쿠팡은 최근 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정해 고객 정보를 탈취하는 데 사용된 모든 장치와 하드디스크 드라이브를 모두 회수·확보했다고 25일 밝혔다. 쿠팡은 이날 보도자료를 통해 “디지털 지문(digital fingerprints) 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했고, 유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다”고 밝혔다. 유출자의 진술과 사이버 보안업체의 조사를 종합하면 유출자는 탈취한 보안 키를 사용해 고객 계정 3300만개의 기본적인 정보에 접근했으나 이중 약 3000개 계정의 고객 정보만 저장했다. 여기에 이름, 이메일, 전화번호, 주소, 일부 주문정보, 2609개의 공동현관 출입 번호가 포함됐다. 결제 정보, 로그인 관련 정보, 개인 통관번호에 대한 접근은 없었다. 유출자는 또 이번 사태에 대한 언론보도를 접한 후 저장했던 정보를 모두 삭제했으며 고객 정보 중 제3자에게 전송된 데이터는 일절 없는 것으로 조사됐다.

쿠팡이 최근 개인정보 유출 사태와 관련, 포렌식 증거를 활용해 고객 개인정보를 유출한 전직 직원을 특정했고, 정보를 접근 및 탈취하는 데 사용된 모든 장치와 하드디스크 드라이브를 회수·확보했다고 25일 밝혔다. 쿠팡은 이날 보도자료를 통해 “디지털 지문(digital fingerprints) 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했고, 유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다”며 이같이 밝혔다. 유출자의 진술과 사이버 보안 업체의 조사를 종합하면 유출자는 탈취한 보안 키를 사용하여 고객 계정 3300만개의 기본적인 정보에 접근했으나 이중 약 3000개 계정의 고객 정보를 저장했다. 여기에 이름, 이메일, 전화번호, 주소, 일부 주문정보, 2609개의 공동현관 출입 번호가 포함됐다. 결제정보, 로그인 관련 정보, 개인 통관번호에 대한 접근은 없었다. 유출자는 또 사태에 대한 언론보도를 접한 후 저장했던 정보를 모두 삭제했으며 고객 개인정보 중 제3자에게 전송된 데이터는 일절 없는 것으로 조사됐다고 쿠팡은 주장했다.

링크 입력하면 ‘혜택·특가’ 나타나‘사태의 심각성 희석’ 논란 이어져고객 수천만인데 보험 금액 태부족“매출 10조 기업, 최소 1000억” 논의경찰 “2차 피해 여부 실시간 확인” 쿠팡이 3370만명의 개인정보 유출과 관련해 게시한 사과문을 카카오톡 등 온라인으로 공유할 경우 미리보기 제목에 홍보성 문구가 노출돼 비판이 이어지고 있다. 또 쿠팡이 가입한 배상보험의 보장 한도가 10억원이어서 정보가 유출된 피해자 구제에 있어 실효성이 낮다는 지적도 나왔다. 8일 유통업계에 따르면 쿠팡이 전날 공지한 고객 안내문의 링크를 공유하면 ‘쿠팡이 추천하는 Coupang 관련 혜택과 특가’라는 제목이 나타났다. 미리보기 제목은 보통 해당 페이지의 내용을 요약하는데, 고객 안내문 링크임에도 홍보 문구가 노출된 것이다. 비판이 쇄도하자 쿠팡은 이날 저녁에야 온라인 공유 시 사과문 제목이 노출되도록 조정했다. 쿠팡은 지난달 29일 사고 사실을 고객들에게 통지하면서도 개인정보 ‘유출’이란 직설적 표현 대신 ‘노출’이나 ‘무단 접근’과 같은 모호한 표현을 사용해 사태의 심각성을 의도적으로 희석했다는 비판을 받았다. 개인정보 유출 사고 초기에 결제정보 유출이 없다며 별다른 사과가 없었던 점도 문제로 지적됐다. 역대 최악의 정보 유출 사고에도 쿠팡의 소비자 배상은 갈 길이 먼 상황이다. 손해보험업계에 따르면 쿠팡은 메리츠화재·현대해상의 개인정보유출 배상책임보험에 가입됐는데 보장 한도는 모두 10억원이다. 앞서 2300만명의 유심(USIM·가입자 식별 모듈) 정보가 유출된 SK텔레콤이 가입한 보험의 보장 한도도 10억원이다. 쿠팡은 이번 사고에 대한 보험사고 신고도 하지 않은 것으로 전해졌다. 