"쿠팡 털렸는데 SNS 비번 바꾸라고?…2차 피해 당하지 않으려면

[서울=뉴시스]이주영 기자 = 쿠팡에서 3370만명 분에 달하는 개인정보가 유출되는 사고가 발생한 가운데, 이용자들이 크게 불안해 하고 있다. 쇼핑몰 이용자의 이름·전화번호·주소·이메일 등 구체적인 신상정보가 유출된 만큼 추가 피해 발생 가능성에 대비해야 한다는 것이 보안 당국과 전문가들의 조언이다. 당장 2차 피해를 예방하기 위해선 어떻게 해야 할까.

전문가들은 무엇보다 쿠팡 아이디와 비밀번호를 쓰는 인터넷 계정의 경우 비밀번호를 지체없이 바꿀 것을 권고하고 있다.

쿠팡은 로그인 정보와 신용카드 번호 및 결제정보는 유출정보에 포함되지 않고 있다고 밝혔지만, 민관합동조사단의 정밀 조사 결과가 나올 때까지는 로그인 정보 유출 가능성도 배제할 수 없다는 설명이다.

이에 따라 네이버, 카카오, 페이스북, 인스타그램 등 포털·소셜네트워크서비스(SNS)는 물론 학교나 직장 웹사이트 등 자신이 가입한 웹사이트 중 쿠팡과 동일한 아이디와 비밀번호를 쓰는 이용자는 이를 바꿔야 한다.

최근 해커들 사이에서 유출된 사용자 아이디와 비밀번호를 다른 웹사이트에서 자동으로 로그인해 계정을 탈취하는 이른바 '크리덴셜 스터핑(Credential Stuffing)' 공격이 유행하고 있다. 방법은 단순하지만 매우 효과적이어서 많은 공격자들이 애용한다.

일반적인 이용자들이 편의상 여러 웹사이트에서 동일한 아이디와 비밀번호를 쓰고 있다는 점을 악용한 사이버 공격이다. SNS와 중고거래 사이트, 커뮤니티 서비스 등 여러 사이트 계정이 한꺼번에 해킹될 수 있다.  SNS나 포털 계정이 해킹돼 스팸 홍보 계정으로 활용되는 경우가 이런 사례다.

이 같은 유형의 공격을 예방하기 위해선 비밀번호를 자주 변경하는 것도 중요하지만 기기 인증과 SMS 인증 또는 지문·얼굴 등 생체 인식이 가능한 2차 인증을 생활화해야 한다고 전문가들은 충고한다. 비밀번호를 주기적으로 변경하고 개인만의 비밀번호 생성 규칙을 2~3개 정도를 만들어 각 사이트 별로 다르게 설정하는 것도 적절한 보안 대책이다.

쿠팡 이용자의 배송지 주소, 구매 이력과 같은 민감한 개인정보가 유출되면서 불특정 다수에게 무작위로 스미싱·보이스피싱을 시도하던 기존 방식과 달리 정교화된 스미싱·보이스피싱 범죄가 성행할 것이란 우려도 나온다.

문자 메시지로 '구매 물품 오배송' '배송 주소 불일치' '주소 확인' '반품 주소 입력' 등의 내용과 함께 출처가 불분명한 인터넷 링크가 수신되는 경우가 이에 해당한다. 이용자는 자신이 실제 구매한 물품이 맞고 집 주소가 일치하기 때문에 의심 없이 해당 링크에 접속할 수 있기 때문이다.

정부 기관이나 피해 보상 기업을 사칭해 '피해 보상' '피해 사실 조회' 등의 문구로 스미싱을 유포하거나 보이스피싱을 시도할 가능성도 있다. 법원 등기 서류 등 공문서 발송 여부를 확인한다며 링크 접속이나 앱 설치를 유도하는 방식도 마찬가지다.

2차 피해를 막기 위해서는 구체적인 정보가 포함된 문자가 오더라도 확인되지 않은 링크가 포함돼 있거나 앱 설치를 유도하는 등 의심스러운 정황이 보이면 클릭하지 않고 즉시 삭제하거나 신고해야 한다.

전화번호, 아이디, 비밀번호 등 개인정보는 검증된 사이트에만 입력하고 인증번호는 모바일 결제로 이어질 수 있으므로 한 번 더 확인하는 습관이 필요하다.

스미싱·피싱사이트인지는 카카오톡 '보호나라' 채널에서 '스미싱·피싱 확인서비스'에서 판별할 수 있다. 보이스피싱통합신고대응센터에서 '스미싱 문자메세지 차단 신고하기' 기능을 이용하는 방법도 있다. 휴대전화 자체에서 스팸으로 신고해도 된다.

악성 앱에 감염됐거나 피싱사이트에 개인 정보를 입력해서 모바일 결제 등 피해가 발생한 경우, 통신사 고객센터를 통해 결제 내역을 확인하고 소액결제확인서를 발급해 관할 경찰서 사이버수사대에 신고해야 한다. 악성 앱이 설치된 휴대전화로 금융서비스를 이용했다면 기존에 설치된 공인인증서를 폐기하고 재발급받아야 한다.


◎공감언론 뉴시스 [email protected]