"내 계정에 해외 접속 흔적이"..2차 피해 공포에 '탈팡' 조짐

1일 오전 서울의 한 차고지에 쿠팡 배송 차량이 주차되어 있다. 뉴시스

[파이낸셜뉴스] 쿠팡에서 3370만건의 고객 개인정보가 유출된 사실이 확인되면서 소비자들 사이에서 '2차 피해 공포'가 확산하고 있다. 이번에 유출된 정보에는 이름·전화번호·주소는 물론, 최근 주문 내역까지 포함돼 단순한 스팸 메시지 수준을 넘어 정교한 피싱·택배 사칭 범죄로 악용될 가능성이 제기된다. 피해 규모가 역대 최대 수준으로 확인되면서 온라인에서는 집단소송 움직임도 빠르게 확산하는 분위기다.


1일 온라인 커뮤니티 등에 따르면 쿠팡 정보유출 사고 이후 불안감을 호소하는 경험담이 잇따르고 있다. 일부 이용자는 "유출 안내 직후 계정 기록에서 베트남·일본 등 해외 IP 접속 흔적을 확인했다"는 이야기도 나오고 있다. 강제 로그아웃과 비밀번호 변경을 했지만 "이미 어떤 정보가 넘어갔는지 모르겠다"는 반응도 많다. 이에 대해 쿠팡은 "웹에서 보이는 해외 로그인 기록은 이번 유출과 무관한 시스템 표기 현상"이라고 말했다.

최근 070 광고 전화가 급증했다는 경험도 공유되고 있다. 한 이용자는 "다른 기업 유출에 이어 이번까지 겹치며 등록 카드와 계정을 모두 바꿨다"고 말했다. 특히 이번에 노출된 정보가 전화번호나 카드처럼 쉽게 변경하기 어려운 주소·구매 내역 등 생활 기반 정보라는 점이 소비자 불안을 키우고 있다는 분석이 나온다.

쿠팡의 초기 대응이 불안감을 더 키웠다는 지적도 나온다. 당초 쿠팡은 4500건의 정보만 유출됐다고 공지했지만, 이후 3370만건으로 규모를 정정하면서 "처음부터 전수 유출이 있었던 것 아니냐"는 의혹도 제기되고 있다.

허경옥 성신여대 소비자산업학과 교수는 "유출된 정보의 종류와 무관하게 개인정보가 유출됐다는 사실 자체가 소비자에겐 큰 불안"이라며 "카드정보가 포함되지 않았다는 설명도 신뢰하기 어렵고, 주소·전화번호·주문내역만으로도 피해는 충분히 발생할 수 있다"고 말했다.

더 큰 문제는 대규모 개인정보 유출 이후 발생할 수 있는 '2차 피해'다. 가장 우려되는 건 배송 안내나 배송 오류를 사칭해 금융정보 입력을 유도하는 방식이다. 전문가들은 "일반 문자 스팸과 달리 실제 주문 정보가 포함된 사칭 메시지는 소비자가 속기 쉽다"고 지적한다. 정세진 법무법인 율촌 변호사는 "구매 내역은 법적 분류상 민감정보는 아니지만, 개인의 생활 패턴이 드러나기 때문에 스미싱이나 택배 사칭 범죄로 악용될 가능성이 더 크다"고 말했다.


유출 사태 이후 집단소송 움직임도 빠르게 퍼지고 있다. 3300만명에 이르는 전례 없는 피해 규모가 소비자들의 집단 대응을 촉발하는 요인으로 작용하고 있다는 분석도 나온다. 업계에 따르면 네이버 카페 등 온라인 공간에서는 '쿠팡 집단소송' 관련 게시글이 6500건 이상 올라왔다. 집단 대응을 표방한 전용 카페에는 개설 이틀 만에 8500명 넘는 이용자가 가입하는 등 참여 규모가 빠르게 확대되고 있다.

다만 현실적인 배상액은 크지 않을 전망이다. 개인정보 유출 사건에서 피해자가 입는 실질적 손해를 입증하기 어렵기 때문이다. 2014년 카드3사 정보유출 사건에서도 최종 배상액은 1인당 10만원 수준에 그쳤다. 정 변호사는 "한국에서는 집단소송이 제한적이고 기존 판례상 손해배상액도 1인당 10만원 수준에 머무는 경우가 많다"며 "결국 기업 입장에서 반복적 사고가 구조적으로 큰 부담이 되지 않는다는 점이 문제"라고 지적했다.

이 같은 취약한 배상 구조가 되풀이되는 정보보안 사고의 원인이라는 지적도 나온다. 미국의 경우 개인정보 유출 시 기업이 지급하는 합의금 규모가 한국보다 최대 100배 이상 높은 수준이다. 미국 AT&T는 지난해 두 차례 정보유출 사고 이후 약 2600억원 규모의 합의금을 마련했고, 이용자 1인당 최대 보상액은 1100만원에 달하는 등 기업이 감수해야 하는 책임 수준이 한국과는 뚜렷한 차이를 보인다. 윤예림 법무법인 길도 변호사는 "반복되는 개인정보 유출 사건을 줄이려면 기업이 감수해야 할 법적 책임의 무게가 커져야 한다"며 "징벌적 손해배상제 도입을 논의할 시점"이라고 말했다.


근본적으로 반복되는 개인정보 유출 사고가 국내 보안 환경의 구조적 한계를 드러낸다는 지적도 나온다. 사고가 터진 후 과징금이나 처벌 등 책임을 묻는 방식이 아니라 미국·유럽 등 주요 국가가 채택하고 있는 '인센티브 기반 보안 정책'으로 전환해야 한다는 주장도 힘을 얻고 있다. 정 변호사는 "해킹 기술은 인공지능(AI) 기반 자동화 공격과 잠복형 침투 등으로 빠르게 진화하고 있지만 국내 기업들은 여전히 법이 요구하는 수준만 충족하는 방식으로 최소한의 보안 투자에 그치고 있다"며 "보안을 비용이 아닌 경쟁력으로 전환할 수 있는 정책 설계가 필요하다"고 강조했다.

한편 이번 사태 이후 온라인 유통업계도 긴급 보안 점검에 돌입했다. 무신사는 내부 암호화 시스템을 재점검하고 전체 회원을 대상으로 비밀번호 변경 캠페인을 진행하기로 했다. SSG닷컴 역시 최근 통신·금융 분야의 보안 사고 증가에 따라 정기·수시 점검과 내부 통제를 강화했다고 밝혔다. G마켓은 주말 동안 보안 시스템을 긴급 점검했으며, 11번가는 "개인정보와 결제 정보를 분리 보관하고, 망분리 환경에서만 접근을 허용하는 등 24시간 모니터링 체계를 운영 중"이라며 추가 점검을 실시할 계획이라고 설명했다.

clean@fnnews.com 이정화 이환주 김현지 기자

Copyrightⓒ 파이낸셜뉴스. 무단전재 및 재배포 금지.