[3줄 요약]
1. 여러 정보 조합해 개인 생활 패턴 유추해 정밀 타깃
2. 다른 사이트 결제정보 등과도 결합해 정보 주인 특정 가능
3. 암호화 확대 추진 등 대책 마련 필요
[보안뉴스 강현주 기자] 유출된 쿠팡 이용자 3370만명의 개인정보에 ‘결제정보’는 포함되지 않으니 안심해도 될까? 개별 정보만으로는 괜찮을 수 있지만 문제는 ‘정보 조합’이다. 각 개인의 주의 필요성과 함께, 암호화 대상 확대 필요성 등이 제기된다.
2일 정보보호 전문가들은 이번 쿠팡 사고로 유출된 정보들이 △고도화된 지능형 피싱 △건강이력 등 민감한 정보 유추 △타사 유출 결제정보 등을 결합해 데이터 주인을 특정하는 ‘재식별 공격’ 등에 악용될 위험이 있다고 경고한다.
▲쿠팡 이용자 3370명의 개인정보가 유출됐다. [자료: 연합]
생활 패턴·가족구성원 등 파악... 정밀 타깃 위험
이번 사고로 유출된 정보는 이름, 전화번호, 주소, 이메일, 일부 주문 내역이다. 신용카드 등 결제정보나 로그인 정보는 노출되지 않았다는 게 쿠팡 설명이다.
하지만 이 정보들을 조합하면 개인을 정밀하게 겨냥한 피싱 시도가 가능하고, 또 다른 회사에서 털린 정보와도 매칭될 가능성이 있어 결제 정보까지 엮일 위험이 있다.
이름과 연락처, 주소 유출만으로도 그 자체로 물리적 위험 가능성이 있다. 이 같은 정보들은 꼭 쿠팡이 아니더라도 다양한 생활 서비스들을 통해 이미 여기저기 노출돼 있다는 점도 틀린말은 아니다. 하지만 이번 사고를 통해 ‘일부 주문 내역’도 함께 빠져나갔다는 점에서 위험성이 더욱 증폭된다.
이용자 주문 내역을 악용해 평소 자주 주문하던 물품의 택배 배송을 가장한 스미싱이나 보이스피싱 범죄 시도 등이 가능하다. 반복적으로 주문하던 물품이 도착했다는 연락을 받으면 쉽게 믿고 문을 열어주거나, 문자에 포함된 악성코드 링크를 클릭할 수 있다.
나아가 정밀하게 타깃팅된 피싱을 설계할 수도 있다. 정기적으로 주문하는 물품들을 분석해보면 생활 패턴과 가족 구성원, 소득 수준 등까지 유추할 수 있기 때문이다. 가령 기저귀 등을 정기적으로 주문하는 이용자라면 육아 중일 가능성이 높다는 정보를 얻을 수 있다.
또 구매 이력을 통해 더 민감한 개인 정보를 유추해낼 수 있다. 반복적으로 구매하는 특정 증상과 관련된 영양제 등을 통해 이용자의 건강 관련 수요를 추정하는 식이다.
보안 분야 한 전문가는 “소비자들은 모르는 번호로 온 택배 관련 문자의 URL 클릭을 주의해야 한다”며 “특히 구매 이력이 있는 물품의 도착이나 재배송, 리콜, 교환 등을 가장하며 문을 열어달라는 전화나 문자를 의심해야 한다”고 조언했다.
결제정보 결합 가능성도... ‘암호화’ 강화 목소리
이들 정보가 다른 곳에서 유출된 정보들과 결합된다면 위험성은 더 커진다. 가령 다른 사이트에서 신용카드 번호와 이메일이 노출됐다면, 이번 쿠팡 사고로 노출된 정보들과 조합해 결국 결제 정보까지도 구체적 인물에 특정지을 수 있게 된다. 이는 개별 데이터만으로는 누구의 것인지 알 수 없지만 여러 데이터를 조합해 특정이 가능한 ‘재식별 공격’에 해당한다.
한국개인정보보호책임자협의회장을 맡고 있는 염흥열 순천향대학교 명예교수는 “쿠팡 사고를 통해 이름과 주소, 이메일, 전화번호뿐 아니라 구매패턴과 선호도를 확인할 수 있다”며 “그 자체로도 위험하지만, 다른 곳에서 유출된 정보들과 신용카드 번호와 이메일 등 정보와 결합하면 누구의 것인지 특정할 수 있게 돼 더욱 위험해진다”고 말했다.
정부도 쿠팡 사고로 정부가 유출된 이용자들에게 스미싱, 보이스피싱 등 2차 피해에 각별한 주의를 거듭 당부하고 있다.
하지만 개인의 주의만으로는 범죄의 근본적 예방이 어렵다. 이에 따라 보안 전문가들 사이에서는 ‘암호화’ 대상 정보의 확대가 필요하다는 목소리가 나온다. 쿠팡에서 이번에 유출된 정보들은 법적으로 민감 정보나 결제정보에 직접적으로 해당하지 않는다. 이에 많은 기업들이 이름과 연락처, 주문내역 등 고객 개인 정보를 암호화하지 않고 있다.
염 교수는 “암호화를 통해 보안을 강화한다면, 암호화 의무 대상이 아닌 정보를 암호화한 기업에게 사고가 생겼을 때 과징금 감경 등의 인센티브를 주는 동기부여책 등 정책적 지원이 필요할 것”이라고 말했다.