디지털 환경에서 대형 사고가 반복되지만 피해자 구제를 위한 보험·배상 체계는 여전히 ‘소규모 사고’ 기준에 머물러 있다는 비판이 제기된다. 개인정보보호법 시행령은 정보 주체 100만명 이상 기업의 최소 가입금액을 10억원으로 규정하지만, 플랫폼·통신사처럼 수천만명의 정보를 보유한 기업의 사고 위험을 고려하면 턱없이 낮다는 것이다. 정광민 포항공대 교수는 “과거 카드사·인터파크 사건에서도 인정된 배상액이 1인당 10만원 수준에 불과했다”며 “대규모 사고가 나도 배상액이 작게 산정되는 구조가 유지돼 기업의 위험 부담이 충분히 반영되지 않는다”고 했다. 보험업계는 대규모 정보 보유 기업의 최소 보험금액을 대폭 상향해야 한다는 입장을 개인정보보호위원회에 건의할 예정이다. 현재 논의되는 방안에는 정보 주체 1000만명 이상·매출 10조원 초과 기업은 최소 1000억원, 매출 5조원 초과는 500억원, 1조원 초과는 100억원으로 높이는 방식이 포함돼 있다. 쿠팡은 전날 “2차 피해는 없다”는 섣불리 입장을 표명했다 삭제했는데 이에 대해 경찰은 “2차 피해 사례가 있는지 실시간으로 확인하겠다”고 밝혔다. 경찰청 관계자는 8일 정례 기자간담회에서 “국민께서 불안감을 느끼시기 때문에 (2차 피해 여부를) 실시간 체크 중”이라며 “피해가 발생하면 확인해 추가 피해 예방을 위해 안내할 계획”이라고 말했다.

회원 3370만명의 ‘공동현관 비밀번호’를 비롯한 개인정보가 유출된 쿠팡의 미국 본사를 상대로 한 집단소송이 추진된다. 한국 법무법인 대륜의 미국 현지 법인인 미국 로펌 SJKP는 8일(현지시간) 뉴욕 맨해튼에서 기자회견을 열고 쿠팡을 상대로 한 징벌적 손해배상 소송을 제기하는 계획을 밝힐 예정이다. 법무법인 대륜은 지난 5일 박대준 쿠팡 대표이사와 사내 개인정보 인증 업무 담당·관리자 등을 개인정보보호법 위반·업무상 배임 혐의로 고소했다. 미국은 한국과 달리 징벌적 손해배상 제도가 있어, 쿠팡에 대해 강력하게 책임을 묻고 피해자들에 대한 실질적인 보상을 끌어낼 수 있다는 복안이다. 대륜 측은 한국과 미국에서 동시에 소송을 진행한다는 계획이다. 대륜 관계자는 “미국에서 제기할 소송과 관련해 이미 원고를 일부 모집했고, 기자회견을 통해 원고를 더 모집할 것”이라고 설명했다. 이달 초 미국 뉴욕에 있는 DJS Law 그룹도 쿠팡의 ‘증권법 위반’ 가능성에 대해 소송을 준비하며 개인정보 유출 사태로 손실을 본 주주를 모집하고 나선 것으로 알려졌다. DJS Law 측은 이번 사태로 뉴욕증권거래소(NYSE)에 상장한 쿠팡 주가가 하락해 주주들이 손실을 보았다고 보고 있으며, 미국 증권거래위원회(SEC)에 관련 정보를 적절하게 공시했는지를 살피고 있는 것으로 전해졌다. SEC에 따르면 상장기업은 ‘중대한 사이버 보안 사고’를 겪었을 경우 이를 4영업일 내에 공시해야 한다. 2010년 설립된 쿠팡은 본사가 미국 캘리포니아주 마운틴뷰에 있으며, 미국 본사인 ‘쿠팡 아이엔씨’가 한국 법인의 지분 100%를 가지고 있다. 쿠팡은 2021년 3월 미 뉴욕증권거래소(NYSE)에 상장했으며, 국내에서는 한국경영자총협회(경총)에 가입돼 있다. 쿠팡 모회사 의결권의 70% 이상을 보유한 김범석 쿠팡 아이엔씨 이사회 의장은 서울에서 태어났으나 현재는 미국 시민권자다. 쿠팡을 상대로 한 소송은 줄을 이을 것으로 보인다. 법무법인 청을 시작으로 LKB평산, 지향 등 다수의 로펌이 소송 참가자를 모집 중이다. 이들 로펌이 개설한 쿠팡 상대 소송 관련 카페는 많게는 10만여명의 회원이 가입된 것으로 파악됐다. 한편 지난달 29일 개인정보 유출 사고가 발생한 쿠팡은 회원들에게 “이름과 주소, 주문 내역 등 개인정보가 노출됐다”는 안내문을 발송했으나 피해 규모를 축소했다는 지적을 받았다. 이에 쿠팡은 지난 7일 재차 안내문을 발송해 “고객님의 개인정보가 유출되는 사고가 발생한 바 있다”며 이름과 이메일 주소, 배송지 주소록 등과 함께 ‘공동현관 출입번호’까지 유출됐다고 명시했다. 쿠팡 측은 “카드 또는 계좌번호 등 결제정보, 비밀번호 등 로그인 관련 정보, 개인통관부호는 유출되지 않았으며 유출된 정보를 이용한 2차 피해 의심 사례는 발견되지 않았다”라고 전했다.

