[뉴스토마토 김현철 기자] 올해 대한민국은 온라인 보안 체계의 총체적 부실을 여실히 드러낸 한 해로 기록될 걸로 보입니다. 통신·금융·유통·사물인터넷(IoT) 등 각종 분야에서 굵직한 보안사고가 거푸 발생한데 이어 쿠팡에선 3370만명의 고객 정보가 유출됐기 때문입니다. 심지어 가정집 IP(Internet Protocol) 홈캠 12만대가 해킹당해 사생활 영상이 해외 불법사이트에서 거래된 일까지 벌어졌습니다. 사고가 터질 때마다 기업들은 재발방지를 약속하지만 말뿐이었습니다. 일상화된 개인정보의 유출 속에서 피해 수습은 고스란히 개인 몫으로 돌아가는 악순환이 반복됩니다.
쿠팡 홈페이지 첫 하면 좌측 상단에는 이번 개인정보 유출 사태에 대한 사과 문구가 표시되고 있다. (사진=쿠팡 홈페이지 캡처)
쿠팡 초대형 개인정보 유출…피해자는 자구책뿐
1일 <뉴스토마토> 취재를 종합하면, 국내 최대 전자상거래 업체 쿠팡에서 발생한 개인정보 유출은 고객 계정 3370만개에 달합니다. 이름, 이메일, 전화번호, 배송지 주소, 일부 주문내역 등이 빠져나갔습니다. 사실상 전국민이 '털린' 셈입니다. 개인정보는 올해 6월부터 해외 서버를 통해 유출이 진행된 것으로 추정됩니다.
문제는 여기서 그치지 않습니다. 개인정보 유출이 수개월간 쿠팡 내부에서 전혀 탐지하지 못한 겁니다. 더구나 경찰 수사 과정에선 중국 국적 전직 직원이 연루됐다는 의혹까지 제기됐습니다. 허술한 접근권한 관리와 내부 통제 부실이 도마에 올랐습니다.
쿠팡 측은 "결제정보는 유출되지 않았다"고 했습니다. 하지만 이미 오래전 탈퇴한 회원들도 정보가 유출됐다는 통보를 받았다고 합니다. 쿠팡은 탈퇴한 회원 정보도 제대로 처리하지 않고 있다가 피해를 더 키운 겁니다. 정부는 민관합동조사에 착수했고 경찰도 수사 중이지만, 이용자들은 사실상 대책이 없습니다. 카드를 교체하거나 비밀번호를 변경하는 등 자구책을 강구할 수밖에 없는 겁니다.
대기업의 부실한 개인정보 관리는 쿠팡 만의 문제가 아닙니다. 오히려 대규모 고객 정보를 보유한 기업일수록 해커들의 표적이 됐습니다.
올해 4월 SK텔레콤은 해킹으로 가입자 2324만명의 유심 정보가 유출됐습니다. 유출 규모는 9.82GB, 휴대전화번호와 가입자식별번호(IMSI), 유심 인증키 등 25종에 달했습니다. 개인정보보호위원회는 8월 SK텔레콤에 과징금 1347억원을 부과했습니다. 9월엔 롯데카드가 해킹을 당해 297만명의 정보가 새어나갔습니다. 이 중 28만명은 카드번호, 유효기간, CVC(Card Verification Code) 번호까지 유출됐습니다. 2014년 카드 3사 대란 이후 금융권 최대 해킹 피해입니다. 같은 달엔 KT에서도 불법 기지국을 통한 해킹 피해가 신고됐습니다.
"가족·지인한테 보낼까요?"…진화하는 피싱 공포
특히 우려되는 건 실생활 정보까지 고스란히 유출되는 사고까지 빈번해졌다는 겁니다. 구체적 개인정보 유출이 범죄 조직과 결합되면 보이스피싱이나 스미싱으로 악용되기도 합니다.
과거엔 "마사지샵 다녀왔나? 성매매하는 장면이 찍혔다. 입금하면 영상을 삭제하겠다"는 협박성에 그쳤지만 요즘엔 한층 정교해졌습니다. "마사지샵을 간 적이 없다"고 답하면, 피싱범은 가족과 지인의 실명을 거론하며 "○○씨에게 사진을 보내도 될까요?"라고 협박하는 방식으로 진화했습니다.
더 심각한 문제는 피싱범이 전화번호를 포함한 민감한 개인정보를 어디서 어떻게 취득했는지에 관해 경로를 추적하는 게 거의 불가능하다는 점입니다. 쿠팡에서 유출된 실명·주소·주문내역 등이 피싱범의 손에 넘어갈 경우엔 '표적 공격'이 가능해졌다는 우려가 나오는 것도 이런 맥락입니다. 유출된 정보가 많을수록 범죄자들의 시나리오는 정교해지고, 피해자가 속을 확률도 높아지기 때문입니다.
해킹된 IP(Internet Protocol) 카메라 불법 영상을 판매하고 있는 중국 소재 웹사이트. (사진=불법사이트 캡처)
홈캠 12만대 뚫려…내 침실·샤워실까지 해커 손에
개인정보뿐 아니라 사생활에서의 영상까지 표적이 됐습니다. 경찰청 국가수사본부는 지난 11월30일 가정용 IP 카메라 12만여대를 해킹하고, 영상을 해외 불법사이트에 판매한 4명을 검거했습니다. 이들은 조직도 아니고, 각각 단독 범행을 저질렀습니다. IP카메라는 554번(RTSP), 80번·8080번(웹 인터페이스) 등 특정 포트를 개방한 채 인터넷에 연결됩니다. 해커들은 열린 포트를 자동 탐색해 취약한 홈캠을 찾아낸 뒤, 카메라를 장악했습니다.
이런 수법을 통해 A씨는 6만3000대를 해킹해 545건의 성착취물을 제작했고, B씨도 7만대를 해킹해 648건의 영상을 만들어 팔았습니다. 불법영상 판매 수익은 각각 가상화폐 3500만원, 1800만원어치에 달했습니다. 샤워 장면, 부부 침실, 아기 돌보는 모습 등이 주로 거래됐습니다.
"'완벽 보안' 환상 버려야"…'제로 트러스트' 필요
전문가들은 개인정보 유출 사고를 줄이려면 '완벽한 보안'이라는 환상을 버려야 한다고 조언했습니다. 대안으로 떠오르는 것이 '제로 트러스트(Zero Trust)'입니다. '절대 신뢰하지 말고, 계속 검증하라'는 보안 철학입니다. 내부 직원이든 외부 접속이든 모든 접근을 의심하고 매번 검증하는 방식입니다.
과학기술정보통신부와 한국인터넷진흥원(KISA)은 지난해 12월 '제로트러스트 가이드라인 2.0'을 발표하며 국내 기업들의 도입을 독려하고 있습니다. 세계 기업의 63%가 이미 제로 트러스트 전략을 도입했거나 도입을 계획 중입니다.
김현철 기자 scoop_press@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 최병호 공동체부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지