[강현주 기자(jjoo@boannews.com)]
1. 여러 정보 조합해 개인 생활 패턴 유추해 정밀 타깃
2. 다른 사이트 결제정보 등과도 결합해 정보 주인 특정 가능
3. 암호화 확대 추진 등 대책 마련 필요
[보안뉴스 강현주 기자] 유출된 쿠팡 이용자 3370만명의 개인정보에 ‘결제정보’는 포함되지 않으니 안심해도 될까? 개별 정보만으로는 괜찮을 수 있지만 문제는 ‘정보 조합’이다. 각 개인의 주의 필요성과 함께, 암호화 대상 확대 필요성 등이 제기된다.
2일 정보보호 전문가들은 이번 쿠팡 사고로 유출된 정보들이 △고도화된 지능형 피싱 △건강이력 등 민감한 정보 유추 △타사 유출 결제정보 등을 결합해 데이터 주인을 특정하는 ‘재식별 공격’ 등에 악용될 위험이 있다고 경고한다.
▲쿠팡 이용자 3370명의 개인정보가 유출됐다. [자료: 연합]
생활 패턴·가족구성원 등 파악... 정밀 타깃 위험
이번 사고로 유출된 정보는 이름, 전화번호, 주소, 이메일, 일부 주문 내역이다. 신용카드 등 결제정보나 로그인 정보는 노출되지 않았다는 게 쿠팡 설명이다.
하지만 이 정보들을 조합하면 개인을 정밀하게 겨냥한 피싱 시도가 가능하고, 또 다른 회사에서 털린 정보와도 매칭될 가능성이 있어 결제 정보까지 엮일 위험이 있다.
이름과 연락처, 주소 유출만으로도 그 자체로 물리적 위험 가능성이 있다. 이 같은 정보들은 꼭 쿠팡이 아니더라도 다양한 생활 서비스들을 통해 이미 여기저기 노출돼 있다는 점도 틀린말은 아니다. 하지만 이번 사고를 통해 ‘일부 주문 내역’도 함께 빠져나갔다는 점에서 위험성이 더욱 증폭된다.
이용자 주문 내역을 악용해 평소 자주 주문하던 물품의 택배 배송을 가장한 스미싱이나 보이스피싱 범죄 시도 등이 가능하다. 반복적으로 주문하던 물품이 도착했다는 연락을 받으면 쉽게 믿고 문을 열어주거나, 문자에 포함된 악성코드 링크를 클릭할 수 있다.
나아가 정밀하게 타깃팅된 피싱을 설계할 수도 있다. 정기적으로 주문하는 물품들을 분석해보면 생활 패턴과 가족 구성원, 소득 수준 등까지 유추할 수 있기 때문이다. 가령 기저귀 등을 정기적으로 주문하는 이용자라면 육아 중일 가능성이 높다는 정보를 얻을 수 있다.
또 구매 이력을 통해 더 민감한 개인 정보를 유추해낼 수 있다. 반복적으로 구매하는 특정 증상과 관련된 영양제 등을 통해 이용자의 건강 관련 수요를 추정하는 식이다.
보안 분야 한 전문가는 “소비자들은 모르는 번호로 온 택배 관련 문자의 URL 클릭을 주의해야 한다”며 “특히 구매 이력이 있는 물품의 도착이나 재배송, 리콜, 교환 등을 가장하며 문을 열어달라는 전화나 문자를 의심해야 한다”고 조언했다.
결제정보 결합 가능성도... ‘암호화’ 강화 목소리
이들 정보가 다른 곳에서 유출된 정보들과 결합된다면 위험성은 더 커진다. 가령 다른 사이트에서 신용카드 번호와 이메일이 노출됐다면, 이번 쿠팡 사고로 노출된 정보들과 조합해 결국 결제 정보까지도 구체적 인물에 특정지을 수 있게 된다. 이는 개별 데이터만으로는 누구의 것인지 알 수 없지만 여러 데이터를 조합해 특정이 가능한 ‘재식별 공격’에 해당한다.
한국개인정보보호책임자협의회장을 맡고 있는 염흥열 순천향대학교 명예교수는 “쿠팡 사고를 통해 이름과 주소, 이메일, 전화번호뿐 아니라 구매패턴과 선호도를 확인할 수 있다”며 “그 자체로도 위험하지만, 다른 곳에서 유출된 정보들과 신용카드 번호와 이메일 등 정보와 결합하면 누구의 것인지 특정할 수 있게 돼 더욱 위험해진다”고 말했다.
정부도 쿠팡 사고로 정부가 유출된 이용자들에게 스미싱, 보이스피싱 등 2차 피해에 각별한 주의를 거듭 당부하고 있다.
하지만 개인의 주의만으로는 범죄의 근본적 예방이 어렵다. 이에 따라 보안 전문가들 사이에서는 ‘암호화’ 대상 정보의 확대가 필요하다는 목소리가 나온다. 쿠팡에서 이번에 유출된 정보들은 법적으로 민감 정보나 결제정보에 직접적으로 해당하지 않는다. 이에 많은 기업들이 이름과 연락처, 주문내역 등 고객 개인 정보를 암호화하지 않고 있다.
염 교수는 “암호화를 통해 보안을 강화한다면, 암호화 의무 대상이 아닌 정보를 암호화한 기업에게 사고가 생겼을 때 과징금 감경 등의 인센티브를 주는 동기부여책 등 정책적 지원이 필요할 것”이라고 말했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
