[IT동아 김영우 기자] 지난 11월 30일, 쿠팡 박대준 대표이사는 정부서울청사에서 열린 긴급 관계부처 장관회의에 참석해 머리 숙여 사과했다. 이번 쿠팡 개인정보 유출 사건은 국내 이커머스 역사상 최대 규모다. 약 3370만 개의 고객 계정 정보가 무단으로 노출됐다. 전 국민의 65%에 해당하는 수치다.

문제는 초기 대응이었다. 쿠팡은 지난 6월 24일부터 개인정보 탈취가 시작됐지만 5개월간 이를 전혀 인지하지 못했다. 11월 18일에야 약 4500개 계정의 개인정보 노출을 파악했고, 그로부터 11일 뒤인 11월 29일 토요일 저녁 늦게 피해 규모가 3370만 개로 확대됐다고 밝혔다. 당초 발표보다 약 7500배 늘어난 것이다. 유출된 정보에는 이름, 이메일 주소, 전화번호, 배송지 주소, 일부 주문 정보가 포함됐다.

박 대표는 사과문을 통해 "모든 고객 정보를 보호하는 것은 쿠팡의 최우선 순위"라며 "과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 경찰청 등 민관합동조사단과 긴밀히 협력해 추가 피해 예방에 최선을 다하겠다"고 말했다. 하지만 이미 국민의 불신은 깊어진 상태다. 일부 고객은 "전화번호는 노출됐는데 카드 정보와 비밀번호는 노출되지 않았다는 회사의 설명을 어떻게 믿겠느냐"며 쿠팡 탈퇴를 선언했다.

매년 반복되는 개인정보 유출의 악순환

쿠팡 사건이 충격적인 이유는 그 규모 때문만이 아니다. 이런 일이 너무나 자주 반복된다는 점이 더 큰 문제다. 올해만 해도 개인정보 유출 사건이 끊이지 않았다.

2025년 1월에는 GS리테일 홈페이지 해킹으로 회원 9만여 명의 정보가 유출됐다. 4월에는 SK텔레콤 서버가 해킹돼 2324만 명의 개인정보가 유출됐다. 사실상 가입자 전원에 해당하는 규모다. 이 사고로 개인정보보호위원회는 SK텔레콤에 역대 최대 규모인 1348억원의 과징금을 부과했다.

9월에는 롯데카드 전체 회원 중 약 31%에 해당하는 297만 명의 정보가 해킹 공격으로 유출됐으며, KT에서는 불법 기지국을 활용한 해킹이 발생해 2만 명의 개인정보가 털렸다. 5월부터 7월까지는 디올, 티파니, 루이비통 등 명품 브랜드들이 한국 고객의 개인정보가 유출됐다고 잇따라 밝혔다.

개인정보보호위원회에 따르면 올해 8월 말까지 접수된 민간 기업의 개인정보 유출 건수는 3038만 건에 달했다. 작년 1377만 건에서 두 배 이상 증가한 수치다. 쿠팡 사태까지 더하면 올해 개인정보 유출 건수는 6000만 건을 훌쩍 넘길 전망이다. 한국인터넷진흥원의 사이버 침해사고 신고 건수도 2021년 640건에서 2023년 1887건으로 3배 가까이 급증했으며, 올해는 2000건을 넘어설 것으로 예상된다.

"개인정보는 이미 공공재 아니냐"는 냉소

이렇게 개인정보 유출 사건이 빈번하게 발생하자 사람들의 반응도 변하고 있다. 초기에는 분노와 불안이 주를 이뤘지만, 이제는 무감각과 냉소가 자리 잡고 있다.

온라인 커뮤니티에는 "현대인의 개인정보는 이미 '공공재'나 다름없는 것 아니냐"는 자조 섞인 댓글이 쏟아진다. "어차피 내 정보는 이미 다 털렸을 텐데 뭘 더 조심해야 하나"라는 반응도 심심치 않게 볼 수 있다.

이러한 무감각 현상은 사회적으로 심각한 문제를 야기할 수 있다. 개인정보 보호에 대한 경각심이 떨어지면 더 큰 피해로 이어질 수 있기 때문이다. 전문가들은 쿠팡 사태가 스미싱이나 보이스피싱 등 2차 피해로 연결될 가능성을 경고하고 있다.

다크웹에서 공공연히 거래되는 한국인 개인정보

이렇게 유출된 개인정보는 어디로 가는 걸까. 답은 이른바 '다크웹'에 있다. 다크웹은 일반 검색엔진으로는 접근할 수 없으며, 토르와 같은 특수 브라우저를 통해서만 접속 가능한 익명 네트워크 공간이다. 3중 암호화를 통해 접속자의 IP 주소를 알 수 없고, 무작위 코드로 링크를 변환해 추적을 따돌릴 수 있다.

다크웹에서는 한국인 개인정보가 거래되는 광경을 아주 쉽게 볼 수 있는 것으로 알려졌다. 국회 정무위원회 종합감사에서 추경호 의원은 "현재 다크웹 중 한국 관련 사이트만 35개에 달하며, 이 안에서 약 3100만 명의 한국인 개인정보 판매글이 올라온다"고 밝혔다. 50대~60대의 전화번호 1만 건이 80만원에 거래되는 사례도 있다.