주문·배송지정보까지…3370만 계정 털린 쿠팡2차피해 등 소비자 불안 고조…보상은 먼 얘기쿠팡에서 3370만개 계정의 고객 정보가 유출되는 초유의 보안 사고가 일어난 지 일주일이 지난 가운데, 정확한 피해 규모가 확인되지 않아 소비자 불안이 커지고 있다. 정부와 민간 전문가가 합동조사 중이지만, 유출 정보량이 방대해 최종 결과는 내년에나 나올 가능성이 크다는 전망이 우세하다. 이번 정보 유출은 중국 국적의 쿠팡 전 직원이 지난 6월 24일부터 11월 8일까지 약 5개월에 걸쳐 저지른 것으로 파악됐다. 아직 정확한 유출 규모와 범위는 확정되지 않았다. 국회 질의를 통해 지금까지 확인된 유출 정보는 고객명, 이메일, 전화번호, 배송지 주소, 공동현관 비밀번호 등이며, 3370만건에는 휴면·탈퇴 계정도 포함된 것으로 나타났다. 쿠팡은 결제정보와 개인통관부호는 유출되지 않았다는 입장이지만, 정부 조사 결과에 따라 달라질 여지는 남아 있다. 피해 규모가 명확하지 않아 보상 논의도 진전을 보지 못하는 상황이다. 이와 관련해 쿠팡은 사태가 불거진 지 일주일만인 7일 정부의 지시에 따라 ‘수정 공지’ 및 2차 피해 방지 안내를 내놨다. “정보노출”→“정보유출” 일주일만 수정공지“계좌번호, 비번, 개인통관부호는 유출 안 돼”쿠팡은 공지문에서 “새로운 유출 사고는 없었다”고 강조하며, “추가피해 예방을 위한 주의사항을 안내한다”고 밝혔다. 그러면서 “카드 또는 계좌번호 등 결제정보, 비밀번호 등 로그인 관련 정보, 개인통관부호는 유출이 없었음을 수차례 확인했다”고 설명했다. 앞서 개인정보보호위원회는 3일 쿠팡의 ‘노출’ 통지 표현을 ‘유출’로 바로잡고, 실제 유출 항목을 빠짐없이 재통지하라고 지시했다. 쿠팡이 유출 사실을 파악하고도 고객에게는 ‘노출’이라는 표현을 사용해 비판이 제기됐기 때문이다. 쿠팡은 스미싱·피싱 피해를 막기 위한 주의사항도 안내했다. “쿠팡은 전화나 문자로 앱 설치를 요구하지 않는다”며 “출처가 불분명한 링크는 절대 클릭하지 말고 삭제해야 한다”고 당부했다. 또한 의심스러운 전화·문자는 112 또는 금융감독원 신고, 금융거래 안심차단 서비스 이용, 쿠팡 공식 고객센터 발신 여부 확인 등을 권고했다. 배송 기사 관련해서는 “특수 상황을 제외하고는 고객에게 직접 전화·문자를 보내지 않는다”고 강조하며, 공동현관 비밀번호를 주소록에 저장한 고객에게는 변경을 권장했다. 대통령실, 강훈식·김현지·김남국 감찰“인사내용 전달 없어…공직기강 확립”대통령실은 7일 김남국 전 디지털소통비서관의 ‘인사 청탁’ 논란과 관련, 내부 감찰 결과 인사 청탁 내용이 대통령실 내부로 전달되지 않은 것으로 확인됐다고 밝혔다. 