00:00쿠팡에서 3,300만 개가 넘는 역대 최악의 개인정보 유출 사고가 발생하면서 소비자들 불안이 커지고 있습니다.
00:08다섯 달 전부터 정보가 털렸지만 쿠팡은 이런 사실을 전혀 모르다가 협박 메일을 받고 나서야 유출 사실을 알아챈 것으로 확인됐습니다.
00:17허준영, 서강대 경제학부 교수와 함께 이야기 나눠보겠습니다.
00:19어서 오십시오.
00:20어서 오세요.
00:21개인정보 유출이 3,370만 건입니다.
00:24주로 어떤 정보가 유출이 된 거죠?
00:26그러니까 지금 파악된 건 고객의 이름이랑 이메일이랑 전화번호, 주소 그리고 일부 주문정보인데
00:32이 주문정보라고 하는 게 뭐냐면 어떤 상품을 자주 주문했었고 이런 것들이 들어가 있습니다.
00:38그런데 전화번호라고 해도 왜 같은 집안에 사는 부부여도 서로 다른 전화번호로 같은 주문을 하게 되잖아요.
00:45주소는 같은데 전화번호가 다르다.
00:47그러면 가족 구성원이 나올 수 있게 되고요.
00:49이 집은 기저귀를 많이 사는 거 보니까 아이를 키우고 있구나 이런 정보도 셀 수가 있고요.
00:54여러 가지로 개인정보가 사실은 생각보다 많은 부분이 셌다고 볼 수 있고요.
00:59지금 쿠팡 측의 주장은 신용카드 정보나 결제 정보는 세지 않았다고 하는데
01:03이거 경찰에서는 조사해봐야 안다라고 해서 조사 중입니다.
01:07개인정보가 유출된 시민들은 어쨌든 이 반대한 불량에 대해서 불안을 떨을 수밖에 없을 것 같습니다.
01:13목소리 듣고 오시죠.
01:14요즘 하도 이 정보가 많이 노출되어 있는 세상인데
01:20이게 어떻게 또 나에게 불리하게 되는 게 아닌가
01:24불안감이 있었죠.
01:25쿠팡을 사칭한 이게 나올 수 있잖아요.
01:28URL 같은 거 클릭한다든가 이렇게 되면 더 문제가 될 수 있으니까
01:32그런 걸 더 조심해야 되지 않을까
01:33제일 걱정되는 게 주소하고 저는 단독에 살기 때문에
01:39현관문 이런 거 번호까지 다 들어가 있는데
01:44그런 부분도 염려되고
01:46우리는 쿠팡 믿고 이때까지 이렇게 했는데
01:48그럼 이제 그 믿음이 완전히 다 깨지는 거 아니에요.
01:52그럼 뭘 믿고 다시 이렇게 거래를 또 할 수 있겠어요.
01:56정보를 해킹을 해서 그걸 어떻게 악용을 할지
01:59그걸 알 수가 없다는 것 자체가 불안감을 키우는 것 같아요.
02:05왜 해킹을 했는지
02:06그리고 그게 국외로 이미 유출이 된 것 같다고
02:11많이들 말씀을 하시니까
02:12그런 부분이 가장 불안감이 커지는 것 같아요.
02:19시민들이 우려 섞인 목소리들을 좀 들어봤는데
02:22쿠팡이라는 플랫폼이 어쨌든 굉장히 많은 다수가 이용을 하고 있고
02:26자세한 내용들이 포함되어 있잖아요.
02:27아까 언급한 것처럼 주매 구매 내역 같은 경우에는
02:30라이프스타일을 좀 엿볼 수도 있고
02:31공동현관 비밀번호도 좀 적혀있다 보니까
02:34좀 위험하지 않을까 싶어요.
02:36여러 가지 측면에서 위험할 수 있을 것 같아요.
02:38제일 처음에는 공동현관 비밀번호 같은 경우는
02:40이게 물리적인 위협으로 갈 수 있다.
