쿠팡발 고객정보 유출 쇼크, 전자금융 시장 전반에 ‘빨간불’

이찬진 금융감독원장이 3일 서울 여의도 국회에서 열린 정무위원회의 쿠팡 개인정보 유출 관련 현안질의에서 의원 질의에 답하고 있다. ⓒ뉴시스

금융당국이 쿠팡의 대규모 개인정보 유출 사고와 관련해 보이스피싱·스미싱 등 각종 금융사기로 악용될 우려가 크다며 금융소비자경보 ‘주의’를 발령한 데 이어 쿠팡페이에 대한 현장조사에 착수했다.

여기에 최근 G마켓에서 간편결제 ‘스마일페이’를 통한 무단 결제 피해 신고가 60여건 접수되면서, 전자금융거래 전반에 빨간불이 켜졌다.

4일 금융권에 따르면 금융감독원 전자금융검사국은 지난 2일부터 쿠팡의 전자금융업 계열사인 쿠팡페이에 대한 1주일간의 현장조사에 돌입했다. 결제정보 유출이 없다는 쿠팡의 해명에도 추가 피해 가능성을 높게 본 셈이다.

▼ 관련기사 보기
쿠팡, 고객정보 유출 후폭풍…영업정지·1조 과징금 현실화 가능성은
"정보 털렸는데 탈퇴 어려워" 쿠팡, 6단계 탈퇴에 소비자 '분통'
쿠팡 임원, 개인정보 유출사태 후 수십억원대 주식 내다팔아

앞서 금융당국은 지난 1일 ‘쿠팡 개인정보 유출사고에 따른 보이스피싱·스미싱 등 피해에 주의하라’는 내용의 소비자경보(주의)를 내고, 유출된 성명·주소·연락처 등을 악용한 정부기관·금융회사 사칭, ‘쿠팡 환불·보상’ 문자 사기 가능성을 경고했다.

정무위 “One-ID 구조상 전자금융사고 가능성…쿠팡 해명 신뢰 어려워”

이날 국회 정무위원회 현안질의에서도 쟁점은 ‘결제정보 유출 여부’와 ‘보이스피싱 2차 피해’ 여부에 집중됐다.

김현정 더불어민주당 의원은 “쿠팡에 한 번 가입하면 별도 절차 없이 자동으로 쿠팡페이에 가입되는 원아이디(One-ID) 구조상, 이번 사고를 유통기업 망 침해로만 볼 수 없다”며 “쿠팡이 쿠팡페이 금융망은 유출되지 않았다며 금감원에 신고하지 않고 전자금융사고가 아니라고 하는데 완전히 거짓말”이라고 질타했다.

이어 “쿠팡 가입 시 쿠팡페이에 자동으로 가입되게 돼 접근매체(ID·비밀번호)가 명확하다 볼 수 있어 전자금융사고 여부를 반드시 확인해야 한다”고 지적했다.

이찬진 금감원장은 “쿠팡페이만 전자금융업자로 돼있어 규제의 한계가 있다고 봤지만 어제부터 현장점검에 들어갔다”며 “그 부분(원아이디·전자금융사고 여부) 확인되는 대로 검사여부를 판단해 적극적으로 진행하겠다”고 밝혔다.

송경희 개인정보보호위원장은 이날 보고에서 “유출 규모는 3370만개 회원 계정으로, 이름·이메일·전화번호·배송지·주문 정보 등이 포함된다”며 “배송지에는 가족·지인 주소와 연락처, 일부 공동현관 비밀번호까지 들어있다”고 설명했다.

다만 결제정보·카드번호 유출 여부에 대해선 “아직 확인되지 않았다”며 조사가 진행 중이라고 선을 그었다.

윤한홍 정무위 위원장은 “만약에 (결제정보가) 유출됐다면 3370만명의 신용카드가 중국에서 다 분실된 것과 똑같은 효과”라고 경고했다.

박대준 쿠팡 대표이사가 3일 서울 여의도 국회에서 열린 정무위원회의 쿠팡 개인정보 유출 관련 현안질의에서 의원 질의를 듣고 있다. ⓒ뉴시스

보이스피싱·스미싱 등 2차 피해 우려는 이미 현실화 단계로 접어든 분위기다. 금감원 집계 기준 보이스피싱 피해액은 2023년 4400억원, 2024년 8500억원에서 올해(1~10월) 1조원을 넘겼다.

김승원 민주당 의원은 “SK텔레콤 개인정보 유출 등이 보이스피싱 피해 급증 원인으로 보인다”며 “쿠팡발 3370만 개인정보 유출은 ‘광복 후 최대 피해’라 당연히 2차 피해가 올 것으로 예상된다”고 꼬집었다.

쿠팡 유출 여파, G마켓까지 번져…전자상거래 보안 전선 흔들

쿠팡 개인정보 유출 사태에 대한 2차 피해 가능성을 높게 점치는 가운데, G마켓에서 간편결제 서비스 ‘스마일페이’ 등록 카드로 모바일 상품권이 무단 결제되는 사고까지 발생하면서 전자금융업계 보안 리스크는 전방위로 번지고 있다.

지마켓 회원 60여명은 지난달 29일 1인당 수만원에서 최대 20만원 규모의 모바일 상품권이 본인 모르게 결제됐다며 피해 사실을 금융감독원에 신고했다.

금감원은 3일 G마켓 본사를 대상으로 현장 점검에 착수해 계정 정보 도용 여부, 간편결제 인증·이상거래 탐지 체계 등을 들여다보고 있다.

G마켓 측은 해킹 흔적은 없고 개인의 명의도용 사고로 추정된다는 입장이다. 해당 주장에 따르면 무단 결제에 사용된 간편결제 비밀번호 등의 유출 경로가 핵심 쟁점이 될 것으로 보인다.

황석진 동국대 국제정보보호대학원 교수는 “쿠팡 개인정보 유출과 G마켓 무단 결제사고 연관성은 약간 낮아보인다. 결제하는 방법에서 차이가 있기 때문”이라며 “쿠팡은 밀어서 결제하는 방식이고 G마켓의 경우 스마일 페이 비밀번호를 입력하게 돼 있다”고 설명했다.

다만 로그인 정보를 다른 웹사이트에 무작위로 대입해 로그인해 정보를 유출하는 크리덴셜 스터핑(credential stuffing) 가능성은 배제할 수 없다고 했다.

황 교수는 “아이디와 패스워드를 동일하게 쓰는 이들이 상당히 많다”며 “다른 경로를 통해 정보를 수집했거나 G마켓을 직접 공격해 결제 정보를 탈취했을 가능성도 있다”고 했다.

보이스피싱 2차 피해에 대해서는 우려를 표했다. 그는 “다크웹에 거래되는 개인정보는 최신성이 떨어지는 데 비해 이번에 유출된 정보는 주소는 물론이고 최근 5번 거래이력도 같이 탈취돼 ‘맞춤형 보이스피싱’의 타겟이 될 가능성이 상당히 높다”고 지적했다.