강훈식 대통령 비서실장은 이날 ‘이재명 정부 6개월 성과보고’ 기자간담회에서 공직기강비서관실이 본인과 김 전 비서관, 김현지 제1부속실장을 대상으로 감찰을 실시했다며 “김 전 비서관이 관련 내용을 (대통령실 내부로) 전달하지 않았다는 점을 확인했다”고 설명했다. 이어 “대통령실은 부적절한 청탁에 단호하게 대응하고 있다”며 “엄정한 공직기강 확립에 만전을 기하겠다”고 밝혔다. 앞서 김 전 비서관은 지난 2일 문진석 더불어민주당 원내수석부대표와 인사청탁 성격의 문자 메시지를 주고받은 사실이 드러나 이틀 만에 사직했다. 당시 문 수석부대표가 특정 인사를 한국자동차산업협회장에 추천해달라고 부탁하는 문자를 보내자, 김 전 비서관은 ‘훈식이 형(강 비서실장)이랑 현지 누나(김 제1부속실장)한테 추천할게요’라고 문자로 답해 논란을 일으켰다. 국힘, 김남국 사퇴에 “전형적 꼬리 자르기”문진석·김남국·강훈식·김현지 고발 예고국민의힘은 김 전 비서관 사퇴를 강도높게 비판했다. 최은석 원내수석대변인은 이날 논평에서 “대통령실이 내놓은 ‘김남국 사퇴’ 카드는 국민 분노를 무마하기 위한 전형적인 꼬리 자르기”라며 “국정 전횡과 인사농단의 실체는 여전히 대통령실 핵심부에 남아 있다”고 주장했다. 특히 “국정을 사유화한 몸통 김현지가 그냥 있는 한 이번 사태는 또 다른 국정 농단의 신호탄이 될 뿐”이라며 김 실장에게 즉각적인 사퇴를 요구했다. 최보윤 수석대변인도 논평에서 “국회 청문회·국정조사·특검 등 모든 권한을 총동원해 인사농단의 전모를 끝까지 규명하겠다”며 문 수석부대표, 김 전 비서관, 김 실장, 강 비서실장 등 4명을 직권남용·부정청탁금지법 위반 혐의로 고발하겠다는 방침을 밝혔다. 민주 일각 “사퇴 돋보여, 같이 돌 맞겠다”김남국 옹호…문진석 원내직 거취 신중반면 민주당 일각에서는 김 전 비서관을 두둔하는 의견이 나왔다. 박지원 의원은 5일 페이스북에 “내란을 하고 인정도, 반성도, 사과도 하지 않는 사람들, 그를 추종하는 장동혁 대표 일당보다 김 전 비서관 사과와 사퇴가 훨씬 돋보인다”고 적었다. 이어 “정치권에서 형, 형님, 누나, 누님이라고 부르는 것은 선배 동료들을 살갑게 부르는 민주당의 일종의 언어 풍토”라고 주장했다. 강득구 의원도 김 전 비서관을 감싸며 “세상이 그에게 돌을 던진다면 저도 함께 맞겠다”고 적었다. 민주당은 문 수석부대표의 거취 문제에 대해 신중한 태도를 보이고 있다. 박수현 수석대변인은 “여러 상황을 잘 이해하고 지켜보고 있다”며 “문 수석께서 진심으로 사과한 것으로 이해한다”고 말했다.

