[서울이코노미뉴스 박희만 기자] 쿠팡에서 발생한 대규모 개인정보 유출사태로 이름· 주소·전화번호는 물론 일부 구매정보까지 외부로 흘러나간 사실이 확인되면서, 해당정보가 실제 범죄에 악용될 수 있다는 우려가 확산하고 있다.
유출규모만 놓고 보면 사실상 대부분의 쿠팡 이용자가 포함될 가능성이 높아 그 파장은 상당하다.
정부가 즉각 스미싱·보이스피싱 경보를 발령하고, 다크웹 모니터링 강화기간을 설정한 것도 같은 이유에서다.
보안업계는 이번 유출 정보 구성이 사기범들에게 ‘거의 완성된 재료’나 다름없다고 경고한다.
비밀번호나 카드 정보처럼 즉각적인 재산 피해로 이어지는 요소는 아니지만, 실생활과 밀접한 개인정보가 조합될 경우 피해자가 현혹되기 쉽다는 것이다.
사칭 전화, 환불 안내, 배송 문제를 빙자한 문자 등이 대표적 사례로 꼽힌다. 정부 또한 “2차 피해 가능성이 크다”며 각별한 주의를 당부했다.
특히 주소·전화번호와 함께 최근 구매이력이 포함된 점은 우려를 키운다.
이는 단순 연락을 넘어 “최근 주문하신 상품 배송이 지연됐다”는 식의 구체적 접근이 가능해, 실제 고객센터 직원인지 사기범인지 구별하기 어려운 환경을 만들 수 있다.
해외에서도 유사피해는 반복돼 왔다.
미국에서는 아마존 계정정보 일부가 유출된 이후 배송 지연을 사칭한 스미싱이 수개월간 이어졌다. 유럽에서도 DHL을 사칭한 ‘배송 오류’ 피싱이 광범위하게 확산된 바 있다. 배송 관련정보는 국제적으로도 악용 빈도가 높다.
전문가들은 이번 쿠팡 유출정보가 배송 사칭을 넘어 다양한 범죄에 활용될 가능성이 크다고 지적한다.
가족 사칭 카카오톡 메시지, 금융 앱을 위장한 환불 사기, 택배·우체국 안내를 가장한 피싱 문자 등이 대표적이다.
주소·전화번호·구매이력을 모두 보유한 범죄자는 “고객님이 주문하신 상품관련 확인이 필요하다”는 식으로 자연스러운 접근이 가능해진다.
아직 실제 악용정황이 확인된 것은 아니지만, 경찰과 보안업계는 악용 가능성이 매우 높다고 보고 있다.
과거 대규모 개인정보 유출 사례에서도 범죄조직은 확보한 정보를 1~2년 이상 반복적으로 사용해 왔다.
이번 사건 역시 규모와 내용 면에서 지속적인 주의가 필요하다는 분석이 나온다.
정부는 쿠팡으로부터 신고를 받은 뒤 조사 과정에서 “인증 취약점을 악용해 로그인없이 개인정보가 열람된 것으로 확인됐다”고 발표했다.
쿠팡이 초기 유출규모를 ‘수천 건’으로 파악했다가 ‘수천만 건’으로 수정하면서 대응이 미흡했다는 지적도 제기됐다.
현재 과학기술정보통신부, 개인정보보호위원회, 경찰청, 국정원이 참여한 민·관 합동조사단이 조사 중이며, 개인정보위는 접근통제 및 암호화 등 안전조치 준수 여부를 집중 살피고 있다.
경찰은 내부자 개입 가능성에도 무게를 두고 수사를 확대하고 있다.
정부는 이와 별도로 다크웹내 유출정보 유통 여부를 3개월간 집중 모니터링하기로 했다.
한편, 이번 유출정보가 인공지능(AI) 기술과 결합해 범죄의 정교화를 초래할 수 있다는 우려도 나온다.
AI가 피해자 정보를 기반으로 맞춤형 사기 시나리오를 생성하거나, 딥페이크 음성으로 가족·상담원을 고도로 정교하게 사칭하는 ‘초개인화 피싱’의 성공률을 높일 수 있다는 지적이다.
전문가들은 개인차원의 방어가 무엇보다 중요하다고 조언한다. 모르는 번호로 온 환불·배송 오류안내는 우선 의심하고, 링크 클릭·앱 설치·결제정보 입력을 삼가야 한다.
카카오톡 가족사칭 금전 요구도 반드시 실제 가족에게 전화해 확인해야 한다.
쿠팡 공식 공지나 앱내 메시지를 제외한 외부연락은 반드시 고객센터를 통해 재확인하는 절차가 필요하다는 것이 전문가들의 공통된 견해다.