최근 국내 최대 이커머스 플랫폼으로 꼽히는 쿠팡에서 대규모 회원정보가 유출됐다. 최근 통신사, 카드사 등에서 개인정보 유출 사고가 반복되고 있지만, 쿠팡 사례는 규모나 영향력 면에서 엄중하다. 대형 온라인 플랫폼이라 하더라도 보안 위협에서 결코 자유로울 수 없음을 보여주는 경고다.
포털이나 쇼핑 플랫폼 등을 이용하는 사용자 대부분은 여러 플랫폼에서 유사한 아이디와 비밀번호 조합을 반복적으로 사용한다. 가장 흔한 사이버 공격 기법인 '크리덴셜 스터핑'을 우려하는 것도 이 때문이다. 한 곳에서 유출된 정보가 다른 서비스의 계정 탈취로 이어지는 연쇄 피해가 충분히 발생할 수 있다는 얘기다.
국내 다수 기업은 여전히 보안 투자를 비용으로 판단하거나, 규제 준수에만 초점을 맞추는 경향이 있다. 시스템과 데이터 규모가 확대되는 속도에 비해 보안 체계를 고도화하는 속도가 따라가지 못하는 경우도 많다.
이상 징후를 실시간으로 탐지하는 모니터링 체계, 민감정보 암호화, 접근 통제 강화, 내부 로그 분석 체계 등 기본적인 보안 관리가 평소에도 충분히 작동해야 한다. 여기에 '기본적으로 신뢰할 엔티티는 없다'는 전제를 두고, 사용자·디바이스·애플리케이션마다 매 접속·매 트랜잭션 단위로 재검증을 수행하는 제로트러스트(Zero Trust) 보안 아키텍처로의 전환이 병행돼야 한다.
정보유출 사고에서 반복적으로 등장하는 문제는 사용자의 인증 습관이다. 비밀번호 재사용은 공격자에게 계정 탈취의 가장 쉬운 미끼를 제공한다. 이번 사건 역시 개별 플랫폼 차원의 보안 문제를 넘어, 사용자 인증 정보가 다른 서비스로 악용될 수 있다는 점에서 위험성이 크다. 다른 곳에서 유출된 계정 정보로 간편결제 무단결제나 사회관계망서비스(SNS) 사칭 피해가 발생할 가능성이 높다. 유출된 주소 정보는 스미싱·피싱 공격 대상이 될 수 있다. 로그인 패턴 역시 로그인 시도 우회 기술에 활용되는 등 2차, 3차 피해로 이어질 가능성이 충분하다.
공격 기술은 이미 자동화·대량화 단계로 넘어갔다. 한 곳에서 취약점이 발생하면 같은 계정 정보를 다수의 서비스에 기계적으로 시도하는 것은 더 이상 전문 해커의 영역이 아니다. 이미 누구나 손쉽게 시도 가능한 공격 도구들이 널리 이용되고 있다.
이번 쿠팡 사건은 플랫폼 사업자뿐 아니라 정부와 이용자까지 보안 의식의 균형적 재정립이 필요한 시점임을 시사한다. 플랫폼 기업은 인증 체계 다중화(MFA), 비밀번호 재사용 방지 정책, 실시간 위협 탐지 기술 도입, 사고 발생 시 투명한 공지 체계 등을 강화해야 한다. 여기에 서비스·네트워크·사용자 단위를 촘촘히 나눠 최소 권한만 부여하고, 요청이 들어올 때마다 신원을 재검증하는 제로트러스트 원칙 기반의 세분된 접근 통제와 지속적 검증 체계를 함께 구축해야 한다.
정부는 침해사고 통지 기준의 고도화, 사이버 위협 정보 공유 체계 확장, 보안 지원 정책 확대 등으로 산업 전반의 신뢰도를 높여야 한다. 특히 공공과 민간 전반에 적용할 수 있는 제로트러스트 보안 프레임워크를 표준화하고, 단계적 도입을 유도하는 중·장기 정책 로드맵을 제시할 필요가 있다. 사용자 역시 플랫폼별로 다른 비밀번호를 사용하는 등 계정과 비밀번호 관리를 강화하고, 피싱·스미싱에 대한 경각심을 갖는 등 스스로 생활 보안 수준을 높여야 한다.
정보유출을 완전히 차단하는 것은 현실적으로 불가능에 가깝다. 그러나 피해 규모를 최소화하는 것은 충분히 가능하다. 위협 자체를 없애는 것은 불가능하더라도, 각 주체가 보안에 대한 책임과 역할을 명확히 인식한다면 피해 확산을 크게 줄일 수 있다.
정보유출 사고는 한 기업의 문제가 아니라 디지털 생태계 전반의 신뢰성과 직결된 사안이다. 이번 사건이 플랫폼 사업자, 정부, 그리고 이용자 모두에게 보안 인식과 관리 체계를 점검하는 계기가 되기를 기대한다.
왕효근 스텔스솔루션 대표 whk0201@naver.com