쿠팡, 4500명 고객 정보 털리고도 12일간 몰랐다

쿠팡이 고객 4500여명의 개인 정보가 유출됐는데도 12일간 이를 알아채지 못한 것으로 나타났다. 잇따른 개인 정보 유출 사고에 이용자들의 불안감이 커지고 있는 상황에서 피해 고객들에게 정확한 유출 시점을 알리지 않아 심각성을 축소했다는 비판도 나온다.

21일 국회 과학기술정보방송통신위원장 최민희 의원실이 한국인터넷진흥원(KISA)에서 받은 침해 사고 신고서에 따르면, 쿠팡은 고객 정보에 무단 접근이 발생한 시점에 대해 지난 6일 오후 6시 38분으로 추정된다고 신고했다. 하지만 침해 사실을 인지한 시점은 18일 오후 10시 52분이라고 적었다. 무단 접근 사고가 발생하고도 12일이 지나서야 이를 인지했다는 것이다.

쿠팡에서 고객 4천500여명의 이름과 이메일 등 개인정보가 노출되는 사고가 발생했다. 쿠팡은 20일 고객들에게 "18일 고객 개인정보가 비인가 조회된 것으로 확인됐다"며 "조회된 정보는 이름, 이메일 주소, 배송지 주소록(전화번호·주소), 최근 5건의 주문 정보로 확인했다"고 공지했다. /연합뉴스

사건을 인지한 것도 고객의 민원 때문이었던 것으로 확인됐다. 김남근 더불어민주당 의원실에 따르면 쿠팡은 “개인정보가 유출됐다”는 고객 민원을 접수한 뒤 무단 접근 사실을 알게됐다.

쿠팡은 정보 유출 피해 고객들에게 “11월 18일 고객님의 개인 정보가 비인가 조회된 것으로 확인됐다”는 문자메시지를 보내 피해 사실을 알렸다. 하지만 여기서도 정확한 유출 시점을 밝히지 않아 12일간 사고 조치가 이뤄지지 않았다는 사실을 숨겼다는 비판이 나온다.

쿠팡이 침해 사고 신고를 한 시점은 다음 날인 지난 19일 오후 9시 35분이었다. 정보통신망법은 사업자가 침해 사고를 알게 된 때부터 24시간 이내 당국에 신고하도록 규정하고 있기 때문에 기한을 넘기지는 않았다.

쿠팡은 신고서에 “유효한 인증 없이 4536개 계정 프로필에 접근한 기록이 발견됐다”며 “초기 조사 결과 서명된 액세스 토큰을 악용해 접근한 것으로 추정된다”고 적었다. 서명된 액세스 토큰은 기존 로그인 사용자에게 발급되는 것으로, 쿠팡은 “현재까지 외부 침입 흔적은 발견하지 못했다”고 말했다. 최민희 위원장은 “침해 사고 사실을 12일간 알아채지 못했다는 것은 중대한 보안 관리 부실”이라고 말했다.

쿠팡에서는 과거에도 개인정보 유출 사고가 수차례 일어났다. 2023년엔 해커들이 쿠팡 고객의 개인정보 46만건을 탈취해 다크웹에서 거래했고, 쿠팡이츠 배달원 13만5000여명의 개인정보와 판매자 시스템에서 2만2000여명의 주문자 및 수취인 개인정보가 유출되기도 했다.