[쿠팡 정보유출] 배송지·상품명 유출이 더 무서운 이유

사생활 '프로파일링' 가능… 이름·주소·주문 내역으로 타깃 피싱
1인분 밀키트·여성용품 주문→'여성 1인 가구' 추정… 범죄에 악용

쿠팡의 개인정보 유출이 기존 플랫폼 유출보다 범죄 노출 위험이 높다는 업계 의견이 나왔다. 생활 정보를 토대로 프로파일링이 가능해서다. 사진은 기사와 무관함. /사진=클립아트코리아

쿠팡의 대규모 개인정보 유출 사고를 두고 법조계와 보안업계에서 기존 플랫폼 정보 유출 사례보다 범죄 노출 위험이 높다는 해석이 나온다. 단순 신상정보를 넘어 주거지와 구체적인 소비 패턴이 결합된 데이터가 유출된 탓에 개인의 사생활을 특정하는 '프로파일링'(Profiling)이 가능하기 때문이다.

2일 업계에 따르면 이번 사태는 생필품을 주로 취급하는 쿠팡의 특수성이 물리적 범죄로 악용될 수 있다는 점에서 경각심이 요구된다. 해커가 유출된 배송지 정보와 주문 내역을 재가공할 경우 정교한 범죄 표적 설정이 가능하다는 지적이다.

구체적으로 '1인분 밀키트'나 '여성용품'을 주기적으로 주문한 내역과 오피스텔 주소 등이 결합될 경우 여성 1인 가구로 특정될 가능성이 높다. 이는 성범죄나 스토킹 등 강력 범죄의 타깃이 될 수 있다는 점에서 심각한 위협으로 꼽힌다.

범죄 대응력이 상대적으로 약한 가정도 위험에 노출될 수 있다. '기저귀'나 '분유' 등 육아용품 주문 내역이 아파트 주소와 매칭되면 영유아 양육 가정임이 드러난다. 고가의 가전제품이나 명품을 주문한 내역은 절도 및 고액 사기 범죄의 표적이 될 수 있다.

━

"OOO 주문하셨죠?"… 맞춤형 사기로 접근

━

피싱과 스미싱 등 금융 사기 수법이 생활 맞춤형으로 고도화될 수 있다는 점도 문제다. 불특정 다수를 향한 문자가 아니라 소비자가 실제 주문한 정확한 '상품명'과 '배송 시점'을 미끼로 접근할 수 있어서다.

가령 유출 정보를 악용해 "OOO 고객님, 주문하신 기저귀가 오배송됐습니다"라고 접근한다면 주소와 상품명이 일치해 소비자가 스미싱임을 의심하기 어렵다. 이로 인한 2차 피해가 우려되는 상황이다.

디지털 기기 사용에 익숙하지 않은 고령층의 피해가 특히 클 것이라는 우려가 제기된다. 건강기능식품이나 의료 보조기구 등을 주로 주문하는 노년층의 경우, 실제 구매한 상품명을 언급하며 '배송 지연' '결제 오류' '환불 신청' 등의 문자를 보내면 의심 없이 악성 URL(인터넷주소)을 클릭할 가능성이 높다는 관측이다.

전문가들은 단순히 결제정보가 유출되지 않았다고 해서 안전한 상황이 아니라고 경고한다. 배준형 변호사는 "이번 사태는 기존 유출 사례와 달리 최근 5건의 주문 이력이 포함돼 피싱이나 강력 범죄에 악용될 소지가 있어 각별한 주의가 필요하다"고 지적했다. 이어 "스미싱 피해를 방지하기 위해서는 어떠한 경우에도 링크를 클릭하거나 개인정보 입력을 유도하는 요구에 응해선 안된다"며 "만약 피해가 발생했다면 즉각 경찰에 신고해 추가 피해를 막아야 한다"고 조언했다.

한국인터넷진흥원(KISA)은 출처가 불분명한 문자메시지 내 URL 접속을 자제하고 즉시 삭제할 것을 당부했다. 의심되는 메시지는 보호나라 카카오톡 채널의 '스미싱·피싱 확인서비스'를 통해 악성 여부를 판별할 수 있으며 통신사 부가서비스인 '번호도용 문자차단'을 활용하는 것도 피해 예방에 도움이 된다고 조언했다.

황정원 기자 jwhwang@mt.co.kr