쿠팡의 대규모 고객 정보 유출 사태 이후 쿠팡이 대대적으로 홍보해 온 ‘원터치 결제’에 대해서도 소비자 불안이 커지고 있다. 원터치 결제는 추가 본인 확인 없이 쉽고 빠르게 결제하는 시스템이지만, 계정 도난 시 무단결제 등의 피해를 입을 수 있어서다. 3일 업계에 따르면, 쿠팡은 계정에 카드가 한 번 등록되면 이후엔 비밀번호나 본인 확인을 하지 않고 저장된 카드로 간편결제할 수 있는 ‘원터치 결제’ 시스템을 갖추고 있다. 온라인 카드결제시 부정사용을 방지하기 위해 본인확인 인증 절차를 거쳐야 하지만 카드사나 전자지급결제대행(PG)사와의 협의를 통해 본인 확인을 생략할 수 있다. 쿠팡의 경우 PG사인 쿠팡페이를 자회사로 두고 있고 쿠팡 가입시 자동으로 쿠팡페이에 가입되는 구조여서 본인인증 없는 간편 결제를 도입할 수 있었던 것으로 파악된다. 네이버나 롯데쇼핑 등 대부분의 이커머스 플랫폼은 로그인과 별도로 결제시 인증을 별도로 하게 돼 있고, SSG닷컴의 경우 쿠팡과 유사한 ‘원클릭 결제’가 있지만 기기가 바뀔 경우 원클릭 결제를 설정할 때 한 번 더 인증 절차를 거쳐야 한다. 문제는 쿠팡의 원터치 결제가 로그인만 되면 계정에 등록된 카드로 바로 결제가 된다는 점에서 계정을 도용당하거나 휴대폰을 분실했을 때 금융사고로 이어질 수 있다는 점이다. 쿠팡은 약 3370만건의 역대 최대 개인정보 유출 사고에서 결제정보는 털리지 않았다고 강조했지만, 이메일·전화번호·주소 등이 노출된 상태여서 안심할 수만은 없는 상황이다. 이커머스업계 관계자는 “(원터치 결제는) 소비자들이 물건 구매를 더 빠르게 유인하는 방법이지만 계정이 도난당하면 심각한 피해로 이어질 수 있는 만큼 최소한의 보안 장치가 필요하다”고 말했다. 특히 결제시 비밀번호를 입력하도록 하는 G마켓에서도 간편결제 서비스에 등록된 카드로 상품권을 결제하는 무단결제 피해 사례가 발생하면서 이러한 우려는 더욱 커지고 있다. 금융감독원이 국민의힘 이양수 의원실에 제출한 자료에 따르면 올해 1~8월 전자금융거래 플랫폼의 부정결제 사고 피해액은 2억 2076만원이었다. G마켓이 1억 6074만원으로 가장 많았고, 쿠팡페이가 3008만원로 뒤를 이었다. 이번 개인정보 유출 사고로 쿠팡페이에 대한 현장점검에 나선 금융감독원 관계자는 “(쿠팡의 원터치) 결제 시 본인 인증 절차에 보안상 허점은 없는지 확인해 보겠다”고 말했다.

대규모 정보 유출 사고를 낸 쿠팡에서 무단 결제 등 2차 피해 우려가 제기되는 상황에서 이찬진 금융감독원장이 결제정보 유출 정황이 확인되는 즉시 검사로 전환하겠다고 밝혔다. 이 원장은 3일 국회 정무위원회 현안 질의에서 “어제부터 현장 점검에 들어갔다”며 “의심되는 부분이 있으면 곧바로 검사로 전환하려고 한다”고 말했다. 검사는 기관 제재 절차로 이어질 수 있다. 쿠팡과 쿠팡페이가 ‘원아이디’로 플랫폼을 같이 이용하기 때문에, 이에 따른 결제정보 유출 피해가 있는지 적극 살펴보겠다는 것이다. 여야 의원들은 쿠팡이 소비자의 탈퇴 과정을 고의적으로 복잡하게 만들었다고 지적했다. 유동수 더불어민주당 의원은 “본인 인증, 비밀번호 입력, 설문조사까지 강제로 응해야 탈퇴가 가능한데, 모두 합치면 무려 20단계에 달한다”고 비판했다. 이에 남동일 공정거래위원회 부위원장은 “소비자의 선택을 방해하는 행위로 보여진다. 제도 개선 및 제재 방안을 검토하겠다”고 했다. 쿠팡은 비밀번호 없이 생체인식과 핀(PIN) 등을 활용하는 안전 인증 수단인 ‘패스키’ 도입을 시사했다. 쿠팡은 지난달 대만에서 패스키를 도입했지만 한국에선 도입하지 않았다. 이헌승 국민의힘 의원이 “대만 쿠팡에서 보급한 전용 패스키를 한국에도 도입했다면 이런 사고가 일어났겠냐”고 질타하자 박대준 쿠팡 대표는 “훨씬 더 안전하게 서비스할 수 있었을 것이라 생각한다”고 했다. 박 대표는 자발적 배상 조치를 하라는 지적에는 “피해범위가 확정되지 않았다”면서도 “합리적 방안을 마련하겠다”고 했다. 3370만개의 개인정보 유출 사고가 알려진지 나흘만에 첫 보상 관련 언급이지만 보상 시점 등 구체적 답변은 피했다. 박 대표는 사고 발생 후 입장 없는 창업자 김범석 쿠팡InC 이사회 의장의 거취에 대해선“해외에 있는 걸로 안다. 올해 국내에서 만난 적이 없다”면서도 “(김 의장에게) 이사회를 통해 사건 발생 후 현재 상황에 대해 보고했다”고 했다. 쿠팡이 ISMS-P 등 7개의 주요 보안 인증을 보유하고도 대규모 개인정보 유출 사태를 막지 못하면서 인증 제도에 대한 무용론도 제기됐다. 특히 ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 공동 운영하는 국내 유일의 정보보호·개인정보보호 관리체계 인증 제도다. 송경희 개인정보위원회 위원장은 “ISMS-P 인증을 받았는데 사고가 난 24개 기업에 대해 이번 달에 현장 조사를 계획하고 있다”고 밝혔다. 또 개인정보위는 고객들에게 개인정보 ‘노출’이라고 통지한 쿠팡에 ‘유출’ 통지로 수정하고, 공동현관 비밀번호 등 유출 항목을 빠짐없이 반영해 재통지하라고 요구했다.

