‘알 수 없는 기기로 로그인’ 시도 증언 이어져
“직원만 문제아냐”…보안 체계 이용자 신뢰↓

쿠팡에서 고객 계정 약 3370만 개가 무단으로 해킹되는 대규모 정보 유출 사고가 발생하며 소비자들의 불안이 커지고 있다. 사진은 1일 오전 서울 송파구의 쿠팡 본사 입주현황판과 쿠팡에서 고객들에게 보낸 개인정보 노출 통지 안내문이다. 임세준 기자

[헤럴드경제=차민주 기자] 쿠팡에서 대규모 개인정보 유출 사고가 일어난 가운데, 일부 이용자 사이에서 ‘알 수 없는 기기가 쿠팡 계정에 로그인하려는 시도가 있었다’는 주장이 이어지고 있다. 이같은 사례가 개인정보 유출과 연관성이 있는 것인지 명확히 밝혀지지 않았으나, 이용자들의 불안이 커지고 있다.

이번 쿠팡 사태로 개인정보가 유출된 계정은 3370만개에 달한다. 유출된 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문 정보다.

1일 사회관계망서비스(SNS)에는 ‘알 수 없는 기기가 쿠팡 계정 로그인을 시도한 흔적’을 발견했다는 게시글이 잇따라 올라오고 있다. 쿠팡 애플리케이션 내 ‘내 정보-보안 및 로그인’ 창에 들어가면 이용자가 쿠팡 계정으로 로그인한 흔적을 확인할 수 있는데, 이곳에 해당 기록이 남았다는 것이 이용자들의 주장이다.

또다른 쿠팡 이용자가 쿠팡 앱 내에서 지난 2월 시도된 ‘알 수 없는 기기’의 로그인을 확인한 모습 [스레드 캡처]

쿠팡 이용자 최모(28)씨는 “그간 한 번도 안드로이드 기반 기기를 사용해본 적 없이 아이폰만 써왔는데, 지난해 1월 안드로이드 기반 ‘Unknown(알 수 없음)’ 기기로 로그인 기록이 남아 있는 것을 확인했다”고 했다.

또 다른 쿠팡 이용자 홍모(28)씨는“지난 3월 ‘Unknown’ 기기로 알 수 없는 위치에서 로그인 기록이 남은 것을 확인했다”고 했다.

물론 이용자들이 주장한 해당 접속 시도와 이번 해킹 사태의 연관성은 아직 밝혀지지 않았다. 하지만 이번 사태로 혹시 발생할지 모를 2차 피해를 우려하는 불안감이 이용자 사이에서 확산하는 모양새다.

쿠팡의 개인정보 유출 사태의 원인은 전 중국인 직원이 고객 정보를 탈취한 것이 유력한 것으로 전해진다. 5개월 전인 지난 6월부터 고객 정보가 유출되고 있었지만 쿠팡은 이를 제대로 파악하지 못한 것으로 드러났다.

이 때문에 그 이전인 시기에 로그인 된 흔적에 대해서도 이용자들은 추가 우려를 쏟아내고 있다.

최 씨는 “쿠팡이 처음 공지한 유출 계정 숫자를 번복하는 것을 기점으로 신뢰가 완전히 사라졌다”며 “이제 그 어떤 기업도 믿을 수 없을 것 같다”고 호소했다.

한 쿠팡 이용자가 쿠팡 앱 내에서 지난 1월 시도된 ‘알 수 없는 기기’의 로그인을 확인한 모습 [스레드 캡처]

쿠팡의 보안 체계 관리 전반에 대한 지적도 이어진다. 최민희 국회 과학방송통신위원회 위원장이 쿠팡으로부터 제출 받은 자료에 따르면 쿠팡은 로그인 과정에서 갖춰야 하는 토큰 서명키의 유효 인증 기간과 관련해 “5~10년으로 설정하는 사례가 많은 것으로 알고 있다. 로테이션 기간이 길며, 키 종류에 따라 매우 다양하다”고 답변했다.

이에 최 의원은 “서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다”며 “장기 유효 인증키를 방치한 것은 단순 내부 직원의 일탈이 아니라, 인증 체계를 방치한 쿠팡의 구조적 문제”라고 비판했다.