[아는기자]쿠팡 고객에 협박 메일?…범죄 악용 가능성은

[앵커]
아는기자 사회부 사건팀 백승우 기자와 이어갑니다.

Q1. 내 개인정보 어떤게 유출됐는지 궁금했는데, 실제로 유출된 정보가 담긴 메일, 채널A가 확보했죠. 어떤 정보가 담겨있나요?

네, 협박 메일을 받고 쿠팡에 처음 알린 시민을 찾았는데요. 

메일 내용을 직접 보시겠습니다.

"당신의 쿠팡닷컴 개인 정보가 잠재적 노출 위험에 처해있다"고 시작해서는, 그 아래로는 고객의 이름과 배송지 주소, 전화번호 같은 개인 정보가 빼곡히 담겨 있습니다.

오래 전에 잠깐 사용한 주소도 유출 정보에 포함 돼 신고자는 두려웠다고 말했습니다.

[박찬희 / 쿠팡 개인정보 유출 제보자]
"5년 넘게 안 썼던 주소도 있더라고요. 개인 정보로 저를 유추할 수 있다는 사실이 좀 되게 무서웠어요. 되게 무서웠고."

Q1-1. 특히 어떤 정보에 민감해 하시던가요?

네, 문제는 배송지 주소와 함께 적어놓은 공용현관 출입 정보였습니다. 

협박 메일을 보면 각각 다른 배송지 주소 뒤에 공용현관 출입 가능 여부가 적혀 있습니다. 

첫 신고자의 배송지 정보엔 공용현관 대부분이 출입이 자유롭게 가능하다고 적어놨는데요.

이용자 1명의 개인 정보만 털어도 각각 최대 5군데 배송지의 공용현관 출입 가능 여부도 유출될 수 있는 겁니다.

쿠팡 배송기사를 위해 공용현관 비밀번호를 적어둔 이용자도 많다보니, 마음만 먹으면 공용현관을 지나 내 집 현관문 바로 앞까지 올 수 있는 정보까지 털린 셈입니다.

Q1-2. 그런데 구매한 상품 내역도 엄청 자세히 유출됐더라고요?

네 신고자에게 물어보니 메일에 적힌 구매 내역은 총 4번에 걸쳐 산 물품 15개라고 했습니다. 

과자는 물론 강아지 사료, 우유나, 식재료 등이 무게는 물론 몇개를 샀는지까지 메일에 빼곡히 담겼습니다.

당초 최근 구매내역 5건 정도가 유출된 걸로 전해졌는데, 이게 구입 물품 개수 기준이 아니라 구매 건수 기준일 가능성이 높아 보이는 대목입니다.

Q3. 유출된 이런 개인정보들, 범죄에 활용될 가능성은 없습니까?

일단 내가 무얼 샀는지를 속속들이 알 수 있다는 점을 이용할 수 있겠죠. 

당장 스미싱이나 보이스 피싱에 쓰일 수 있다는 지적이 나오는데요.

쿠팡에 특정 물건을 산 사람 전화로 그 물건이 '배송 지연'됐다, 배송 정보 궁금하면 링크 누르라는 식으로 스미싱 문자를 보내 접속을 유도할 수 있고요.

보다 직접적으로 사적인 내밀한 물건 등을 주문한 사실을 거론하며, 이런 사실을 지인이나 가족에 알리겠다며 금전 등을 요구하는 데 쓰일 수도 있습니다.

Q4. 온라인 범죄에만 쓰일 수 있는게 아니죠?

네, 앞서 설명드렸듯이 공용현관 출입 가능 여부나 비밀번호를 활용하는 경우입니다.

마음만 먹으면 정보가 유출된 피해자의 현관문 바로 앞까지 찾아가는 것도 얼마든지 가능한데요.

심각한 건 이런 피해가 나 하나로 그치지 않는다는 점입니다. 

앞서 메일에서 보셨듯이 내가 쿠팡으로 물건을 보낸 기록이 있는 가족, 지인 집의 입장 정보까지 뚫린 게 현실입니다.

Q5. 쿠팡 고객이 받은 협박 메일도, 정보를 유출한 중국인 전 직원이 보낸 건가요?

경찰은 단정하기 이르다는 입장입니다. 

이용자들이 받은 메일을 보낸 IP 주소와 쿠팡 측에 보낸 협박 메일 IP 주소가 달라선데요. 

전 중국인 직원이 다른 IP 주소로 보냈을 수도 있지만, 유출된 개인 정보가 누군가에게 이미 전달됐을 가능성, 배제할 수 없습니다.

다만 경찰은 고객들에게 메일을 보낸 발신자가 스스로를 내부고발자를 뜻하는 '휘슬 블로어'라고 칭하거나, 쿠팡에도 "보안 강화하라"며 훈수를 둔 걸로 봐서는 동일인 소행일 가능성도 있다고 보고 있습니다.

지금까지 사회부 백승우 기자였습니다.


백승우 기자 strip@ichannela.com