주소지·공동현관 비번 노출…전문가들, 장기범죄 악용 가능성 경고
쿠팡 퇴직자 관리 부실·망 분리 실패 지적도
"공동현관 비밀번호 변경 등 2차 피해 예방에 각별히 주의해야"
◆"당장의 피해보다 장기 범죄 설계 악용이 더 우려"
과학기술정보통신부는 지난 10일 '쿠팡 침해사고 민관합동조사단' 조사 결과 발표를 통해 쿠팡 전 직원에 의한 정보 유출 건수가 3300만건을 넘어섰다고 밝혔다. 조사 결과, 쿠팡의 '내 정보 수정' 페이지에서 이용자 성명과 이메일 등 3367만여건의 정보가 유출됐다.
'배송지 목록' 페이지에서는 성명, 전화번호, 배송지 주소 등의 개인정보가 1억4800만여차례에 걸쳐 무단 조회된 것으로 드러났다. 공동현관 비밀번호 정보까지 포함된 '배송지 목록 수정 페이지'도 5만여회 조회된 것으로 파악됐다. 개인정보 유출 규모는 개인정보보호위원회가 추가 조사 후 확정할 예정이다.
염흥열 순천향대 정보보호학과 교수는 "개인정보보호법상 개인정보가 처리자의 통제권을 벗어나 통제 불능 상태에 빠진 것을 유출로 판단한다"며 "데이터가 퇴사자의 컴퓨터로 넘어간 시점에서 이미 유출 사고가 발생한 것으로 간주해야 한다"고 말했다.
전문가들은 유출된 정보가 다크웹 등 음성적인 경로로 흘러 들어갈 경우, 범죄자들이 이를 바탕으로 치밀한 범죄를 설계할 수 있다는 점을 가장 큰 문제로 꼽았다.
권헌영 고려대 정보보호대학원 교수는 "정보가 외부로 유출돼 이른바 '어둠의 경로'를 통해 범죄자들에게 넘어가면 심각한 위험성이 발생한다"며 "당장 즉각적인 피해로 이어지기보다 다양한 범죄 기획에 활용되며 장기간 악용될 가능성이 크다"고 분석했다.
염 교수도 "공동현관 비밀번호가 비식별 처리돼 있더라도 주소와 전화번호가 함께 노출된 것은 프라이버시 측면에서 매우 치명적"이라며 "유출 정보를 이용한 피싱이나 보이스피싱 등 2차 피해 발생 가능성을 배제할 수 없다"고 지적했다.
◆"공동현관 비밀번호부터 즉시 변경해야"
유출 정보에 공동현관 비밀번호 등이 포함된 만큼 이용자들의 즉각적인 대응이 필요하다는 조언도 나왔다. 권 교수는 "가장 먼저 공동현관 비밀번호부터 바꾸는 등 스스로 안전을 지키기 위한 조치를 서둘러야 한다"며 "정보 유출 사실을 인지한 순간부터는 기존 보안 설정을 신뢰하지 말고 모든 보안 수칙을 다시 점검해야 한다"고 말했다.
전문가들은 이번 사태의 근본 원인을 기업의 기초적인 보안 관리 체계 부실에서 찾았다. 염 교수는 퇴사 이후에도 중요 데이터 접근 권한이 유지된 '퇴직자 관리 부실'과 개발망·운영망 분리 실패, 특정 개발자에게 과도한 권한이 부여된 점 등을 사고 원인으로 지목하며 "정보보호 관리의 기본이 무너진 사례"라고 비판했다.
김용대 카이스트 전기전자공학부 교수는 "이미 데이터 접근 권한이 있었던 인물이 퇴직 후에도 접속했다는 사실 자체가 문제의 본질이지, 몇 건을 조회했느냐가 핵심은 아니다"며 "이번 사태는 기술적으로 매우 고도화된 침해 사고라기보다 전형적인 내부자 관리 실패의 문제"라고 지적했다.
◆"쿠팡만의 문제 아냐…기업들 내부 관리 점검 계기로"
피의자가 특정된 만큼 과도한 공포는 경계해야 한다는 신중론도 제기됐다. 김 교수는 "유출 사실 자체는 분명하지만 이를 곧바로 대규모 2차 범죄로 연결 짓는 추측은 성급하다"며 "현재 가해자가 특정돼 있고 수사기관이 신원을 파악한 상황에서 추가 범죄로 이어질 가능성은 상대적으로 낮다"고 분석했다.
이어 "현재 국내 기업 가운데 내부자에 의한 데이터 유출을 완벽히 차단할 수 있는 곳이 얼마나 되겠느냐"며 "이번 사건을 특정 기업의 문제로만 볼 것이 아니라 우리 사회 전반의 정보보호 수준과 내부 관리 체계를 점검하는 계기로 삼아야 한다"고 강조했다.
염 교수도 "이번 일을 계기로 전면적인 정보보호 관리체계 재검토에 나설 필요가 있다"고 제언했다. 권 교수 역시 "정부와 쿠팡은 단순히 사건을 수습하는 데 그치지 말고 2차 피해 발생 여부를 끝까지 추적하고 감시해야 한다"고 강조했다.
◎공감언론 뉴시스 snow@newsis.com