쿠팡 4500명 개인정보 털리고도 12일간 몰랐다

쿠팡로고

쿠팡이 고객 약 4500명의 개인정보가 유출된 사이버 침해 사고를 당하고도 열흘이 넘어서야 인지한 것으로 드러났다.

국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원이 21일 한국인터넷진흥원(KISA)로부터 제출받은 자료에 따르면, 쿠팡에서 고객정보가 유출된 비정상 접속은 지난 6일 오후 6시38분 처음 발생한 것으로 추정된다. 그러나 쿠팡이 이를 인지한 시점은 사고 발생 12일 만인 18일이었다.

쿠팡은 침해 사실을 파악한 다음날인 19일 KISA에 신고했고, 20일에는 정보 유출 피해 고객들에게 ‘통지 문자’를 보냈다.

쿠팡이 제출한 내부조사 자료에 따르면, 이번 사이버 공격에는 기존 로그인 사용자에게 발급되는 ‘서명된 액세스 토큰’이 악용된 것으로 추정된다. 해커는 이 토큰을 통해 최근 주문내역 5건과 이름, 전화번호, 배송주소 등이 포함된 4536건의 고객 프로필 계정에 접근한 것으로 보인다.

쿠팡은 무단 접근에 사용된 토큰의 취득 경로를 조사 중이며 해당 토큰 서명 키 정보 등은 모두 폐기한 것으로 알려졌다. 추가 접근 시도에 대응하기 위한 모니터링도 강화한 상태다.

과학기술정보통신부와 KISA, 개인정보보호위원회는 쿠팡의 신고를 토대로 유출 경위와 피해 규모 등을 조사 중이다.

송윤경 기자 kyung@kyunghyang.com