쿠팡에서 3370만건이라는 대규모 개인정보 유출 사고가 발생하자 비슷한 유통구조를 가진 다른 이커머스(전자상거래) 업체들에도 비상이 걸렸다.

쿠팡은 정보보안에 약 900억 가량을 투자했다고 밝혔으나 3천만개가 넘는 고객 계정 정보 유출을 막지는 못했다. 아울러 수천억 원의 과징금을 부과받을 위기에 놓였다.

이번에 유출된 정보는 이름, 이메일, 전화번호, 배송지 주소뿐 아니라 일부 주문 내역까지 포함돼, 단순한 통신사 정보 유출보다 피해 범위와 파장이 크다는 분석이 지배적이다. 특히 배송지 정보에는 배송을 요청한 주변인들의 정보까지 담겨 있기 때문에 피해 규모가 더 커질 가능성도 제기된다. 전문가들은 일상생활과 직결된 정보를 이용한 2차 스미싱이나 피싱 등의 악용도 우려했다.

황석진 동국대 국제정보보호대학원 교수는 1일 YTN 뉴스에 출연해 "대부분 경제활동을 하는 모든 사람의 정보가 다 탈취당했다고 볼 수 있다"면서 "결제정보가 나가지 않았다고 해서 안전하다고 볼 수는 없다. 고객의 성명, 전화번호, 이메일 주소, 거기다가 공동현관 비밀번호까지 다 나갔다"라고 했다.

황 교수는 "자기 가족이라든가 지인에게 생필품을 보내기도 하는데 자기가 아는 지인의 성명이라든가 전화번호, 집 주소까지 다 나가 있는 이런 상황이기 때문에 단순하게 결제정보가 나가지 않았기 때문에 안전하다는 건 말이 안 된다"면서 "개인의 생활밀착형 정보가 모두 다 유출됐다고 볼 수밖에 없다"고 했다.

이어 "결제 정보가 없다고 해도 회원의 성명, 전화번호, 그리고 주소 이것으로 타게팅이라고 할 수 있는 보이스피싱이라든가 피싱 이런 부분이 가능하다"면서 "요즘에는 AI 기술이 상당히 뛰어나기 때문에 딥보이스라든가 딥페이크 이런 AI 기술을 악용해서 영상통화를 하는데 마치 그 사람인 것처럼 꾸며서 할 수 있다"고 했다.

그러면서 "이름과 전화번호를 입력하면 카카오톡이 친구 추가를 할 수 있는데 거기에 프로필 사진이 있지 않나"라며 "그 프로필 사진을 보고 똑같이 딥페이크 기술을 이용해서 사람의 얼굴을 만든다든가 또 어떤 음란사이트에 연결해서 합성해서 주변 사람들에게 뿌릴 수 있다든가 여러 가지 범죄가 발생할 가능성이 상당히 있다"고 주장했다.

황 교수는 "공동현관 비밀번호까지 한다고 하면 언제든지 문 열고 들어가서 집 앞에서 계속 서성일 수도 있다"면서 "특정한 연령층에 있는 여성분이라든가 아니면 취약계층에 있는 사람을 노려서 직접 스토킹 범죄를 한다든가 아니면 협박성 메일을 보내는 것도 모두 가능하다"고 진단했다.

개인정보 유출에 배송 정보가 포함되면서 소비자 불안이 커지고 있는 만큼 다른 이커머스 업체들도 빠르게 긴급 점검 등 후속 대응에 나선 모습이다.

이번에 유출된 정보는 이름, 이메일, 전화번호, 배송지 주소뿐 아니라 일부 주문 내역까지 포함돼, 단순한 통신사 정보 유출보다 피해 범위와 파장이 크다는 분석이 지배적이다. 특히 배송지 정보는 일상생활과 직결돼 2차 스미싱이나 피싱 등의 악용 가능성도 제기된다.

특히 이번 개인정보 유출이 기존 업체들에서 발생한 외부 세력에 의한 해킹보다 인증토큰과 서명키를 이용한 전직 직원 소행에 무게가 실리면서 전방위적인 점검이 이뤄지는 분위기다.

구체적으로는 접근 권한 관리, 로그 기록, 모니터링 체계 등 기본적 통제 절차를 다시 점검하고 있는 것으로 전해졌다.

한편 대통령실은 쿠팡 개인정보 유출 사고와 관련해 "기업의 책임이 명백하면 징벌적 손해배상 제도가 실효성 있게 작동할 수 있도록 개선 방안을 검토하라"고 말했다.