[ⓒ픽사베이]

[디지털데일리 김보민기자] 연말 연초를 기점으로 개인정보 유출 사고가 잇따르고 있다. 유출 주체 기업은 내부 보안조치를 완료했다는 입장이지만, 2차 피해에 대한 우려가 불거지며 사용자와 고객 간 불안이 커지는 분위기다.

7일 보안업계에 따르면 뉴스레터 서비스 스티비는 이날 카카오톡 안내를 통해 최근 발생한 개인정보 유출에 대한 사과문을 발송했다 이번 사과문은 지난해 12월 스티비가 피해 고객에 전달한 안내문과 동일한 내용을 담고 있다.

스티비는 지난달 17일 해킹 공격으로 인해 고객 이름, 이메일 주소, 암호화된 비밀번호를 유출하는 사고를 겪었다. 일부 스티비 회원의 경우 신용정보가 침해된 것으로 확인됐다. 스티비 측은 "긴급 보안 점검을 실시해 시스템 취약점 보완 및 강화 조치를 완료했고, 유출된 신용정보에 대해서는 금융기관의 이상금융거래탐지시스템(FDS)을 통해 실시간 모니터링 되고 있다"고 설명했다. 불법 접근 경로를 차단하고, 2단계 인증을 일괄 적용했다고도 밝혔다.

스티비는 개인정보 유출 피해 사실을 접수하고, 피해 보상 등 구제 절차를 진행하겠다는 입장 또한 밝혔다. 다만 이번 개인정보 유출과 관련해 사과문을 전달받은 고객에 따르면, 현시점 기준 보상 대책과 관련해 연락이 오지 않은 상태다.

올 초에도 개인정보 유출 사고가 이어졌다. 전날 GS리테일은 지난달 27일부터 이달 4일까지 웹사이트 해킹 공격이 발생해 고객 개인정보 일부를 유출했다고 밝혔다. 유출된 개인정보는 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등 7개 항목으로 규모로 보면 9만건에 해당한다.

GS리테일 또한 내부 보안조치를 끝냈다는 입장이다. GS리테일 측은 피해 고객을 대상으로 "해킹 사실을 인지한 뒤 관련 인터넷프로토콜(IP)와 공격 패턴을 차단하고, 고객 계정이 로그인할 수 없도록 잠금 처리했다"고 밝혔다. 이어 "개인정보가 표시된 페이지 또한 확인할 수 없도록 폐쇄조치를 했다"고 말했다.

기업뿐만 아니라, 교육 산업에서도 유출 사고가 일어났다. 대표적으로 한국예술종합학교(이하 한예종)는 지난달 29일 안내 및 사과문을 통해 "(학사행정시스템) 누리시스템에 있는 졸업생 등의 개인정보가 유출됐다"고 밝혔다. IP 및 공격 패턴 차단, 패스워드 2차 인증 도입 등 보안 조치를 완료했다고도 부연했다.

유출 주체들은 이러한 개인정보 유출 사실을 알리며 공통적으로 '비밀번호를 바꿔라'는 내용의 안내문을 전달했다. 스티비의 경우, 서비스 결제에 사용한 카드를 재발급하라고도 안내했다. 공격자가 유출된 정보를 악용해 2차 공격을 가할 가능성을 사전에 배제하자는 취지인데 일각에서는 피해 사용자와 고객에게 불안과 부담이 지우고 있다는 목소리가 나온다.

스티비 서비스를 사용해왔다고 밝힌 한 고객기업 관계자는 "뉴스레터 서비스를 제공하는 사업자라면 스티비를 한 번쯤은 써봤거나 들어봤을 것"이라며 "다른 서비스의 경우 1인 창작자 혹은 크리에이터용으로 여겨지고 있어, 기업용 스티비에 대한 선호도가 높다"고 말했다. 이어 "안내에 따라 결제 카드 재발급 등을 신청했으나, 추가적인 피해가 없을지 지켜보는 중"이라고 밝혔다. GS리테일 유출과 관련해서도 온라인 커뮤니티에서 "비밀번호를 변경하려 했더니 통합 아이디 시스템이 없어 (계열사별) 개별 변경이 필요하더라" 등의 반응이 이어졌다.

개인정보 유출에 따른 2차 피해는 금전적, 비금전적 유형으로 나뉜다. 금전적 영역의 경우 온라인 사기 쇼핑에 주민등록번호, 카드번호, 유효기간 등이 악용되는 경우가 있다. 이름, 주소, 주민등록번호, 전화번호를 활용해 명의 도용을 통한 통신서비스 가입, 신용카드 복제, 스미싱 공격을 가하는 사례도 있다. 금융기관 사칭 메시지를 받은 피해자가 인터넷주소(URL)를 누르면 악성코드에 감염돼 소액결제 피해과 개인 및 금융정보를 또다시 탈취 당하는 3차 피해도 일어날 수 있다.

비금전적 영역에서는 사회 공학적 기법을 활용해 악성코드 유포메일을 발송하는 경우가 빈번하다. 해커는 특정 대상을 목표로 스팸, 피싱 시도용 첨부파일이 포함돼 있거나 연결을 유도하는 URL을 넣어 이메일을 발송하는 공격 기법을 사용하고 있다. 수신자들이 URL과 첨부파일을 누르면, 해커는 수신자 PC 등 기기를 장악해 정보를 빼갈 수 있다.

한편 유출 주체 기업들은 이번 사고와 관련해 추가적인 피해가 발생하지 않았다는 입장이다.