뉴스1

쿠팡에서 발생한 대규모 개인정보 유출 사고와 관련해 사용자들이 즉시 취해야 할 보안 조치가 국회에서 제시됐다. 쿠팡 측은 “결제 정보는 유출되지 않았다”며 과한 대응이라고 선을 그었지만, 전문가는 “최악의 상황을 가정한 대비가 필요하다”고 강조했다.

2일 국회 과학기술정보방송통신위원회의 쿠팡 침해사고 현안 질의에서 김승주 고려대 정보보호대학원 교수는 쿠팡 이용자들에게 △쿠팡에 등록된 결제수단(신용·체크카드) 정보 삭제 △카드 결제용 비밀번호 변경 △쿠팡 계정 비밀번호 변경 등의 조치를 즉시 시행할 것을 권고했다.

김 교수는 “피해가 더 확산될 수 있기 때문에 결제용 카들들 등록했다면 전부 삭제하고 카드 비밀번호와 쿠팡 계정 비밀번호도 바꾸는 것이 좋다”고 말했다.

쿠팡 측은 논란 초기부터 로그인 정보와 신용카드 번호 등 결제 정보는 유출되지 않았다고 밝혀왔다.

이날 현안 질의에서도 박대준 쿠팡 대표는 “결제 정보 등이 노출됐다고 확인된 바 없고 과잉해서 안내할 경우 불안감이 또다시 나올 수 있다고 생각한다"고 우려했다.

그러나 김 교수는 이번 사고를 ‘호텔 마스터키’에 비유하며 쿠팡의 해명에 반박했다. 그는 “호텔 방 키(액세스 토큰)를 발급하는 비밀번호(서명키)를 내부 개발자가 갖고 나간 것”이라며 “이를 이용해 호텔 방 키를 무한으로 생성해 고객 정보를 빼냈다”고 설명했다.

비밀번호를 몰라도 시스템이 사용자를 정상적인 고객으로 인식하게 만드는 '프리패스' 권한이 탈취된 만큼 김 교수의 이러한 제안은 결코 과도하지 않다는 것이다.

이번 사고는 쿠팡 전 직원이 퇴사 후에도 주요 시스템 접근 권한을 유지한 채 로그인을 위한 ‘액세스 토큰’을 생성하는 서명키(인증키)를 갱신하거나 폐기하지 않아 발생한 것으로 추정된다.

김 교수는 해당 직원이 개발 권한과 접근권을 모두 가진 만큼 퇴사 이후뿐 아니라 재직 중에도 결제 정보나 로그인 정보를 탈취했을 가능성을 배제할 수 없다고 분석했다.

최민희 과방위원장은 "이용자들에게 선택권을 줘야 한다"며 "최악의 경우를 대비해 이렇게 하는 것이 좋다는 전문가의 의견을 국민에게 알려야 한다"고 지적했다.

정부도 지난달 29일 대국민 공지를 통해 이번 사고를 악용한 스미싱, 보이스피싱 등 2차 피해가 우려된다며 각별한 주의를 당부했다.

문자·메신저로 의심 링크가 전송될 경우 클릭하지 말고 즉시 삭제해야 하고, 스미싱·피싱이 의심되면 카카오톡 채널 ‘보호나라’를 통해 여부를 확인할 수 있다.

또한 전화번호·아이디·비밀번호 등 개인정보는 신뢰할 수 있는 사이트에만 입력해야 하며 인증번호는 모바일 결제와 연결될 수 있어 각별한 확인이 필요하다. 정부기관·금융기관은 원격제어앱 설치를 요구하지 않는 만큼 해당 요구가 있을 경우 즉시 스미싱과 피싱을 의심해야 한다.

만약 악성 앱을 설치했다면 모바일 백신으로 삭제해야 하고, 해당 기기로 금융서비스를 이용한 이력이 있다면 공인인증서·보안카드 등 금융정보가 유출됐을 가능성이 있어 반드시 폐기 후 재발급해야 한다.