자라 쇼핑했다면 지금 바로 확인하세요 — 19만 명 고객정보 유출

 

지난주에 친구가 갑자기 카톡을 보내왔어요. "나 자라에서 뭔가 이상한 이메일 받았는데, 이거 진짜야?" 하고요. 처음엔 그냥 스팸이겠지 싶었는데, 알고 보니 진짜로 자라 고객 정보가 대규모로 유출된 사건이 터진 거였어요. 친구가 자라 온라인 쇼핑몰 회원이었거든요.

솔직히 저도 처음엔 "설마 그 자라?"라고 했어요. 전 세계에 매장이 있는 그 유명한 패션 브랜드 말이에요. 근데 맞아요, 그 자라가 맞아요. 그리고 우리나라도 자라 매장 진짜 많잖아요. 온라인 쇼핑도 많이 하고요. 이게 남 얘기가 아닐 수 있다는 생각, 저만 한 건 아닐 거예요.

도대체 무슨 일이 있었던 거예요?

이번 사건의 주인공은 샤이니헌터스(ShinyHunters)라는 해킹 그룹이에요. 이름이 귀엽게 들릴 수 있는데, 이 그룹은 진짜로 전 세계 대형 기업들을 상대로 해킹을 일삼는 악명 높은 집단이에요. 과거에도 마이크로소프트, 티켓마스터 같은 대기업들의 데이터를 털어서 다크웹에 팔아넘긴 전력이 있거든요.

이번에는 자라 고객 약 19만 7천 명의 개인정보를 빼냈다고 주장하면서, 자라 측이 요구에 응하지 않으면 이 정보를 공개하겠다고 협박하고 있는 상황이에요. 유출된 정보에는 이름, 이메일 주소, 전화번호, 배송 주소 같은 것들이 포함돼 있다고 해요. 쇼핑몰에서 물건 살 때 입력하는 바로 그 정보들이요.

근데 이게 왜 이렇게 위험하냐면

"그냥 이름이랑 전화번호 정도 아냐? 별거 아닌 거 아니에요?"라고 생각하실 수 있어요. 저도 처음엔 그랬거든요. 근데 사실 이 조합이 생각보다 훨씬 무서워요.

이름 + 전화번호 + 이메일 + 집 주소, 이게 한 세트로 묶이면 스피어 피싱(특정 개인을 노리고 맞춤형으로 속이는 사기 수법)에 딱 맞는 재료가 돼요. 그냥 무작위로 뿌리는 스팸이 아니라, "OO 고객님, 지난번에 구매하신 상품 관련해서 환불 처리 중입니다"처럼 나를 아는 척하면서 접근하는 거예요. 이러면 진짜인 줄 알고 속기 딱 좋아요.

게다가 많은 분들이 여러 사이트에 같은 비밀번호를 쓰시잖아요. 솔직히 저도 예전엔 그랬어요. 만약 이메일이랑 비밀번호 조합이 노출되면, 다른 사이트에도 로그인 시도를 해보는 크리덴셜 스터핑(유출된 아이디·비밀번호로 다른 사이트에 자동으로 로그인 시도하는 공격)이 바로 시작돼요. 은행, 쇼핑몰, 포털 사이트까지 연쇄적으로 털릴 수 있는 거예요.

이런 식으로 당할 수 있어요 — 실제 시나리오

예를 들어볼게요. 어느 날 문자가 와요. "자라 고객님, 이전 주문 건 배송 오류로 재발송 처리 예정입니다. 아래 링크에서 주소 확인 부탁드립니다." 링크를 누르면 자라 공식 홈페이지랑 거의 똑같이 생긴 가짜 사이트가 열려요.

거기서 이름이랑 주소를 "확인"하라고 하면서 로그인을 유도해요. 이미 내 이름과 전화번호를 알고 있으니까 진짜처럼 느껴지는 거예요. 로그인하는 순간 아이디랑 비밀번호가 고스란히 해커한테 넘어가요. 이게 웃긴 게, 이 전체 과정이 2~3분이면 끝나요.

혹은 더 직접적으로 "자라 멤버십 포인트 소멸 예정, 지금 신용카드 정보 입력하고 포인트 현금화하세요" 같은 문자가 올 수도 있어요. 진짜 내 정보를 알고 있으니까 의심이 덜 가는 거죠.

