국내 온라인 환경에서 계정 탈취와 피싱 공격이 동시에 부각되며 보안 관리의 허점이 재차 논의되고 있다. 최근 쿠팡 이용자 계정 무단 접근 사례가 잇따라 제기된 가운데, 기업 임직원을 노린 ‘성과 보고서’ 위장 악성코드까지 발견되며 공격 방식이 일상적인 업무와 생활 영역으로 깊숙이 파고들고 있다. 과거 시스템 취약점을 노린 침해와 달리, 최근 위협은 이용자의 습관과 심리를 정교하게 겨냥하는 양상이다. 연말연시를 앞두고 기업과 개인 모두의 보안 대응 전략을 재점검해야 한다는 목소리가 커지고 있다.
최근 쿠팡을 둘러싼 계정 탈취 논란은 대형 플랫폼 이용자도 보안 위협에서 자유롭지 않다는 점을 재차 확인시켰다. 일부 이용자들은 본인 동의 없이 로그인 기록이 생성되거나 개인정보가 변경됐다고 주장했으며, 보안 업계에서는 대규모 시스템 해킹보다는 피싱이나 악성코드 등을 통한 자격 증명 탈취, 비밀번호 재사용 가능성에 무게를 두고 있다. 실제로 해외 전자상거래 업계에서도 유사한 계정 탈취 사례 상당수가 플랫폼 내부 취약점이 아닌, 외부에서 유출된 계정 정보의 재사용에서 비롯된 것으로 분석돼 왔다.
이와 맞물려 보안 업계가 주목한 사례가 안랩이 최근 공개한 연말 피싱 공격이다. 공격자는 기업 인사팀을 사칭해 ‘직원 성과 보고서’라는 제목의 메일을 발송했고, 첨부파일을 열어보도록 유도하는 문구로 수신자의 불안과 호기심을 자극했다. 해당 파일은 PDF 문서처럼 보이도록 위장됐지만, 실제로는 확장자가 숨겨진 압축 파일이었고 내부에는 실행 파일이 포함돼 있었다. 이를 실행하면 PC 화면과 키 입력 수집, 웹캠과 마이크 접근, 브라우저 저장 정보 탈취 등 원격 제어 악성코드가 작동하는 구조였다.
이번 사례가 주목받는 이유는 기술적으로 새로운 공격이어서가 아니다. 오히려 오래전부터 알려진 수법이 연말 인사 평가라는 시기적 특성과 결합되며 재차 효과를 발휘했다는 점이 핵심이다. 연말연시에는 조직 개편, 성과급, 연봉 협상 등 민감한 사안이 집중되면서, 업무 메일에 대한 경계심이 상대적으로 낮아지는 경향이 있다. 공격자들은 이러한 흐름을 정밀하게 분석해 ‘익숙한 발신자, 자연스러운 제목, 실제 업무와 닮은 내용’이라는 조합으로 클릭을 유도하고 있다.
전문가들은 쿠팡 계정 탈취 논란과 이번 피싱 사례의 공통점으로 ‘신뢰 기반 디지털 환경의 취약성’을 지적한다. 사용자는 플랫폼이나 사내 시스템 자체를 신뢰하는 경향이 강해, 로그인 정보 입력이나 파일 실행에 대한 판단을 빠르게 내린다. 그러나 공격자는 이 신뢰를 우회 경로로 삼아 계정을 탈취하거나 악성코드를 설치한다. 특히 동일한 비밀번호를 여러 서비스에서 사용하는 경우, 하나의 계정 유출이 연쇄 피해로 이어질 가능성이 크다.
이에 따라 온라인 보안의 개선 방향도 점차 구체화되고 있다. 기업 차원에서는 메일 보안 솔루션 강화와 함께 발신자 도메인 검증, 첨부파일 자동 실행 차단, 의심 메일 신고 체계 구축이 기본 과제로 꼽힌다. 여기에 임직원을 대상으로 한 정기적인 모의 피싱 훈련과 사고 공유 문화가 병행돼야 한다는 의견도 많다. 개인 이용자 역시 주요 플랫폼 계정에 대해 2단계 인증을 설정하고, 서비스별로 다른 비밀번호를 사용하는 습관이 필요하다는 지적이 반복된다.
쿠팡 계정 탈취 논란과 연말 피싱 공격 사례는 온라인 보안이 더 이상 특정 기업이나 IT 부서의 문제가 아니라는 점을 보여준다. 일상적인 쇼핑, 업무 메일, 내부 보고서 확인 과정까지 공격의 통로가 되는 환경에서, 보안은 기술이 아니라 생활 방식의 문제로 확장되고 있다. 연말을 앞둔 지금, 디지털 환경 전반에 대한 경계와 점검이 요구되는 이유다.