쿠팡, 개인정보 유출 12일간 몰랐다… 4500명 정보 노출

사진은 8일 서울 송파구 쿠팡 본사의 모습. /뉴스1

쿠팡이 고객 4500여명의 개인정보가 유출된 침해사고가 발생하고도 열흘 이상 이를 인지하지 못한 것으로 알려졌다. 실제 유출 시점과 고객에게 알린 날짜가 달라 정확한 정보 제공에도 허점이 있었다는 비판이 제기된다.

21일 국회 과학기술정보방송통신위원장 최민희 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 침해사고 신고서에 따르면, 쿠팡은 6일 오후 6시 38분 자사 계정 정보에 대한 무단 접근이 발생했다고 보고했다. 그러나 쿠팡이 이 사실을 인지한 시점은 12일 뒤인 18일 오후 10시 52분으로 기록돼 있다.

쿠팡은 18일 피해 고객들에게 문자메시지를 보내 “11월 18일 개인정보가 비인가 조회된 것으로 확인됐다”고 통지했다. 실제 침해는 6일에 발생했음에도 내부 탐지와 고객 안내 모두 열흘가량 늦어진 셈이다. 이 때문에 기본적인 이상 탐지 체계가 제대로 작동하지 않았다는 지적이 나온다.

다만 정보통신망법은 사업자가 침해 사실을 알게 된 때부터 24시간 이내 신고하도록 규정한다. 쿠팡은 19일 오후 9시 35분 당국에 신고해 법적 기한은 지켰다.

신고서에 따르면 쿠팡은 “유효한 인증 없이 4536개 계정 프로필에 접근한 기록이 발견됐다”고 밝혔다. 초기 조사 결과 서명된 액세스 토큰이 악용된 것으로 추정된다. 무단 접근된 계정 프로필에는 최근 5건의 주문 이력과 이름·전화번호·주소 등 배송 주소록 정보가 포함됐던 것으로 파악된다.

쿠팡은 문제가 된 토큰의 취득 경로를 조사 중이며, 토큰 서명 키를 모두 폐기하고 탐지 규칙을 강화했다고 설명했다. 현재 과학기술정보통신부와 KISA, 개인정보보호위원회가 유출 경위와 실제 피해 규모 등을 조사하고 있다.

전문가들은 “침해 발생 후 열흘 동안 탐지하지 못했다는 것은 구조적 보안 관리 미비를 드러낸 것”이라며 “대형 플랫폼의 인증·모니터링 체계를 전면적으로 재점검할 필요가 있다”고 지적했다.

- Copyright ⓒ 조선비즈 & Chosun.com -