02:43스토킹이나 아니면 자택 침입 같은 걸로도 갈 수 있다라는 거
02:46저희가 공동현관 열고 집에까지 딱 들어가기 전에
02:48누가 있으면 어떡하지라는 무서움 같은 것도 될 수 있을 것 같고요.
02:52그다음에 이제 구매 내역 같은 것을 잘 보면
02:54사실은 비싼 물품을 좀 구매를 자주 한다.
02:57그러면 소득 수준 같은 것도 사실은 좀 역산을 해볼 수가 있잖아요.
03:00그러면 이 사람들을 타겟으로 좀 범행을 해야겠다는 생각도 할 수 있을 것 같고요.
03:05한편으로는 저희 스미싱이나 피싱 같은 것들도 충분히 가능할 것 같습니다.
03:09그런데 문제는 이 스미싱이나 피싱을 굉장히 맞춤형으로 할 수 있다.
03:12왜냐하면 우리가 불특정 다수를 대상으로 하는 게 아니고
03:15상대방에 대한 정보를 알고 있는 상황에서
03:18예를 들어서 쿠팡에서 뭘 자주 구매했던 사람이면
03:21그런 물건에 대해서 쿠팡에 대해서 이번에 완전히 환불해드리거나
03:26아니면 보상해드립니다.
03:27이런 맞춤형 스미싱이나 피싱을 하면
03:29사실은 속을 수 있을 확률이 훨씬 높아지잖아요.
03:34그렇게 보면 사실 이 정보 유출이라고 하는 것이
03:36그렇게 간단한 문제는 아닌 것 같습니다.
03:39생활 패턴 유출을 통한 맞춤형 피싱 생각만 해도 좀 걱정이 되는데요.
03:43쿠팡이 처음 신고할 때는 유출 고객 정보가 4,500개라고 했는데
03:479일 만에 7,500배가 늘었습니다.
03:50왜 이렇게 차이가 큰 거죠?
03:51아무래도 조금 사건을 약간 과소평가하거나
03:56조금 그렇게 리포트를 하려고 했던 게 아닐까.
03:5820일 날 쿠팡에서 자체 조사 첫 번째로 나왔을 때
04:014,500건에 유출이라고 했는데
04:04유출이라는 표현도 안 하고 사실 쿠팡에서는 노출이라는 표현을 썼습니다.
04:08어떤 차이가 있는 거예요? 유출과 노출?
04:09그러니까 저희가 예를 들어 저희 개인정보가 어떤 창고 안에 있다고 하면
04:12창고 안에 서랍 안에 있다고 하면
04:14유출은 그 서랍에서 빼서 창고 밖으로 빼내서
04:17누가 갖고 간 게 유출이고요.
04:19노출은 그 창고 안에는 있는데
04:21서랍 밖으로 눈과 쓱 끊어내놔서
04:23밖에서 이렇게 보면 볼 수 있게 하는 게 노출이잖아요.
04:26마치 불가항력적인 느낌을 주는 거군요.
04:27그렇습니다.
04:28그래서 조금 사건을 과소평가하려고 하는
04:30그런 단어의 사용인 것 같기도 합니다.
04:33그렇게 봤을 때는 이런 측면이 좀 있고요.
04:36그래서 이것이 9일 후에
04:3820일 날 1차 조사 4,500건에서
04:409일 후에는 이게 3,300만 건이 넘는
04:44말씀하신 대로 7,500배가 부풀려진 거죠.
04:47최근에 통신사나 카드사의 어떤
04:50개인정보 유출 사건이 자꾸 전해졌는데
04:52SKT가 굉장히 컸잖아요.
04:54그 규모가 이번에 어느 정도인가요?
04:56그러니까 SKT 같은 경우는 휴대전화 번호랑
04:59가입자 식별 번호 같은 유심 정보가 유출된 게
05:02한 2,300만 명 정도 됩니다.
05:04사실은 휴대전화 안에 저희의 거의 모든 정보가 있다고 하면
05:08사실 휴대전화 정보만 이렇게 노출된 것만 해도 큰데요.
05:10이번에는 인원수로 보면 그때 2,300만 명에 비해서 훨씬 크고
05:153,300만 명이 넘고요.