그래서 지금 당장 뭘 해야 하냐고요?

막막하게 느껴질 수 있는데, 사실 지금 바로 할 수 있는 것들이 있어요. 어렵지 않아요, 진짜로요.

첫째, 자라 계정 비밀번호를 지금 당장 바꿔요. 자라 온라인몰 또는 앱에 로그인해서 비밀번호를 새로운 걸로 바꾸는 거예요. 특히 다른 사이트에서도 같은 비밀번호를 쓰고 있었다면, 그 사이트들도 다 바꿔야 해요.

둘째, 이메일과 네이버·카카오 같은 주요 계정에 2단계 인증을 켜요. 2단계 인증은 로그인할 때 비밀번호 외에 문자나 앱으로 한 번 더 확인하는 기능이에요. 비밀번호가 털려도 이게 있으면 로그인을 막을 수 있어요. 설정 → 보안 메뉴에 보통 있어요.

셋째, 모르는 번호로 온 링크는 절대 누르지 않아요. 아무리 내 이름을 알고, 아무리 공식처럼 보여도요. 링크 대신 직접 공식 앱이나 사이트에 들어가서 확인하는 습관을 들이는 게 진짜 중요해요.

넷째, 내 정보가 유출됐는지 확인해볼 수 있어요. haveibeenpwned.com이라는 사이트에 이메일 주소를 입력하면, 그 이메일이 과거에 어떤 유출 사건에 포함됐는지 확인할 수 있어요. 영어 사이트지만 이메일만 입력하면 되니까 어렵지 않아요.

다섯째, 의심스러운 문자나 전화는 신고해요. 한국인터넷진흥원(KISA) 118에 전화하거나, 문자 내용을 캡처해서 신고할 수 있어요. 나 혼자 당하고 넘어가면 다음 피해자가 생기거든요.

자주 묻는 질문 (FAQ)

Q: 저는 자라 앱은 없고 오프라인 매장만 가는데, 저도 해당되나요?

A: 오프라인 매장에서 멤버십 카드나 영수증 발급을 위해 개인정보를 입력한 적이 있다면 해당될 수 있어요. 자라 온라인 회원이 아니더라도 매장에서 정보를 남긴 경우가 있거든요. 일단 자라 공식 앱이나 홈페이지에서 내 계정 존재 여부를 확인해보는 게 좋아요.

Q: 이미 개인정보가 유출됐으면 이제 어떻게 해도 소용없는 거 아닌가요?

A: 유출 자체를 되돌릴 순 없지만, 피해를 막는 건 지금부터 시작이에요. 비밀번호를 바꾸고, 2단계 인증을 켜고, 의심스러운 연락에 반응하지 않는 것만으로도 실제 피해로 이어지는 걸 막을 수 있어요. 문이 열렸다고 도둑이 들어온 건 아니니까, 지금이라도 자물쇠를 더 튼튼하게 거는 게 중요해요.

Q: 자라 측에서 공식 안내나 보상을 받을 수 있나요?

A: 현재 자라 측의 공식 입장이나 피해 보상 절차는 명확하게 발표되지 않은 상황이에요. 자라 공식 홈페이지와 고객센터를 통해 관련 공지가 나오는지 계속 확인하는 게 좋아요. 개인정보 침해가 의심된다면 개인정보보호위원회(privacy.go.kr)에 신고하거나 상담을 요청하는 방법도 있어요.

마지막으로 하고 싶은 말

이런 뉴스를 보면 진짜 무기력해지는 느낌이 들어요. 내가 잘못한 것도 없는데 왜 내 정보가 돌아다니냐고요. 근데 사실 이건 내 잘못이 아니에요. 기업이 제대로 지켜주지 못한 거고, 해커들이 나쁜 거예요.

그래도 우리가 할 수 있는 게 있어요. 비밀번호 바꾸고, 2단계 인증 켜고, 의심스러운 링크 안 누르는 것. 이 세 가지만 지금 바로 해도 달라져요. 거창한 보안 전문가가 될 필요 없어요. 그냥 오늘 딱 10분만 투자해요.

이 글 보고 생각나는 사람 있으면 카톡으로 링크 공유해줘요. 요즘 이런 거 모르면 진짜 당하거든요. 우리 주변 사람들 같이 지켜요 😊

 

원문 보기