쿠팡, 개인정보 유출 뒤 12일간 몰랐다…부실 통보 논란 확산

쿠팡에서 고객 4천500여명의 이름과 이메일 등 개인정보가 노출되는 사고가 발생했다. 쿠팡은 20일 고객들에게 "18일 고객 개인정보가 비인가 조회된 것으로 확인됐다"며 "조회된 정보는 이름, 이메일 주소, 배송지 주소록(전화번호·주소), 최근 5건의 주문 정보로 확인했다"고 공지했다. 사진은 21일 서울 시내 쿠팡 차량 차고지. 연합뉴스

쿠팡 고객 4천500여명의 개인정보가 무단 조회되는 사고가 발생하고도, 회사가 이를 12일 동안 전혀 인지하지 못한 것으로 확인됐다. 고객에게 알린 유출 시점 역시 실제와 달라 부실 통보 논란이 제기된다.

국회 과학기술정보방송통신위원장 최민희 의원실이 21일 한국인터넷진흥원(KISA)에서 받은 ‘침해사고 신고서’에 따르면, 쿠팡은 6일 오후 6시 38분에 계정 정보에 대한 비인가 접근이 이뤄졌다고 기록했다. 그러나 쿠팡이 이를 파악한 시점은 18일 오후 10시 52분, 무려 열흘이 넘게 지난 뒤였다.

쿠팡은 19일(전날) 피해 고객들에게 “11월 18일 개인정보가 비인가 조회된 사실이 확인됐다”고 문자 메시지를 보냈다. 실제 침해 발생일(6일)과 12일의 차이가 존재하지만, 고객 안내에는 정확한 시점이 반영되지 않았다.

정보통신망법은 사업자가 침해 사실을 알게 된 때부터 24시간 내 당국 신고를 의무화하고 있다. 쿠팡은 파악한 다음날인 19일 오후 9시 35분에 신고해 법적 기한은 넘기지 않았다.

신고서에서 쿠팡은 “서명된 액세스 토큰이 악용된 것으로 추정된다”며 “유효 인증 없이 총 4천536개 계정 프로필에 접근한 기록이 확인됐다”고 설명했다. 노출된 정보에는 최근 주문 이력 5건과 고객 이름·전화번호·배송 주소 등이 포함돼 있었다.

쿠팡은 문제의 토큰 서명키는 전량 폐기했다고 밝히며, 추가 침해를 막기 위해 탐지 규칙을 강화하고 모니터링 범위를 확대했다고 밝혔다.

현재 과학기술정보통신부, KISA, 개인정보보호위원회가 쿠팡의 신고 내용을 토대로 침해 경위와 실제 피해 규모 등을 조사 중이다.

이성훈 기자 lllk1@kyeonggi.com