최근 3370만건 개인 정보 유출 사고가 발생한 쿠팡은 “현재까지 확인된 2차 피해는 없다”고 했다. 대규모 개인 정보 유출은 있었지만 민감한 정보는 아니어서 직접적인 피해 발생 가능성은 작다는 취지다. 하지만 보안 전문가들은 최근 해킹 트렌드와 AI(인공지능) 발달 속도를 감안하면 민감하지 않은 개인 정보도 심각한 2차 피해로 이어질 수 있다고 지적한다. 조각조각 유출된 개인 정보 퍼즐을 맞추면 범죄에 활용할 수 있을 정도의 개인 정보 그림을 완성할 수 있기 때문이다. 대규모 개인 정보 유출 책임은 기업과 기관에 있지만, 현실적인 피해 예방을 위해선 이용자 스스로 기본 보안 수칙을 철저히 지켜야 한다고 전문가들은 조언한다.
쿠팡은 이번에 유출된 정보가 고객 이름, 이메일 주소, 배송지 주소록(성명·전화번호·주소·공동현관 출입번호), 일부 주문 정보라고 밝혔다. 신용카드 정보나 비밀번호 등 로그인 정보는 유출되지 않았다는 설명이다. 그러나 최근 해커들은 탈취한 아이디와 비밀번호를 AI를 활용해 무작위로 집어넣어 계정 확인을 통해 심각한 개인 정보를 탈취하는 ‘크리덴셜 스터핑(도용 계정 대입 공격)’을 많이 사용하고 있다. 지난 8월 알려진 대기업 회장과 그룹 방탄소년단 정국 등 국내 재력가를 대상으로 한 해킹 사건 역시, 국제 해킹 조직이 정부·공공기관, IT 플랫폼 업체 등 22곳을 해킹해 빼낸 정보를 조합해 알뜰폰을 무단으로 개통하고 자금을 빼돌린 것으로 알려졌다.
박태환 안랩 시큐리티본부장은 “보통 1~3개 비밀번호를 여러 사이트에 반복 사용하는 경우가 많아 공격자들에게 가장 손쉬운 목표가 된다”며 “해커들이 사용하는 비밀번호 조합 사전(딕셔너리)은 이미 100억개를 넘겼다”고 설명했다. 박 본부장은 기억하기 쉽고 길게 만들 수 있는 ‘문장형 비밀번호’를 추천한다. 예컨대 좋아하는 노랫말이나 글귀를 한글 자판 배열에 맞춰 영어로 입력하거나 길이를 늘리는 방식이다. 해외 해커들이 예측하기 어려워 공격 난도가 높아진다는 설명이다. “쇼핑몰 계정은 ‘2@’, 게임 계정은 ‘3#’처럼 카테고리화해 앞부분에 특정 기호를 붙여 다수의 비밀번호를 관리하는 방법도 유용하다”고 조언했다.