[서울=뉴시스] 황준선 기자 = 쿠팡의 대규모 고객 개인정보 유출 사태가 벌어지며 소비자들의 불안이 커지고 있다. 이재명 대통령은 이날 쿠팡에 대해 과징금을 강화하고 징벌적 손해배상제도를 현실화하는 등 실효적인 대책을 마련을 지시했다. 사진은 2일 서울 시내 한 쿠팡 물류센터 모습. 2025.12.02. [email protected]

[서울=뉴시스]윤정민 박은비 기자 = 쿠팡에서 3370만명 규모의 개인정보 유출 사고가 발생한 가운데 사용자들이 피해를 예방하기 위해 취해야 할 행동 수칙이 국회에서 제시됐다. 쿠팡 측은 로그인 정보와 신용카드 번호 및 결제 정보는 유출 정보에 포함되지 않았다고 밝혔지만 보안 전문가는 최악의 상황을 가정해야 한다며 강력한 개인 보안 조치를 권고했다.

김승주 고려대 정보보호대학원 교수는 2일 오전 국회 과학기술정보방송통신원회 쿠팡 침해사고 관련 현안 질의에서 쿠팡 이용자에게 ▲쿠팡에 등록된 결제수단(신용·체크카드 등) 정보 삭제 ▲카드 결제용 비밀번호 변경 ▲쿠팡 계정 비밀번호 변경 등을 진행할 것을 제시했다.

김 교수는 "피해가 더 확산될 수 있기 때문에 결제용 카드를 등록했다면 전부 삭제하고 카드 비밀번호와 쿠팡 계정 비밀번호도 바꿀 수 있다면 바꾸는 것이 좋다"고 말했다.

[서울=뉴시스] 조성봉 기자 = 박대준 쿠팡 대표이사가 2일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회의 쿠팡 개인정보 유출 사고 관련 현안질의에서 의원 질의에 답변하고 있다.2025.12.02. [email protected]

이날 쿠팡 측은 "로그인 정보나 결제 정보는 유출되지 않았다"며 김 교수가 제안한 조치가 과하다고 우려했다. 박대준 쿠팡 사장은 "결제 정보 등이 노출됐다고 확인된 바 없고 과잉해서 안내할 경우 불안감이 또다시 나올 수 있다"고 생각한다고 밝혔다.

하지만 김 교수는 이번 침해사고에 대해 '호텔 마스터키'로 비유하며 위험성을 경고했다. 이번 쿠팡 침해사고의 경우 쿠팡 전 직원이 퇴사 후에도 주요 정보를 접근할 수 있는 권한을 유지해 정보가 유출됐다는 게 이번 사고 원인인 것으로 전해졌다. 로그인에 필요한 '액세스 토큰'을 생성하는 서명키(인증키)를 갱신하거나 삭제하지 않은 것이다.

김 교수는 "호텔 방 키(액세스 토큰)를 발급하는 비밀번호(서명 키)를 내부 개발자가 갖고 나간 것"이라며 "이 비밀번호를 이용해 호텔 방 키를 무한으로 생성해 고객 정보를 빼낸 것"이라고 설명했다. 즉 비밀번호를 몰라도 시스템이 사용자를 정상적인 고객으로 인식하게 만드는 '프리패스' 권한이 탈취됐다는 설명이다.

또 해당 직원이 개발 권한과 접근권을 가지고 있었던 만큼 정보 유출이 확인된 퇴사 이후 기간뿐만 아니라 재직 중에도 결제 정보나 로그인 정보를 탈취했을 가능성이 충분히 있다고 분석했다.

[서울=뉴시스] 고승민 기자 = 박대준 쿠팡 대표이사가 2일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회의 쿠팡 개인정보 유출 사고 관련 현안질의에서 의원 질의에 답하고 있다. 2025.12.02. [email protected]

최민희 과방위원장은 "이용자들에게 선택권을 줘야 한다"며 "최악의 경우를 대비해 이렇게(행동 수칙 이행) 하는 것이 좋다는 전문가의 의견을 국민에게 알려야 한다"고 말했다.

한편 정부는 지난달 29일 대국민 공지를 통해 이번 사고를 악용한 스미싱 유포, 보이스피싱 등을 통한 개인정보 탈취와 금전 탈취 시도가 우려되므로 피해로 연계되지 않도록 사용자 주의가 필요하다고 밝혔다.

보호나라(카카오톡 채널) 스미싱·피싱 확인 서비스를 이용하면 신고와 함께 악성 여부를 판별할 수 있다. 문자를 받았을 때 출처가 불분명한 사이트 주소는 클릭을 자제하고 바로 삭제할 필요가 있다. 전화번호, 아이디, 비밀번호 등 개인정보는 신뢰된 사이트에만 입력하고 인증번호는 모바일 결제로 연결될 수 있어 한 번 더 확인해야 한다.

정부기관과 금융기관은 전화나 문자 등을 통해 원격제어앱 설치를 요구하지 않는다. 정상 앱 마켓에 등록된 앱도 마찬가지다. 최악의 경우 악성 앱을 설치했다면 모바일 백신으로 악성 앱을 삭제하고, 악성 앱에 감염됐던 스마트폰으로 금융서비스를 이용했다면 공인인증서, 보안카드 등 금융거래에 필요한 정보가 유출될 가능성이 있어 해당 정보를 폐기하고 재발급 받아야 한다고 전했다.