[앵커]
쿠팡이 두 차례나 받았다는 정보보호 국가 인증, 왜 유명무실했는지 그리고 소비자의 2차 피해를 막으려면 어떻게 해야 하는지까지 신유만 기자와 따져보겠습니다. 신 기자, 쿠팡이 받았다는 정보보호 국가인증이란 게 뭡니까?

[기자]
정부가 시행하는 국내 유일의 정보보호 관련 통합 인증체계입니다. ISMS-P라는 이름이고요, 과학기술정보통신부와 개인정보보호위원회가 관리합니다. 그런데 역설적으로 SKT, 롯데카드, KT, 쿠팡까지 이 인증을 받은 기업들에서 개인정보가 줄줄이 털렸습니다. 해킹 공격 고도화와 내부 통제 실패 속에 인증이 단지 '법적 의무를 다했다'는 면피용으로 전락했다는 비판이 나옵니다.

[앵커]
그런데 우리는 기업이 보안 인증 받았다고 하면 믿고 소비를 하지 않습니까? 인증 제도도 문제 있는 거 아닌가요?

[기자]
그렇습니다. 문제는 이 심사가 특정 시점의 보안 상태만을 점검하는 방식이라는 데 있습니다. 현행 ISMS-P는 인증 유효기간이 3년인데, 최초 심사 이후 1년에 한 번씩 사후 심사를 합니다. 심사 기간에만 보안 수준을 높였다가 이후 관리가 소홀해질 수 있다는 거죠. 이번에 문제가 된 퇴사자 권한 관리 항목도 ISMS-P 인증 심사 사항이었습니다.

김승주 / 고려대 정보보호대학원 교수
"쿠팡 같은 경우도 ISMS-P 인증에 퇴직자에 대한 관리 항목이 있는데 그게 제대로 안 지켜졌다 이렇게 볼 수 있죠. 제도의 운영, 관리가 부실했다…."

[앵커]
이번에 유출된 고객 정보에는 어떤 것들이 있습니까?

[기자]
고객의 이름, 이메일, 집 주소와 주문 정보 등입니다. 내가 보낸 배송지, 그러니까 친구나 가족의 정보도 포함됐을 수 있습니다. 해외 직구를 할 때 쓰는 개인 고유 통관부호가 새어나갔을 수 있다는 우려도 나옵니다. 피싱범들이 이전의 다른 개인정보 유출 사고 때 얻은 정보와 이번에 얻은 정보를 활용해 나머지 인적 정보를 조합할 가능성도 배제할 수 없습니다.

곽진 / 아주대 사이버보안학과 교수
"쿠팡 정보, KT 정보, 그다음에 롯데카드 정보를 매핑을 하면은 누군가를 특정지을 수가 있겠죠. 타겟형 피싱이라든가 스미싱이라든가 하는 형태로 공격이 더 진화가 될 수도 있을 것이고…."

[앵커]
내가 하지 않은 접속 기록이 있다, 이런 문제도 있다던데요?

[기자]
실제로 내 쿠팡 계정에 '알 수 없는 사용자'가 접속한 것으로 확인된다는 제보가 잇따르고 있습니다. 나는 아이폰을 쓰는데 안드로이드폰 접속 기록이 찍혀 있었다는 사례도 있습니다. 갑자기 국제 전화가 와서 "쿠팡에서 10만 원이 결제됐다"는 AI음성이 흘러나온 사례도 보고됐습니다. 쿠팡 측은 일단 이번 유출과 무관하다는 입장을 냈는데, 아직까지 누가 왜 이런 짓을 하는지는 밝혀지지 않았습니다.

[앵커]
2차 피해를 막기 위해서 소비자들은 어떻게 해야 합니까?

[기자]
많은 분들이 같은 비밀번호를 이 사이트 저 사이트에 쓰시는데요, 이번 일을 계기로 바꾸시는 게 좋겠습니다. 관세청 전자통관시스템 홈페이지에 들어가면 개인통관부호도 재발급받을 수 있습니다. 유출된 정보를 기반으로 보이스피싱이나 스미싱 연락이 올 수도 있으니 모르는 번호에서 온 전화나 문자에는 답변하지 않는 등 주의를 기울여야 합니다.

[앵커]
'인증'이라는 게 국가기관이 품질을 증명한다는 거 아닙니까? 쿠팡은 물론이고, 정부도 책임지고 문제 해결에 적극적으로 나서길 바랍니다. 신 기자, 잘 들었습니다.