이커머스 1위 쿠팡에서 대규모 정보 유출이 발생하면서 시장이 혼란에 빠졌다. 보안 당국은 이를 악용한 스미싱·보이스피싱 등 2차 피해에 주의할 것을 당부했다.
1일 IT업계에 따르면 한국인터넷진흥원(KISA)은 보안 공지를 통해 피해보상, 피해 사실 조회, 환불 등 키워드를 활용한 피해기업 사칭 스미싱 유포 및 피해보상 안내를 빙자한 보이스피싱 등 피싱 시도가 예상된다고 경고했다.
구체적으로 악성 인터넷주소(URL) 클릭을 유도하는 쿠팡 관련 긴급 앱 업데이트, 피해보상 신청, 환불 등 안내 문자 등을 보내는 유형이 대표적이다. 또 피해 사실 조회 등 키워드를 포털 사이트에 검색했을 때 피싱 사이트를 검색 결과 상단에 노출되도록 하는 방식도 가능하다. 정보 유출 사실 통보나 보상∙환불 절차 안내 등을 빙자해 전화로 원격제어 앱 설치를 요구하거나 특정 사이트 접속을 유도하는 수법도 우려된다.
이같은 스미싱·피싱 의심 문자는 카카오톡 채널 보호나라의 스미싱·피싱 확인서비스에서 신고 또는 악성 여부 확인이 가능하다. KISA는 발신자가 불분명한 메시지의 주소는 클릭하지 말고 즉시 삭제할 것과 의심되는 사이트는 정식 주소와 일치하는지 확인할 것을 당부했다. 또 휴대전화 번호·아이디·비밀번호 등 개인정보는 신뢰할 수 있는 사이트에만 입력해야 하며 인증번호는 모바일 결제로 연계될 수 있어 각별한 주의가 필요하다. KISA는 정부 기관 및 금융회사는 전화나 문자 등을 통해 원격제어 앱 설치를 요구하지 않는다는 점을 강조했다.
만약 악성 앱이나 피싱 사이트로 인해 정보가 유출된 경우 이동통신사에 무료 서비스인 번호 도용 문자 차단을 신청하고, 모바일 결제 피해가 확인되면 통신사 고객센터에서 소액결제 확인서를 발급받아 경찰에 신고해야 한다.
문자에 포함된 URL을 통해 설치된 앱은 즉시 삭제하거나 서비스센터 점검을 받아야 한다. 악성 앱 감염 상태에서 금융서비스를 이용했다면 공인인증서·보안카드 등 금융정보가 유출됐을 수 있어 폐기 후 재발급이 필요하다.
아울러 악성 앱이 주소록을 통해 지인에게 스미싱 메시지를 전송하는 등 2차 피해가 발생할 수 있어 주변에 피해 사실을 알리고 주의를 요청해야 한다.
쿠팡은 이번 사고로 가입자의 이름, 이메일, 전화번호, 주소, 일부 주문 정보만 유출됐으며 신용카드 번호나 비밀번호 등 직접적인 금융 정보는 포함되지 않았다고 해명했다. 1일 현재까지 이로 인해 발생한 2차 피해도 없다고 전했다.
하지만 우리나라 전체 인구가 약 5100만명임을 고려하면 사실상 경제 활동을 영위하는 국민 대다수의 정보가 잠재적 위협에 노출된 상황인 데다 개인의 실생활을 낱낱이 파악할 수 있는 고품질 정보가 유출됐다는 점에서 문제가 심각하다.
실명과 전화번호, 집 주소에 무엇을 구매했는지에 대한 정보가 결합하면 범죄의 목표는 소름 돋을 정도로 정교해진다. 예를 들어 최근 유모차를 구매한 소비자에게 택배사를 사칭해 배송주소 확인 문자를 보내거나 특정 고가 가전제품의 구매 이력을 미끼로 사후서비스(AS) 센터를 가장한 보이스피싱을 시도하는 식이다.
불안감이 확산하자 소비자들은 은행 앱에서 비대면 계좌 개설 안심차단을 신청하고 패스(PASS) 앱으로 명의 도용 방지 서비스를 설정하는 등 자체 방어에 나섰다. 두 방법은 SK텔레콤 유심 정보 유출 때도 대안으로 거론된 방법들이다. 특히 쿠팡으로 직구를 했던 이력이 있다면 개인통관고유부호를 변경하는 것이 안전하다는 정보도 공유되고 있다.
한 보안업계 관계자는 “이미 다크웹 등에서는 한국인의 개인정보가 기본 DB로 취급돼 패키지 형태로 거래되는 실정”이라며 “이제는 ‘내 정보가 유출됐을까’를 우려할 단계는 지났으며 이미 유출된 내 정보를 범죄자들이 어떻게 조합해 공격해올지를 방어해야 하는 단계”라고 지적했다.
이화연 기자 hylee@segye.com