계정 도난시 무단 결제 등 금융사고 우려금감원, 현장점검…“보안상 허점 보겠다” 쿠팡의 대규모 고객 정보 유출 사태 이후 쿠팡이 대대적으로 홍보해 온 ‘원터치 결제’에 대해서도 소비자 불안이 커지고 있다. 원터치 결제는 추가 본인 확인 없이 쉽고 빠르게 결제하는 시스템이지만, 계정 도난 시 무단결제 등의 피해를 입을 수 있어서다. 3일 업계에 따르면, 쿠팡은 계정에 카드가 한 번 등록되면 이후엔 비밀번호나 본인 확인을 하지 않고 저장된 카드로 간편결제할 수 있는 ‘원터치 결제’ 시스템을 갖추고 있다. 온라인 카드결제시 부정사용을 방지하기 위해 본인확인 인증 절차를 거쳐야 하지만 카드사나 전자지급결제대행(PG)사와의 협의를 통해 본인 확인을 생략할 수 있다. 쿠팡의 경우 PG사인 쿠팡페이를 자회사로 두고 있고 쿠팡 가입시 자동으로 쿠팡페이에 가입되는 구조여서 본인인증 없는 간편 결제를 도입할 수 있었던 것으로 파악된다. 네이버나 롯데쇼핑 등 대부분의 이커머스 플랫폼은 로그인과 별도로 결제시 인증을 별도로 하게 돼 있고, SSG닷컴의 경우 쿠팡과 유사한 ‘원클릭 결제’가 있지만 기기가 바뀔 경우 원클릭 결제를 설정할 때 한 번 더 인증 절차를 거쳐야 한다. 문제는 쿠팡의 원터치 결제가 로그인만 되면 계정에 등록된 카드로 바로 결제가 된다는 점에서 계정을 도용당하거나 휴대폰을 분실했을 때 금융사고로 이어질 수 있다는 점이다. 쿠팡은 약 3370만건의 역대 최대 개인정보 유출 사고에서 결제정보는 털리지 않았다고 강조했지만, 이메일·전화번호·주소 등이 노출된 상태여서 안심할 수만은 없는 상황이다. 이커머스업계 관계자는 “(원터치 결제는) 소비자들이 물건 구매를 더 빠르게 유인하는 방법이지만 계정이 도난당하면 심각한 피해로 이어질 수 있는 만큼 최소한의 보안 장치가 필요하다”고 말했다. 특히 결제시 비밀번호를 입력하도록 하는 G마켓에서도 간편결제 서비스에 등록된 카드로 상품권을 결제하는 무단결제 피해 사례가 발생하면서 이러한 우려는 더욱 커지고 있다. 금융감독원이 국민의힘 이양수 의원실에 제출한 자료에 따르면 올해 1~8월 전자금융거래 플랫폼의 부정결제 사고 피해액은 2억 2076만원이었다. G마켓이 1억 6074만원으로 가장 많았고, 쿠팡페이가 3008만원로 뒤를 이었다. 이번 개인정보 유출 사고로 쿠팡페이에 대한 현장점검에 나선 금융감독원 관계자는 “(쿠팡의 원터치) 결제 시 본인 인증 절차에 보안상 허점은 없는지 확인해 보겠다”고 말했다.

