와 주소 등으로 카드번호를 포함한 결제 정보는 포함되지 않았다고 해명했다.

    올해 통신사와 카드사, 게임사와 가상자산 거래소 등 잇따른 개인정보 유출 사고 중에서도 가장 큰 규모다. 탈취당한 고객 수는 유심 해킹 사태를 겪은 가입자 2300만명의 SK텔레콤보다 크다. 빠져나간 정보도 이름과 전화번호를 비롯해 주문내역 등 민감정보 대다수가 포함됐기 때문이다.

    문제는 개인정보 유출 피해를 겪은 해당 기업들이 대부분 피해 규모와 시점 등에 대해 제대로 인지하지 못했다는 데 있다. 쿠팡은 18일 사고를 인지한 후 최초 신고 당시 약 4500명의 개인정보가 유출됐다고 보고했다. 29일 재공지에는 3370만건의 정보유출이 발생한 것으로 재차 신고했다.

    피해 규모 파악부터 혼란을 겪으면서 이후 조사 과정에서 추가 피해 발생도 우려된다. 쿠팡은 공지를 통해 지난 6월 24일부터 해외 서버에서 가입자 개인정보에 접근하는 시도가 있었다고 언급했다. 수개월에 걸쳐 정보 유출이 이뤄졌을 가능성도 있다는 점에서 피해 규모가 불어날 수 있다.

    유출된 개인정보를 활용한 2차 피해에 대한 경각심도 높아지고 있다. 쿠팡에서 탈취한 생활 밀착형 개인정보를 조합하면 진위 여부를 구분하기 어려운 다양한 형태의 피싱 범죄가 가능하기 때문이다. 당국에서는 피해보상·환불 등의 문자 메시지를 통한 피싱 사이트로의 접속 유도 행위나 정보 유출 대상자 통보를 사칭한 스마트폰·PC 원격 제어 프로그램 설치 유도 행위 등을 주의하라고 당부했다.

    쿠팡 정보유출 사례는 인증키 관리 부실 문제가 원인으로 거론되면서, 해킹 외 보안이슈에도 경각심이 커지는 양상이다. 국회 과학기술정보방송통신위원회 소속 최민희 의원실에 따르면 인증 관련 담당자에게 발급되는 접근권한 유효 인증키가 장기간 방치된 것이 정보유출 원인으로 지목됐다. 담당 직원이 퇴사한 이후에도 유효한 접근권한을 내부 직원이 악용하고 빼돌린 것이라는 해석이다.

    한편, 쿠팡이 보안에 투자하는 금액과 비중은 주요 IT 기업 전체로 봤을 때도 적지 않다는 점에서 정보보호 제도의 문제점도 거론되고 있다. 정부가 관리하는 정보보호·개인정보 보호 관리체계 인증제도인 ‘ISMS-P’를 취득한 쿠팡은 4건의 정보 유출사고를 겪었다. 올해 해킹을 겪은 통신사와 롯데카드도 ISMS-P 인증을 획득한 기업들이다.

    업계에서는 기업들의 보안에 대한 인식이 비용에서 투자로 바뀌어야 한다고 목소리를 높이고 있다. ISMS도 보안을 지키기 위한 최저선일 뿐 해킹과 개인정보 보호 유출에 대비하기 위한 투자로는 부족하다는 것.

    박춘식 아주대 사이버보안학과 교수는 “기업들이 최소한의 규제만 맞추려고 하는 보안에 대한 인식으로는 해킹과 개인정보 유출 사고가 반복해서 일어날 수 밖에 없다”며 “조사 결과가 나오기 전까지는 다른 민감정보도 유출됐다는 전제하에 공동현관 번호를 바꾸고 문자메시지 내 링크를 누르지 않는 등 신중한 대처가 필요하다”고 말했다.