매년 개인정보 유출 3백건…피싱범죄 '먹잇감' 된 '내 정보'

쿠팡 대규모 고객 정보 무단 유출, 이용자들 "범죄 악용·무단 결제 불안
개인정보보호위원회·한국인터넷진흥원(KISA) 보고서
2024년 접수된 유출 신고 307건…전년도에도 318건
올해 GS리테일, SK텔레콤, YES24, 롯데카드 등 매달 사고
전문가 "딥페이크 악용한 보이스 피싱 등 2·3차 피해 우려"
"유출 기업 징벌적 손해배상해야…모니터링 등 내부 통제도 강화해야"

연합뉴스

"여자 혼자 사는 집인데 주소까지 빠져나갔다 하니 많이 무서웠죠"

서울에 거주하는 직장인 이채린(29)씨는 지난 주말 쿠팡으로부터 '개인정보 노출 통지' 문자를 받았냐는 질문에 "일요일 오전 10시쯤 문자가 왔다"며 이렇게 답했다.

국내 e커머스 1위 쿠팡에서 대규모로 고객 정보가 무단 유출된 사실이 알려지면서 이용자들의 불안이 커지고 있다. 대부분의 이용자는 지난 주말 동안 쿠팡으로부터 "고객님의 소중한 개인정보가 일부 노출되는 사고가 발생했다"는 '개인정보 노출 통지' 문자를 받았다.

대학생 김모(27)씨는 "쿠팡 문자에 카드나 이런 정보는 유출 안 됐으니 안심하라는 문구가 있었다. 유출이 안 되는 게 너무 당연한 건데 그런 식으로 와서 조금 어이가 없었다"며 "유출된 개인 정보들을 조합하면 결제도 가능할 것 같아서 불안하다"고 말했다.

쿠팡은 지난달 29일 유출 사실을 최초로 인지했을 당시 피해 계정을 4500개로 파악했는데 조사 과정에서 피해 계정이 3370만 개로 확대됐다고 공지했다. 우리나라 전체 인구가 약 5100만 명인 점을 고려하면, 사실상 성인 대부분의 정보가 잠재적 위협에 노출된 셈이다.

서울 마포구에 사는 최동운(65)씨도 "되게 불안하다. 소비자 입장에서 어떻게 할 수 있는 방법이 없다"며 "나 같은 60대들은 아이디랑 비밀번호가 연동돼 있거나 비슷하게 쓰니까 아이디를 전체적으로 다 바꿔야 할지 고민하고 있다"고 걱정했다.

"나보다 해외여행 더 많이 하는 개인정보"…지난해 유출 300여 건

박대준 쿠팡대표가 회의장을 나서며 공개 사과하고 있다. 연합뉴스

개인정보보호위원회와 한국인터넷진흥원(KISA)이 지난 3월 발표한 '2024년 개인정보 유출 신고 동향 및 예방 방법' 보고서에 따르면 지난해 접수된 유출 신고 건은 총 307건이다. 개인정보 유출 신고 건수는 2022년 167건에서 2023년 318건으로 급격하게 증가해 2년 연속 300건 대를 기록했다.

지난해 개인정보 유출 원인으로는 해킹이 56%(171건)로 가장 높은 비중을 차지했고 업무 과실 30%(91건), 시스템 오류 7%(23건) 순으로 나타났다. 해킹 사고는 전년도 151건에서 171건으로 늘어났다.

올해도 거의 매달 개인정보 유출 사고가 일어나면서, SNS에서는 '개인정보는 공공재', '요즘 나보다 더 해외여행 많이 하는 내 개인정보. 내 개인정보는 세계 일주 중'이라는 조롱까지 나올 정도다.

올해만 지난 1월 GS리테일 개인정보 유출, 4월 SK텔레콤 2300만 건 개인정보 유출, 6월 YES24 랜섬웨어 해킹, 9월 롯데카드 카드번호·CVC 번호 등 민감정보 유출 등 사고가 잇따르고 있다.

"딥페이크 악용해 더 정교한 범죄 우려…징벌적 손해배상 필요"

박종민 기자

이번 쿠팡에서 유출된 정보는 이름, 전화번호, 이메일 주소, 집 주소, 일부 주문 정보 등 민감한 개인정보다. 쿠팡 측은 결제 정보·신용카드 번호·로그인 정보는 포함되지 않았고 안전하게 보호되고 있다고 했지만 범죄 악용 등 2차 피해를 우려하는 목소리가 커지고 있다.

동국대 국제정보보호대학원 황석진 교수는 "가족이나 지인에게 물건을 보냈던 주소까지 빠져나갔기 때문에 사실상 전 국민의 정보가 유출됐다고 본다"며 "특히 주소와 공동 현관 비밀번호까지 탈취돼 범죄자 관점에서는 훨씬 알찬 정보가 될 수 있는 상황"이라고 지적했다.

또 "보이스 피싱에 악용이 가능하고, 특히 딥페이크나 딥 보이스 기술을 악용해 더 정교한 보이스 피싱 등 2차 3차 피해가 훨씬 더 많이 발생할 가능성이 높다"고 경고했다.

서울경찰청 사이버수사대는 지난달 25일 쿠팡 측의 고소장을 접수해 이번 개인정보 유출 사고와 관련한 고소장을 접수해 수사를 진행하고 있다. 하지만 이용자들은 집단 소송을 준비하는 등 쿠팡 측의 책임도 크다고 주장하고 있다.

특히 개인정보 유출 사고가 잇따르고 있어 효과적으로 이를 방지하고 책임을 물을 수 있어야 한다는 분석이 나온다. 황 교수는 "SK텔레콤의 경우에도 높은 과징금을 부과했지만 징벌적 손해배상은 이루어지지 않고 있다. 개인정보보호법을 개정해 이런 사고가 발생하면 개인정보가 유출된 회원에 대해서 50만 원 미만 범주 내에서 손해배상을 해주게끔 강제할 필요가 있다"며  "평소에도 사고가 나지 않도록 모니터링 체계를 잘 갖추고 모의 해킹 대응 훈련 등 내부 통제를 철저하게 해야 한다"고 조언했다.