4년 전 미 동부 매사추세츠주 케임브리지시 찰스강변에 있는 매사추세츠공과대(MIT)의 10번 건물 위 약 50m 높이의 돔이 하룻밤 사이에 ‘캡틴 아메리카의 방패’로 변해 화제가 된 적이 있다. 스스로를 해커집단이라고 밝힌 수십명의 학생들이 영화 ‘어벤저스: 엔드게임’의 대미를 기념하기 위해 1년 넘게 준비한 이벤트였다. 캡틴 아메리카역을 맡았던 배우 크리스 에번스는 “매우 멋지다”라는 트윗으로 학생들을 응원하기도 했다. MIT도 마찬가지였다. ‘해킹은 독창적이어야 하고, 머리를 써야 하고, 안전이 담보돼야 하고 시설물에도 해가 없어야 한다’는 해킹 가이드라인을 두고 있을 정도로 윤리적 해킹은 장려한다. 학생들에게 기술적인 도전과 창의적 사고를 통한 성장을 유도하려는 뜻이다. 이런 창의력을 권장하는 교육풍토 덕분에 빌 게이츠나 마크 저커버그 같은 이들이 세계적인 인터넷기업을 만들 수 있었다고도 볼 수 있다. 그런데 기술 발달로 이런 ‘착한 해킹’뿐 아니라 개인정보 도용, 온라인 결제정보 탈취 등의 방법으로 돈을 빼내고 가로채는 블랙 해킹 또한 기승을 부려 문제가 되고 있다. 북한의 중앙선관위 해킹 공격, 학력평가 응시생 성적 유출, 통신사나 신용카드사의 회원정보 유출 사고 등 해킹으로 인한 사고는 잊을 만하면 터져 나오고 있다. 갈수록 지능화하는 해킹 위협에 대응하기 위해 각 기업들이 보안전문가인 화이트 해커를 채용하며 노력하곤 있으나 한계가 있다. 이런 실정에서 금융보안원이 ‘레드 아이리스’(RED IRIS)라는 30명의 전문 모의 해킹 조직을 어제 출범시켰다고 한다. 레드 아이리스는 늑대의 순우리말 표현인 이리(IRI)와 들(S)의 합성어다. 이리(늑대)처럼 전략적으로 블랙해킹범을 사냥한다는 것이다. 미국의 경우 IBM·구글 등이 이런 모의 해킹 조직을 운영 중이다. 레드 아이리스는 해커의 시각에서 은행, 증권, 보험 등 금융분야 정보의 해킹 시나리오를 발굴하고 보안취약점을 찾아낸다고 한다. 하지만 2년 전 아파트 거실에 설치된 월패드를 화이트 해커로 유명세를 탄 보안전문가가 해킹하는 어처구니없는 일이 벌어진 바 있다. 자기 정보는 스스로 주의해서 관리하는 게 중요한 시대다.

누구나 한번쯤 온라인 쇼핑몰을 이용할 때 복잡한 결제 과정 때문에 불편을 겪은 일이 있을 것이다. 소셜커머스 티켓몬스터는 신용카드 결제 시스템으로 인한 고객들의 불편을 해소하기 위해 3초만에 모든 결제 과정을 완료할 수 있는 티몬페이 서비스를 실시한다. 티몬페이는 모바일 앱 간편결제 서비스 페이나우를 기반으로 한 새로운 결제 시스템이다. 티몬 모바일 앱에서 최초 1회만 결제정보를 등록하면 이후에는 비밀번호만으로 3초 안에 결제 과정을 완료할 수 있다. 특히 최근 개인 정보 보안에 대한 소비자들의 관심을 반영하여 페이나우의 철저한 보안체계를 적용했다. 해킹, 스미싱, 파밍을 통한 개인 정보 유출 걱정 없이 안전한 결제가 가능하며, 보안체계는 자동으로 업그레이드되는 시스템으로 더욱 안전하게 개인 정보를 지킬 수 있다. 또한 기존의 시스템과 달리 티몬앱 자체에 결제 시스템을 프로그래밍하여 별도의 앱을 다운받지 않아도 결제를 진행할 수 있고 공인인증서가 필요 없어 시간을 더욱 단축해준다. 모든 OS, 브라우저, 디바이스를 이용해 결제 가능하고 신한, 현대, 삼성, 국민, 비씨, 하나, 농협, 시티 등 국내에서 이용되는 거의 모든 카드에 적용되어 활용도 또한 높다. 페이나우(www.paynow3.com) 관계자는 “티몬페이는 3초 결제로 간편하고 철저한 보안을 통해 더욱 안전한 페이나우를 기반으로 하여 티몬 고객들에게 차별화된 쇼핑 서비스를 제공할 수 있을 것으로 기대한다”며 “12일부터 티몬페이 서비스 출시를 기념해 1만원 이상 첫 결제 시 5,000원을 즉시 할인해주는 이벤트를 진행하니 많은 성원 바란다”고 전했다.

