[AI돋보기] 쿠팡 정보 유출이 드러낸 '디지털 나'의 실체
쿠팡 3천370만건 유출로 누적 개인정보 위험 재점화
10년간 각종 유출로 신원·소비·생활 패턴까지 연결
(서울=연합뉴스) 심재훈 기자 = 최근 쿠팡에서 3천370만개 계정 규모의 개인 정보가 새어 나가는 등 지난 10여년간 대규모 개인정보 유출 사고가 이어지면서 우리 사회 곳곳에 '내 정보'가 돌아다니는 시대가 됐다.
포털, 신용카드사, 쇼핑몰, 의료기관 등에서 조금씩 새어 나간 개인 정보 조각들이 장기간 축적되면서 이제는 '나'라는 한 사람을 만들어낼 수 있는 정도로 완벽한 퍼즐이 되고 있다.
개인 신상 정보뿐만 아니라 생활 패턴까지 상당 수준 재구성할 수 있는 '디지털 프로필' 형태로 완성되고 있다는 의미다.
보안 업계에서는 "개별 사건만 놓고 보면 개인 정보 유출의 위험이 제한적일 수 있지만 10년간 쌓인 조각을 합치면 공격자들은 훨씬 정교한 개인 프로필을 구축할 수 있다"고 경고했다.
특히 쿠팡과 같은 전자상거래 플랫폼의 유출 정보는 개인의 소비 습관과 생활 구조를 파악하는 데 결정적 단서가 된다고 우려했다.
◇ 대규모 개인 정보 유출 사태 반복에 '내 기록까지'
국내에서 대규모 정보 유출 사태가 본격화한 것은 2010년대 초반부터다.
2011년 네이트·싸이월드 해킹으로 3천만명 이상의 기본 인적 정보가 유출돼 큰 충격을 던져줬다. 2014년에는 신용카드 3사에서 1억건이 넘는 금융·신용 정보가 유출되는 전례 없는 상황이 벌어졌다.
2016년에는 인터파크에서 1천만명 규모의 계정 정보 유출 사고가 이어지며 국민의 개인 정보가 끊임없이 한조각씩 빠져나갔다.
공식 통계를 보면 이러한 개인 정보의 유출 심각성을 명확히 알 수 있다.
개인정보보호위원회의 연간 개인 정보의 유출 신고 건수는 2022년 64만여 건에서 2023년 1천만 건 이상으로 급증했다.
한국인터넷진흥원(KISA)이 웹과 다크웹에서 모니터링한 불법 개인정보 유통 게시물도 2020년 이후 누적 90만 건을 돌파했다.
보안 업계는 유출된 개인 정보의 중복을 고려하더라도 국민 1인당 평균 6~7회 정도의 개인 정보가 외부에 노출된 것으로 보고 있다.
◇ 유출 정보로 생활 데이터까지 결합…악용 가능성↑
주목해야 할 점은 유출된 개인 정보가 이름이나 주민등록번호 같은 고정된 기록뿐만 아니라 최근에는 전자상거래 기록, 배달 이용 패턴 등 생활 밀착형 데이터로 확대되고 있다는 것이다.
구체적으로 살펴보면 과거 신용카드 3사 유출 사태로 개인의 신용 정보 일부가 노출됐다. 최근 쇼핑몰 해킹에서는 이메일, ID, 비밀번호 해시값, 결제 기록 일부까지 새어 나왔다. 의료·미용 분야에서는 방문 기록 및 연락처가 유출돼 협박으로 악용될 우려가 제기되기도 했다.
이런 유출된 개인 정보 조각들이 한 곳의 데이터에 집약되면 문제가 아주 심각해질 수 있다.
예를 들어 쇼핑몰 기록, 배달 앱 기록, 의료 앱 기록이 한 사람의 데이터로 결합하면 거주지 변동 사항과 소비 습관, 잠재적 건강 취약점까지 모두 알 수가 있어 공격자가 다양하게 악용할 수 있는 정교한 자료가 만들어지게 된다.
이는 향후 신분 도용이나 스토킹, 심지어 민간 영역에서의 차별 근거로 활용될 수 있는 위험성을 안고 있다.
이렇게 외부에 유출된 개인 정보가 누적된 가운데 이번 쿠팡의 개인 정보 유출 사태는 더 큰 경고음을 울리고 있다.
쿠팡에서 유출된 기본 식별 정보가 이전에 유출된 비밀번호 해시값 등과 합쳐지면 '크리덴셜 스터핑을 통해 계정 탈취로 이어질 수 있기 때문이다. 크리덴셜 스터핑은 이전에 탈취된 아이디와 비밀번호 조합을 다른 사이트에 무작위로 대입하는 방식이다.
보안 전문가들은 한국의 경우 이미 아이디와 비밀번호 조합이 많이 노출된 상태이므로 하나의 플랫폼 계정이 노출되면 연쇄적인 위험이 발생할 수 있다고 우려하고 있다.
◇ 주기적으로 비밀번호 바꿔야…2단계 인증도 필수
개인 유출 정보가 악용될 위험은 단기적으로는 계정 탈취와 피싱 사기다.
중기적으로는 신분 도용이나 스토킹 등 2차 피해가 우려되고, 장기적으로는 한 사람의 모든 정보가 집약돼 그 사람 자체를 재연까지 할 수 있는 위험이다.
물론 유출된 개인정보만으로 자동으로 금융 계좌가 털리지는 않는다.
국내 은행권은 이상 거래 탐지 시스템(FDS)과 추가 인증 절차를 통해 비정상 거래를 상당 부분 차단하고 있다. 하지만 피싱·스미싱 등을 통해 이용자 스스로 인증 절차를 수행하게 만드는 공격은 여전히 위험 요인으로 남아 있다.
각종 서비스 탈퇴 후에도 결제 기록 등은 법적 보관 기간이 남아 있어 자신의 개인 정보가 완전히 지워지지 않을 수 있다는 사실도 알아야 한다.
이처럼 반복되는 개인 정보 유출 사고를 막으려면 주기적으로 비밀번호를 바꾸고 서비스별 분리 사용을 습관화해야 한다. OTP 등 2단계 인증도 활성화하고 명의도용 방지 서비스 등을 통해 본인 명의 가입 현황을 알아보며 신규 개설 차단을 설정해 놓는 것이 좋다.
한국인터넷진흥원(KISA)의 보호나라 등을 통해 개인정보 침해 여부를 확인하는 것도 필요하다.
president21@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>