쿠팡이 1인당 5만원 상당의 이용권을 제시하는 내용의 보상안을 내놨다. "전례없는 수준의 보상"이라는 자화자찬식 평가도 있었다. 과연 쿠팡 보상안은 적절한 수준일까.
보안업계에 따르면 개인정보 탈취는 마치 반도체·바이오 산업처럼 단계별로 전문화된 조직에 의해 수행된다. 우선 해커가 목표로 한 기관·조직의 정보를 탈취하기 전에 IAB(초기 침투권한 중개자)들이 미리 해당 기관·기업의 시스템에 구멍을 뚫어둔다. 이 구멍에 대한 접근권을 사들인 해커들은 시스템에 침투해 악성코드를 심고 자신들이 목표로 하는 정보를 빼낸다.
이렇게 탈취된 정보들은 다크웹에 개설된 불법 채널 등을 통해 유통된다. 이를 구입한 이들이 스미싱·피싱 등 사기 행각 등에 개인정보를 활용한다. 한번 활용된 개인정보는 폐기되지 않고 추후 다른 공격을 위해 재활용된다. 다른 정보들과 결합된 형태로 다시 다크웹 시장에 풀리기도 한다.
개인정보들은 얼마에 팔릴까. 글로벌 보안기업 딥스트라이크가 지난해 8월 발표한 '다크웹 데이터 가격 구조 2025 – 탈취된 데이터 및 서비스의 실제 비용' 보고서에 따르면 이름과 이메일과 같은 기본적인 개인 식별 정보는 상대적으로 저렴하다.
미국인 기준으로 우리나라의 주민등록번호와 같은 사회보장 번호 정보(SSN)는 1달러(약 1450원)에서 6달러(약 8700원) 정도, 비싸야 15달러(약 2만2000원)에 불과하다. 이같은 개인정보가 너무 많이 유통되다보니 값이 떨어졌다.
반면 여기에 생년월일 등의 정보가 더해지면 그 가치는 20달러(약 2만9000원)에서 100달러(약 14만5000원)로 값이 껑충 뛴다. 의료기록은 500달러(약 72만5000원) 이상 수준에 거래된다고 한다. 개인식별 코드와 함께 병력 기록까지 포함돼 있어 훨씬 정교한 사기 행위에 악용될 수 있어서다.
지난해 11월 쿠팡 발표에 따르면 쿠팡에서 유출된 개인정보는 이름, 전화번호, 이메일 주소, 배송지 주소, 주소록에 등재된 이름·전화번호 등 타인의 개인정보, 주문내역 등을 아우른다. 최운호 서강대 교수는 쿠팡에서 유출된 정보를 악용할 경우 "'최근 주문하신 상품 배송이 지연됐다'는 등 목적이 분명한 접근이 가능해진다"며 "실제 고객센터 직원인지 사기범인지 구분하기 쉽지 않은 조건이 된 것"이라고 했다.
이름과 전화번호, 실제 주소 등 정보까지 결합된 정보가 최고 100달러 수준에 거래되는 상황에서 쿠팡이 제시한 보상안은 35달러 수준에 그친다. 쿠팡의 보상안에 다수 소비자들이 분노하는 것도 납득이 된다. 개인정보가 범죄 시장에서 평가받는 가치보다 기업의 보상수준이 더 낮다는 것은 결국 쿠팡이 생각하는 고객에 대한 책임도 그 정도에 불과하다는 뜻으로 이해되기 때문이다.
독자들의 PICK!
쿠팡 사태가 불거진지 벌써 두 달이 지났지만 사태 정리까지는 더 시간이 걸릴 전망이다. 고객정보 유출 건수에 대해서도 쿠팡과 당국간 의견차가 큰 데다 쿠팡이 민관합동조사단의 조사에 제대로 응하지 않기 때문이라는 지적도 나온다. 새해에는 보다 명확한 사태 규명과 그에 근거한 합당한 책임 부과가 결정되길 기대해본다.