신용카드사 정보 유출의 사각지대에 놓인 소상공인 카드 가맹점주들이 정보보호를 위한 대책 마련을 촉구했다. 최근 신용카드 결제대행업체인 밴(VAN)사와 밴 대리점을 통해 카드 고객 및 가맹점주들의 개인정보가 불법 유통되고 있다는 사실이 적발된 데 따른 것이다. 지난 1월 카드 3사의 고객정보 유출 이후 KB국민카드에서 가맹점주 14만명의 개인식별 정보가 추가로 유출돼 소상공인 가맹점주들의 불안감을 키웠다. 가맹점주들과 금융소비자단체는 “밴사의 중소 가맹점에 대한 정보 접근을 차단하고 중소 가맹점에 대한 정보보호 대책을 세워야 한다”고 주장했다. 4일 서울 영등포구 여의도동 국회도서관에서 열린 ‘소상공인 가맹점 개인정보 피해 어떻게 해결하나’라는 주제의 공청회에서 소상공인연합회 측은 “가맹점의 주소와 사업자 번호, 가맹점 대표자 관련 식별정보 등이 불법 매매되고 있지만 금융당국과 카드사들은 무대응으로 일관하고 있다”고 지적했다. 최승재 연합회장은 “용도 외 정보이용을 제한하는 등 정보보안 감독규정을 만들어 밴사들이 가맹점 결제정보를 볼 수 없도록 해야 한다”고 말했다. 연합회는 그동안 일부 밴사와 밴 대리점이 매출전표에 담긴 고객의 카드번호와 금액, 승인번호뿐 아니라 가맹점명과 주소, 가맹점 대표자 성명, 사업자 번호 등을 불법 신용정보업체에 팔아넘긴다고 주장해 왔다. 밴사는 중소카드 가맹점에 결제 단말기를 설치해주고 매출전표를 5년간 보관하고 있다. 공청회에 참석한 홍진동 중소기업청 소상공인지원과장은 “밴 대리점이 가맹점주의 주민등록증 사본 등의 개인정보를 건당 3000~4000원으로 1만개 단위로 팔고 있다”고 유출 피해 실태를 전했다. 강형구 금융소비자연맹 금융국장은 “밴사는 카드사들과 복수 거래를 하고 있어 정보가 유출될 경우 전체 카드사 거래자의 개인정보와 가맹점주의 개인정보가 포함될 수 있다”면서 “매출전표 보관을 카드사로 이관해야 한다”고 말했다. 이날 발제를 맡은 이재연 한국금융연구원 선임연구원은 “모든 신용카드사와 계약을 맺고 있는 현 중소카드가맹점 시스템하에서는 책임 주체가 불명확하다”면서 “카드사 공동 보안기구를 세우고 관리 권한을 맡기되 문제가 생기면 시장 참여 제한, 수수료 불이익, 벌금 부과 등의 제재를 가해야 한다”고 말했다. 윤샘이나 기자 sam@seoul.co.kr

악성 코드로 연결되는 문자메시지를 보내 스마트폰 이용자들의 돈을 몰래 빼낸 ‘스미싱’ 사기 일당이 경찰에 붙잡혔다. 휴대전화 문자메시지(SMS)와 피싱(phishing)의 합성어인 스미싱(Smishing)은 스마트폰 이용자가 웹사이트 링크를 클릭하면 악성 코드를 설치해 결제정보 등 개인정보를 빼돌리는 신종 사기 수법이다. 경찰청 사이버테러대응센터는 2일 이모(24)씨 등 2명을 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 구속했다고 밝혔다. 이씨 등은 지난해 11월부터 최근까지 해외 사이트를 이용해 피자회사 등의 스마트폰 애플리케이션을 설치하면 무료 쿠폰을 준다는 식의 문자메시지를 사람들에게 마구잡이로 보냈다. 이들은 스마트폰 이용자가 설치를 하려고 문자메시지에 적힌 사이트로 접속하면 악성 코드에 감염되도록 조작했다. 이씨 등은 감염된 스마트폰을 조종해 소액결제 방식으로 유명 게임 사이트에서 아이템을 결제, 중국의 게임머니 브로커에게 되팔았다. 현재까지 파악된 피해자는 21명으로 피해 금액은 500여만원이다. 이들은 PC에도 신용카드 결제 정보를 유출하는 악성 코드를 심어 감염된 228명의 PC로부터 신용카드 결제 정보를 얻어 내 게임 사이트 등에서 1000여회에 걸쳐 신용 결제하는 수법으로 2억 2000만원을 챙긴 것으로 조사됐다. 김정은 기자 kimje@seoul.co.kr