유출된 개인정보는 비트코인, 모네로 등 암호화폐를 통해 거래되며, 판매자는 익명성을 유지한 채 대량의 개인정보를 가공한 '패키지 상품' 형태로 판매한다. 1명의 개인정보 패키지는 15달러에서 65달러 선에서 거래되며, 신용카드, 신분증 사진, 의료 기록 등은 더욱 높은 가격이 매겨진다. 이러한 정보들은 '풀즈'라고 불리며 대출 사기, 보험금 허위 청구, 스피어 피싱, 협박, 계정 탈취 등 다양한 범죄에 악용된다.

더 큰 문제는 다크웹에서 정보가 한 번 거래된 뒤에도 여러 번 복제되어 유통된다는 점이다. 한 명의 해커가 올린 정보가 수많은 범죄자의 손을 거치며 재판매되고 재활용된다. 병원에서 탈취된 의료 기록은 신원 도용보다도 더 높은 가격에 거래되며 불법 보험 청구에 활용된다.

국가정보원도 지난해 해커 조직이 국가·공공기관 정부 서비스 이용자의 개인정보를 다크웹이나 텔레그램 등을 통해 유통하는 정황을 포착했다며 주의를 당부한 바 있다.

개인, 기업, 정부가 나서야 할 때

이런 상황에서 우리는 무엇을 해야 할까. 개인, 기업, 정부 각각의 차원에서 대응이 필요하다.

개인 차원에서는 무엇보다 비밀번호 관리가 중요하다. 가입한 웹사이트마다 비밀번호를 다르게 설정하고, 주기적으로 변경해야 한다. 같은 아이디와 비밀번호를 여러 사이트에 사용하면 한 곳이 뚫렸을 때 다른 사이트까지 줄줄이 털리는 대참사가 일어날 수 있다. 비밀번호 관리자를 사용하고, 2단계 인증을 활성화하는 것도 필수다.

또한 의심스러운 링크나 첨부파일은 확인 후 클릭하고, 공용 와이파이 사용 시에는 VPN을 적용해야 한다. 쿠팡 사태와 관련해서는 "최근 주문 건에 문제가 있다며 주소나 연락처를 다시 확인하라"는 식의 피싱이 대표적이므로, 문자나 전화뿐만 아니라 카카오톡 등 어떤 채널에서도 모르는 링크는 클릭하지 않는 것이 중요하다.

개인정보보호위원회가 제공하는 '털린 내 정보 찾기 서비스'를 활용해 다크웹 등 음성화 사이트에서 내 계정정보가 유통되고 있는지 확인하는 것도 좋은 방법이다. 이 서비스는 사용자가 입력한 계정정보를 암호화하여 단순 비교만을 수행하며, 평문 데이터를 저장하거나 보관하지 않는다.

기업 차원에서는 보안 투자를 대폭 확대해야 한다. 전문가들은 기업들의 빈약한 보안 투자가 대규모 해킹 사고의 배경이라고 지적한다. IBM이 발표한 '2024 데이터 유출 비용 연구 보고서'에 따르면, 2024년 전 세계 데이터 유출 사고 한 건당 평균 비용은 488만 달러에 달했다. 국내 기업의 평균 데이터 유출 비용은 48억 3300만 원으로 조사 참여 7년간 중 사상 최고치를 기록했다.

개인정보에 필요 최소한의 접근 권한만 부여하고 이상 행위 감지 및 실시간 대응 체계를 구축할 필요가 있다. 특히 쿠팡 사건처럼 내부자에 의한 정보 유출을 막기 위해서는 내부 접근 통제를 강화하고, 주기적인 보안 점검을 실시해야 한다. 외부 보안 전문가를 영입하고 모니터링을 강화하는 것도 필수적이다.

정부 차원에서는 제도 개선이 시급하다. 현재 개인정보보호위원회의 다크웹 대응 예산은 올해 '0원'으로, 전담 인력이나 탐지 체계 확보 여력이 부족한 실정이다. 또한 개인정보 보호법 위반 시 처벌을 강화할 필요가 있다. 2023년 개정된 개인정보 보호법에 따르면 법 위반 시 전체 매출액의 3%까지 과징금을 매길 수 있다. 쿠팡의 경우 2024회계연도 연결 매출액이 38조 2988억원이므로, 이론상 최대 1조원 이상의 과징금을 부과받을 수 있다. 하지만 솜방망이 처벌이 반복되면 기업들의 경각심을 높이기 어렵다. 엄정한 법 집행이 필요한 시점이다.

더 나아가 성별·지역 등 민감한 정보를 담은 주민등록번호가 전 영역에서 광범위하게 쓰이는 현 구조를 개선해야 한다는 목소리도 크다. 전문가들은 주민등록번호의 무분별한 사용 구조를 바꾸지 않으면 쿠팡 사태 같은 대규모 유출이 반복될 수밖에 없다고 지적한다.

개인정보 유출은 더 이상 일부 기업이나 개인의 문제가 아니다. 사회 전체가 무감각해질수록 범죄자들은 더욱 대담해진다. 지금 당장 개인은 비밀번호를 바꾸고, 기업은 보안 투자를 늘리고, 정부는 실효성 있는 제도를 마련해야 한다. 그렇지 않으면 '개인정보의 공공재화'는 농담이 아닌 기정사실이 될 것이다.

IT동아 김영우 기자 (pengo@itdonga.com)