05:17또 하나는 조금 사건의 성격이 저는 다르다고 생각하는 게요.
05:21아까 제가 창고 비유를 드렸는데
05:22SK 같은 경우는 해킹에 의한 겁니다.
05:25해킹이라는 건 뭐냐면
05:27그 창고의 문을 누군가가 억지로 뜯고 들어와서
05:29뭔가 정보를 빼내간 게 해킹이라고 한다면
05:31이번에는 전직 여기서 근무하던 사람이
05:36퇴사 후에도 그 사람의 비밀번호나
05:39그 사람의 출입증이 여전히 작동하는 거예요.
05:41그래서 YTN으로 비유를 들면
05:43저 YTN의 기계들 많은 저 방 안에
05:46그냥 들어갈 수 있는 거예요. 퇴사한 사람이.
05:48좀 말이 안 되잖아요.
05:49그런 식으로 사실 유출된 거라서
05:50어떻게 보면 해킹보다도 지금 당국에서는
05:53조금 더 심각한 사안 아닌가라고 보고 있습니다.
05:56아니 그렇게 고객 정보 접근하려면
05:58인증 절차가 복잡해야 될 텐데 그렇지 않았다는 건가요?
06:01그러니까 퇴사하고 나서도 이 사람이
06:02이 고객들의 정보에 인증할 수 있었던 이유가
06:05결국은 퇴사하고 나서도 예를 들어서
06:07그 사람의 출입증을 무효화하지 않았다거나
06:10아니면 그 사람의 출입증을 무효화하더라도
06:13그 사람이 위조 출입증을 만들어서
06:14도장을 쉽게 찍을 수 있는 도장이 노출돼 있었다거나
06:17이런 걸로 정보를 접근을 할 수 있었던 것 같습니다.
06:21사실 쿠팡이 작년만 해도
06:23한 900억 원 가까이 되는 돈을
06:25보안에다가 쓴 기업이긴 한데요.
06:28주로 어디다가 많이 썼냐 하면
06:29해킹 들어온 걸 막는 거
06:31외부로부터의 공격을 막는 데
06:33디도스 차단 이런 데 굉장히 많이 돈을 썼고
06:35오히려 지금 문제는 내부에서 터진 거잖아요.
06:38내부 감시 같은 것들이 약했다라는 측면에서는
06:40조금 다른 양상
06:41어떻게 보면 약간 더 심각한 양상의
06:43정보 유출이 아닌가라는 생각도 좀 듭니다.
06:45내부 관리 시스템에 대한 문제가 있어 보이는데
06:48지금 5달 동안 쿠팡이 개인정보가 유출됐는지 몰랐다가
06:53어떤 협박 메일, 유출 정보를 공개하겠다
06:56이런 메일을 바꿔서 인지를 하게 된 거죠.
06:58두 가지 포인트가 굉장히 흥미롭다고 표현드리기는 죄송스럽지만
07:02첫 번째 포인트는 뭐냐면
07:04이 사람이 협박 메일을 보낼 때 얘기한 내용입니다.
07:07보통 해커들이나 이런 사람들이 협박 메일을 보낼 때는
07:10금전을 요구한다고 하면
07:11아니면 해커들의 또 다른 특징이 과시욕이 있기 때문에
07:13내가 이 어려운 회사의 정보망을 뚫었다
07:16이런 걸 과시하는 게 있는데
07:17이 사람은 메일을 보내서 대뜸
07:19너네들 정보 보완을 좀 더 강화하지 않으면
07:21내가 이 정보를 갖고 있는 사실을
07:23유출된 사실을 다 공개하겠다.
07:25좀 아무래도 석연치 않은 부분이 하나 있는 것 같고요.
07:29또 하나 같은 경우는
07:30이 사람이 어떻게 보면 5개월 동안 이걸 하는데
07:33보통 정보 보완이 좀 높은 기업들에서는
07:35어떤 일이 벌어지냐면
07:35아무리 개인 정보를 다루는 회사 내 사람이라고 하더라도
07:39하루에 일정량 이상의 정보를 다운로드를 하면
07:42외부에서 알림 시스템이 들어가고
07:44그리고 그것들에 대해서 경고가 들어가거든요.
