URL 아예 없애야? '정보 유출' 쿠팡, 문자엔 여전히..."이러다간 2차 피해"

김민우 기자, 하수민 기자 2025. 12. 2. 14:39
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

쿠팡 개인정보 유출 사태로 2차 피해 우려가 커지는 가운데 쿠팡이 여전히 인터넷주소(URL)가 포함된 문자메시지를 고객에게 발송하고 있는 것으로 확인됐다.

상품도착 알림을 안내하며 쿠팡으로 연결하는 인터넷 주소를 함께 보내고 있는데 피싱, 스미싱 범죄 조직이 이를 그대로 악용할 수 있다는 지적이 나온다.

2일 머니투데이 취재에 따르면 쿠팡은 최근 상품 배송 도착 안내나 반품 접수 관련 정보를 문자메시지로 보내면서 쿠팡 앱 또는 웹으로 연결되는 링크(URL)를 함께 보내고 있다.

닫기
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

12일 오전7시에 쿠팡이 발송한 배송 완료 문자. URL이 포함돼 있어 피싱?스미싱 범죄에 악용될 수 있다는 우려가 나온다./사진=독자제공

12일 오전7시에 쿠팡이 발송한 배송 완료 문자. URL이 포함돼 있어 피싱?스미싱 범죄에 악용될 수 있다는 우려가 나온다./사진=독자제공


쿠팡 개인정보 유출 사태로 2차 피해 우려가 커지는 가운데 쿠팡이 여전히 인터넷주소(URL)가 포함된 문자메시지를 고객에게 발송하고 있는 것으로 확인됐다. 상품도착 알림을 안내하며 쿠팡으로 연결하는 인터넷 주소를 함께 보내고 있는데 피싱, 스미싱 범죄 조직이 이를 그대로 악용할 수 있다는 지적이 나온다.

2일 머니투데이 취재에 따르면 쿠팡은 최근 상품 배송 도착 안내나 반품 접수 관련 정보를 문자메시지로 보내면서 쿠팡 앱 또는 웹으로 연결되는 링크(URL)를 함께 보내고 있다.

문제는 범죄 조직이 스미싱 문자를 보낼 때 동일한 방식의 배송 안내, 주소 오류 수정, 반품·환불 처리 등을 활용한다는 점이다. 쿠팡에서 도착알림 등의 문자를 URL과 함께 보내고 있기 때문에 고객들 입장에서는 쿠팡에서 보낸 문자라고 생각해 무의식적으로 URL을 누르기 쉽다.

자칫 쿠팡의 문자 형태를 따라해 범죄조직이 보낸 스미싱 문자의 URL을 누를 경우 악성코드가 휴대폰에 설치돼 추가적인 피해를 볼 가능성이 있다.

특히 실제 구매 이력이 함께 유출된 현 상황에서 소비자가 구매한 상품명이 포함된 안내 문자는 신뢰도를 높여 피싱 피해 가능성을 키운다. 쿠팡의 URL이 포함된 안내문자로 인해 소비자들은 합법 메시지와 범죄 메시지를 구분하기 더욱 어려워졌다는 지적이다.

스미싱·피싱 범죄 조직이 '배송 주소가 잘못됐다며 확인을 요구', '결제를 취소하려면 링크 접속 필요', '운송장 오류 처리 요청'이라는 방식으로 접근해 악성 앱 설치를 유도하거나 금융 정보를 탈취할 가능성도 높다.

[서울=뉴시스] 황준선 기자 = 쿠팡의 대규모 고객 개인정보 유출 사태가 벌어지며 소비자들의 불안이 커지고 있다. 이재명 대통령은 이날 쿠팡에 대해 과징금을 강화하고 징벌적 손해배상제도를 현실화하는 등 실효적인 대책을 마련을 지시했다. 사진은 2일 서울 시내 한 쿠팡 물류센터 모습. 2025.12.02. hwang@newsis.com /사진=황준선

[서울=뉴시스] 황준선 기자 = 쿠팡의 대규모 고객 개인정보 유출 사태가 벌어지며 소비자들의 불안이 커지고 있다. 이재명 대통령은 이날 쿠팡에 대해 과징금을 강화하고 징벌적 손해배상제도를 현실화하는 등 실효적인 대책을 마련을 지시했다. 사진은 2일 서울 시내 한 쿠팡 물류센터 모습. 2025.12.02. hwang@newsis.com /사진=황준선


한 보안 전문가는 "지금은 기업이 고객을 보호하기 위해 'URL 없는 문자 원칙'을 도입해야 할 시기다"며 "기업의 편의를 앞세운 관행은 결과적으로 범죄에 악용될 여지를 남긴다"고 지적했다.

정부와 금융당국이 이번 사태 직후 "2차 피해 가능성에 각별히 주의해야 한다"고 강조한 것도 같은 맥락이다. 금융당국과 은행 등 금융기관들이 갖고 있는 이름·전화번호·주소·구매내역 등 생활기반 정보는 신원 도용, 대출 사기, 계정 탈취의 출발점이 될 수 있다. 출처 불명의 문자·전화·메일에 절대 반응하지 말 것을 당부하는 이유다.

문자메시지를 악용한 범죄 이외에도 유출된 개인정보가 보이스 피싱 범죄에 악용될 가능성도 제기된다. 택배 기사나 고객센터 상담원으로 사칭해 직접 전화를 걸고, 고객의 실제 주문 정보를 언급하며 의심을 줄이는 식이다.

개인정보 유출은 물리적 위험을 동반한 범죄로도 번질 수 있다. 스토킹, 방문 사기, 사회공학(사회적 신뢰를 악용) 범죄, 택배사칭 현관 침입 등으로 이어질 가능성도 배제할 수 없다. 특히 주소·이름·전화번호가 동시에 노출된 경우 위험도가 기하급수적으로 높아진다.

유출된 정보는 암시장(다크웹)에서 거래되며, 범죄조직은 이를 빅데이터처럼 쌓아 전화·문자·SNS·이메일을 결합한 '정교한 맞춤형 공격'을 시도할 수 있다. 단순 노출이 아니라 범죄의 데이터베이스가 되는 셈이다.

해외 사례에서도 개인정보 유출이 실제 범죄로 이어진 사례는 반복돼 왔다. 미국에서는 Yahoo가 2013~2016년 사이 약 30억 개 계정 정보를 해킹당했을 때, 피싱 이메일, 친구 사칭 사기, 계정 탈취 피해가 광범위하게 발생했다는 보고가 있다. 정보가 유출됐다는 사실만으로도 범죄 조직 활동이 본격화될 수 있다는 경고다.

쿠팡의 정보유출 이후 이미 2차 피해가 발생하고 있다는 지적도 있다. 이해민 조국혁신당 의원은 이날 국회 과학기술방송정보통신위원회에서 열린 쿠팡 개인정보 유출 관련 현안 질의에서 피해자 커뮤니티에 공유된 실제 사례를 거론하며 다수의 이용자 계정에서 알수 없는 기기와 IP에서 로그시도와 접속기록이 나타났다며 이미 2차피해가 발생한 것"이라고 지적했다.

김민우 기자 minuk@mt.co.kr 하수민 기자 breathe_in@mt.co.kr

Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.

머니투데이에서 직접 확인하세요. 해당 언론사로 이동합니다.