"내 정보는 이미 공공재?"…쿠팡 사태가 드러낸 현실

  • 등록 2025.12.01 07:31:01
크게보기

쿠팡 3천370만 계정 노출…이름·주소·구매이력 포함한 생활 데이터 위험
최근 10년간 3억건 유출…국민 평균 6회 이상 정보 노출된 셈

 

"제 개인정보는 이미 공공재 아닌가요?"

 

대규모 개인정보 유출 사고가 터질 때마다 온라인 커뮤니티에 올라오던 이 자조 섞인 농담은 이제 더 이상 웃어넘길 수 없는 섬뜩한 현실이 됐다.

 

국내 이커머스 업계 1위인 쿠팡이 최근 "회원 3천370만 명의 계정 정보가 외부로 무단 노출된 사실을 확인했다"고 시인하면서다.

 

우리나라 전체 인구가 약 5천100만 명임을 고려하면 사실상 경제 활동을 영위하는 국민 대다수의 정보가 잠재적 위협에 노출된 셈이다.

 

이번 사태는 단발성 사고가 아니라 지난 10년간 끊임없이 반복되며 '일상화된 위험'이 되어버린 우리나라 보안의 현주소를 적나라하게 보여준다.

 

지난 10년간의 유출 역사와 변화하는 해킹 트렌드, 그리고 AI 시대에 더욱 교묘해지는 보안 위협을 분석해봤다.

 

◇ 이름·주소에 구매 이력까지… '데이터의 질'이 달라졌다
쿠팡 측은 이번 사고로 유출된 정보가 고객의 이름, 이메일, 전화번호, 주소, 그리고 일부 주문 정보라고 밝혔다. 다행히 신용카드 번호나 비밀번호 등 직접적인 금융 정보는 포함되지 않은 것으로 파악된다.

 

그러나 보안 전문가들은 이번 사태를 단순한 아이디(ID) 노출보다 훨씬 심각하게 받아들이고 있다.

 

과거의 해킹이 단순히 시스템에 접근할 '열쇠'를 훔치는 수준이었다면 이번에 노출된 정보는 개인의 실생활을 낱낱이 파악할 수 있는 '고품질 데이터'이기 때문이다.


실명과 전화번호, 집 주소에 '무엇을 샀는지'에 대한 정보가 결합하면 범죄의 목표는 소름 돋을 정도로 정교해진다. 예를 들어 최근 유모차를 구매한 고객에게 택배사를 사칭해 "배송 주소 확인" 문자를 보내거나 특정 고가 가전제품의 구매 이력을 미끼로 AS 센터를 가장한 보이스피싱을 시도하는 식이다.

 

정보의 질이 달라진 만큼 범죄의 적중률도 높아질 수밖에 없다.

 

◇ "전 국민 정보 다 털렸다"… 과장 아닌 통계적 사실
"전 국민의 정보가 다 털렸다"는 말은 과장된 수사가 아닌 통계적 팩트에 가깝다.

 

2014년부터 2024년까지 지난 10년간 국내에서 발생한 주요 대형 개인정보 유출 사고를 복기해보면 그 심각성이 드러난다.

 

2014년 카드 3사 대란(약 1억 건)을 시작으로 대형 통신사, 숙박 앱, 포털 사이트, 그리고 이번 이커머스 사태까지 사고는 끊이지 않았다.

 

보안 업계 추산에 따르면 지난 10년간 유출된 개인정보 누적 건수는 최소 3억 건을 상회한다. 중복 유출을 감안하더라도 산술적으로 국민 1인당 평균 6~7회 이상 자신의 정보가 유출된 꼴이다.

 

한 보안 업계 관계자는 "이미 다크웹 등 음지에서는 한국인의 개인정보가 '기본 DB'로 취급되어 패키지 형태로 거래되는 실정"이라며 "이제는 '내 정보가 유출됐을까'를 우려할 단계는 지났으며 이미 유출된 내 정보를 범죄자들이 어떻게 조합해 공격해올지를 방어해야 하는 단계"라고 지적했다.

 

◇ '돈'에서 '생활'로, '해킹'에서 '주워 먹기'로
지난 10년 사이 해커들의 공격 방식과 목표물도 교묘하게 진화했다. 2010년대 초중반만 해도 카드사나 금융기관 서버를 직접 타격하거나 내부 공모자를 통해 DB[012030]를 통째로 빼돌려 금전을 요구하는 '힘의 해킹'이 주를 이뤘다.

 

하지만 2010년대 후반부터는 이른바 '크리덴셜 스터핑(Credential Stuffing)' 공격이 대세로 자리 잡았다. 사용자들이 여러 사이트에서 동일한 ID와 비밀번호를 쓴다는 점을 악용해 보안이 취약한 사이트에서 확보한 계정 정보를 대형 사이트에 무차별 대입해 로그인하는 방식이다.

 

2020년대 들어서는 '라이프스타일 정보'가 핵심 타깃이 됐다. 배달 앱, 이커머스, 여행 플랫폼 등이 보유한 위치 정보와 소비 패턴은 개인을 특정하기 가장 좋은 데이터이기 때문이다. 이번 쿠팡 사태 역시 앱 내 특정 페이지의 취약점을 노려 정보를 긁어모으는 방식이 사용된 것으로 추정된다.

 

◇ AI, 해커의 창 vs 보안관의 방패
정보 유출이라는 소리 없는 전쟁터에 인공지능(AI)이 참전하면서 공방은 더욱 치열해졌다.

 

AI는 공격자에게 더없이 강력한 무기다.

 

과거 해커가 수작업으로 찾던 보안 취약점을 이제는 AI 에이전트가 24시간 쉬지 않고 자동 탐색한다. 나아가 유출된 정보를 바탕으로 생성형 AI를 활용해 아주 자연스러운 한국어로 피싱 메일을 작성하거나 딥페이크 기술로 가족의 목소리를 흉내 내는 등 범죄 수법을 고도화하고 있다.

 

방어하는 입장에서도 AI는 선택이 아닌 필수다.

 

사람이 일일이 감시할 수 없는 수천만 건의 트래픽 홍수 속에서 '평소와 다른 미세한 접속 패턴'을 AI가 실시간으로 감지해 차단하는 기술이 속속 도입되고 있다.

 

이번 사태처럼 정상적인 경로를 가장한 비정상적인 접근을 막기 위해서는 AI 기반의 '이상 징후 탐지' 시스템이 유일한 대안으로 꼽힌다.

 

보안 전문가들은 개인정보가 이미 공공재처럼 퍼진 상황에서 기업의 보안 패러다임이 바뀌어야 한다고 조언한다.

 

'유출 제로'를 장담하기보다는 유출되더라도 데이터가 무용지물이 되도록 암호화 수준을 높이고 내부망조차 신뢰하지 않는 '제로 트러스트(Zero Trust)' 체계를 구축해야 한다는 지적이다.(연합뉴스)

권혜진 의 전체기사 보기
권혜진 rosyriver@raonnews.com
Copyright @2018 라온신문. All rights reserved.

추천 비추천
추천
0명
0%
비추천
0명
0%

총 0명 참여

많이 본 기사

LOGO

창닫기
  • facebook
  • youtube
  • twitter
  • 네이버블로그
  • instagram
  • 키키오채널