쿠팡 유출 당일 G마켓도 피해
60여명 금감원에 집단 신고
이커머스 전방위 보안 위기
쿠팡의 3370만건 개인정보 유출 사태가 채 가라앉기도 전에 이번에는 G마켓에서 간편결제 무단결제 사고가 터졌다.
3일 금융당국과 유통업계에 따르면 금융감독원은 지난달 29일 발생한 G마켓 무단결제 사고에 대해 긴급 현장점검에 착수했다.
피해는 G마켓의 간편결제 서비스인 스마일페이에 등록된 카드로 모바일 기프트 상품권이 결제되는 방식으로 발생했다. 개인별 피해액은 3만원에서 20만원 수준으로 파악됐다.
주목되는 점은 사고 발생 시점이다. 쿠팡이 대규모 정보 유출을 공지한 날과 G마켓 무단결제 사고가 같은 날 발생하면서 두 사건의 연관 가능성이 제기되고 있다.
🗳 의견을 들려주세요
계속되는 개인정보 사고, 누구의 문제인가?
해킹이냐 도용이냐
G마켓 측은 내부망 해킹은 아니라고 주장한다. 외부에서 유출된 계정 정보로 무작위 로그인이 시도돼 결제가 이뤄진 것으로 파악했다는 설명이다.
그러나 간편결제 비밀번호까지 입력된 정황에 대해서는 유출 경로 확인이 필요하다는 입장이다. 금감원 관계자는 업체 측 주장처럼 해킹이 아닌 도용 사고인지 여부를 확인 중이라고 밝혔다.
업계는 다중 플랫폼에서 동일한 비밀번호를 사용하는 이용자 특성상 출처 특정이 쉽지 않다고 지적한다. 쿠팡에서 유출된 정보와 다른 경로로 유출된 비밀번호가 결합돼 악용됐을 가능성도 배제할 수 없다는 것이다.
전방위 보안 점검 나선 업계
쿠팡 사태 이후 이커머스 업계 전반에 비상이 걸렸다. 쿠팡은 연간 860억원을 보안에 투자하는 업계 최고 수준의 보안 체계를 갖췄음에도 3370만건의 대규모 유출을 막지 못했다.
이에 11번가는 365일 24시간 보안관제전문서비스를 통해 침해 위협을 모니터링 중이라고 밝혔다. 컬리는 결제 승인에 필요한 최소한의 마스킹된 정보만 보관해 전체 결제정보가 한 번에 노출되는 일을 방지하고 있다고 강조했다.
SSG닷컴과 롯데온도 각각 긴급 보안점검을 실시했으며 추가 점검 계획을 수립 중이다. G마켓 역시 스마일페이 본인인증 절차를 강화하는 등 긴급 보안 조치를 시행했다.
과징금 폭탄과 규제 강화
금융당국은 이번 G마켓 사고가 단순 정보유출을 넘어 다른 금융 서비스로 확산하는 연쇄 위험을 포함할 수 있다고 우려한다.
통관번호와 배송지, 주문내역이 함께 노출될 경우 맞춤형 피싱 수법으로 악용될 소지가 크다는 지적이다.
업계는 쿠팡이 최대 1조원대 과징금을 부과받을 수 있다는 전망에 긴장하고 있다. 2023년 개정된 개인정보보호법은 법 위반 시 매출액의 3%까지 과징금을 부과할 수 있도록 규정하고 있다.
한편 국회 정무위원회는 지난달 27일 개인 간 플랫폼의 개인 판매자 정보 수집 범위를 대통령령에 위임하는 전자상거래법 개정안을 통과시켰다.
대규모 해킹 사고가 잇따르는 상황에서 개인정보 수집 범위를 오히려 넓히는 것 아니냐는 지적이 나온다.
보안 전문가들은 서비스 제공에 필수적이지 않은 정보는 처음부터 수집하지 않는 것이 최선의 보호 조치라고 조언한다. 수집 정보가 많을수록 유출 시 피해 규모가 커질 수 있기 때문이다.