07:47그런데 사실은 이 사람은 해외 서버를 통해서 접속을 해서
07:50다량의 데이터를 5개월 동안 3,300만 건이 넘는 데이터를 가져갔는데도
07:55그 하루로 계산하면 굉장히 많잖아요.
07:57그런데도 여기에 대해서 아무런 제재가 없었다라는 것은
08:00사실 어떻게 보면 정보 보완 같은 측면에서도
08:02굉장히 허울뿐인 정보 보완이 있지 않았나라는 부분
08:05어떻게 보면 우리나라 국민의
08:06아까 앵커께서 얘기해 주신 대로
08:08거의 대부분이 쓰는 이런 플랫폼인데도
08:11거기서 이런 일이 벌어졌다는 게 굉장히
08:13말씀하신 것처럼 성인 4명 가운데 3명이
08:15지금 쿠팡을 사용한다 이런 통계도 있는데
08:17지금 집단소송 카페에 8만 명 이상이 가입하는 등
08:21소송 움직임도 본격화하고 있는데
08:23과거 사례와 비교했을 때 어떻습니까?
08:25과거에도 이런 소송을 했는데
08:27사실 소송 자체가 굉장히 깁니다.
08:29그리고 이 집단소송이라는 것은
08:30서로 피해를 증명하는 것도 굉장히 힘들고 하기 때문에
08:34좀 소송 자체는 길어질 가능성이 있습니다.
08:37이래서 그전에도 사실 정부에서도
08:39좀 역할을 해줘야 되는 것이 아니냐
08:41먼저 정부에서 구제를 해주고
08:43거기에 대해서 회사에 대해서
08:45구상권을 청구해야 되는 거 아니냐라는 얘기들이 있었고요.
08:48이번에도 아마 정부가 조금 적극적으로 나서고 있는 것 같습니다.
08:51과기정통부에서도 그렇고요.
08:53그렇게 봤을 때는 아까 말씀드린 것처럼
08:55이전보다 피해 규모가 좀 더 크고
08:57그리고 사실 자기의 정보가 지금
08:59어느 사이버 공간에서 돌아다니고 있을지 모른다는
09:01불안감이라는 건 너무 사실 크잖아요.
09:04이런 것들에 대해서 정부의 적극적인 역할도
09:05아마 들어가야 될 것으로 보입니다.
09:07지금 과징금이 수천억이 부과될 수도 있다.
09:09많게는 1조 원까지도 나올 수 있다.
09:11이런 관측이 나오고 있는데
09:12일단 지금 보시고 계신 시청자분들께서는 좀 우려되는 점이 계속 있으니까
09:162차 피해를 막기 위해서 지금 무엇을 해야 할까요?
09:18우선은 쿠팡을 사칭하는 메일들
09:20쿠팡을 사칭하는 문자
09:22이런 것들에 대해서는 그냥 지워버리시고
09:24절대로 클릭하시거나 안 하시는 게 좋을 것 같고요.
09:26쿠팡이 아니더라도 당분간은
09:28모르는 사람에게서
09:29모르는 발신에게서 온 문자 같은 것들을
09:31절대 클릭하시면
09:32이거 랜섬웨어 가명 같은 것을 통해서
09:35본인의 금융정보가 또 뚫릴 수가 있거든요.
09:37그리고 금융정보가 일단 뚫리면
09:39인터넷 같은 데 검색을 해보시면
09:41여기에 대한 대응범들이 다 나와 있습니다.
09:43그래서 기존에 사용하셨던 금융인증서 다 지우시고
09:46그리고 또 여러 가지 액션을 취하셔야 되거든요.
09:50당분간은 정말 보안 등급을
09:52조금 아주 높게 가져가시는 게 필요할 것 같습니다.
09:54공식 문자라는 점도 의심해 봐야 될 것 같습니다.
09:57지금까지 허준영 서강대 경제학부 교수와 함께했습니다.
10:00고맙습니다.
10:00고맙습니다.
10:01고맙습니다.
댓글