[파이낸셜뉴스] 쿠팡에서 발생한 대규모 개인정보 유출 사고와 관련해 사용자들이 피해를 예방하기 위해 취해야 할 행동 수칙이 국회에서 제시됐다.
2일 오전 국회 과학기술정보방송통신위원회 쿠팡 침해사고 관련 현안 질의에 참석한 김승주 고려대 정보보호대학원 교수는 쿠팡 이용자에게 ▲쿠팡에 등록된 결제수단(신용·체크카드 등) 정보 삭제 ▲카드 결제용 비밀번호 변경 ▲쿠팡 계정 비밀번호 변경 등을 진행할 것을 제시했다.
“호텔 마스터키 들고 나간 셈…결제 카드 삭제하고 비번도 바꿔야”
김 교수는 "피해가 더 확산될 수 있기 때문에 결제용 카드를 등록했다면 전부 삭제하고 카드 비밀번호와 쿠팡 계정 비밀번호도 바꿀 수 있다면 바꾸는 것이 좋다"고 조언했다.
쿠팡 측은 로그인 정보와 신용카드 번호 및 결제 정보는 유출 정보에 포함되지 않았다고 밝힌 바 있다. 이날도 "로그인 정보나 결제 정보는 유출되지 않았다"며 김 교수가 제안한 조치가 과하다고 우려했다.
박대준 쿠팡 사장 역시 "결제 정보 등이 노출됐다고 확인된 바 없고 과잉해서 안내할 경우 불안감이 또다시 나올 수 있다"고 생각한다고 밝혔다.
그러나 김 교수는 최악의 상황을 가정해야 한다며 강력한 개인 보안 조치를 권고했다. 김 교수는 이번 사고를 ‘호텔 마스터키’에 비유하며 "호텔 방 키(액세스 토큰)를 발급하는 비밀번호(서명 키)를 내부 개발자가 갖고 나간 것"이라고 지적했다.
"이를 이용해 호텔 방 키를 무한으로 생성해 고객 정보를 빼낸 것"이라고 이번 사태를 설명한 김 교수는 비밀번호를 몰라도 시스템이 사용자를 정상적인 고객으로 인식하게 만드는 '프리패스' 권한이 탈취된 만큼, 이러한 제안이 결코 과도하지 않다는 것이다.
이번 쿠팡 침해사고의 경우, 쿠팡 전 직원이 퇴사 후에도 주요 정보를 접근할 수 있는 권한을 유지해 정보가 유출된 것이 사고 원인으로 추정된다. 로그인에 필요한 '액세스 토큰'을 생성하는 서명키(인증키)를 갱신하거나 삭제하지 않은 것이다.
김 교수는 해당 직원이 개발 권한과 접근권을 가지고 있었던 만큼, 정보 유출이 확인된 퇴사 이후 기간뿐만 아니라 재직 중에도 결제 정보나 로그인 정보를 탈취했을 가능성이 충분히 있다고 분석했다.
최민희 과방위원장은 "이용자들에게 선택권을 줘야 한다"며 "최악의 경우를 대비해 이렇게 하는 것이 좋다는 전문가의 의견을 국민에게 알려야 한다"고 했다.
출처 불분명한 사이트 문자로 왔다면…‘클릭 금지·바로 삭제’
한편 정부는 지난달 29일 대국민 공지를 통해 이번 사고를 악용한 스미싱 유포, 보이스피싱 등을 통한 개인정보 탈취와 금전 탈취 시도가 우려된다고 밝혔다. 또한 피해로 연계되지 않도록 사용자 주의가 필요하다고 강조했다.
보호나라(카카오톡 채널) 스미싱·피싱 확인 서비스를 이용하면 신고와 함께 악성 여부를 판별할 수 있다. 문자를 받았을 때 출처가 불분명한 사이트 주소는 클릭을 자제하고 바로 삭제할 필요가 있다.
뿐만 아니라 전화번호, 아이디, 비밀번호 등 개인정보는 신뢰된 사이트에만 입력하고 인증번호는 모바일 결제로 연결될 수 있어 한 번 더 확인해야 한다.
정부기관과 금융기관 및 정상적으로 앱 마켓에 등록된 앱들은 전화나 문자 등을 통해 원격제어앱 설치를 요구하지 않는 점도 기억해둬야 한다. 만약 악성 앱을 설치했다면 모바일 백신으로 악성 앱을 삭제해야 한다.
또한 악성 앱에 감염됐던 스마트폰으로 금융서비스를 이용했다면 공인인증서, 보안카드 등 금융거래에 필요한 정보가 유출될 가능성이 있다. 반드시 해당 정보를 폐기하고 재발급 받아야 한다.
bng@fnnews.com 김희선 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지