쿠팡이 고객 4500여명의 개인정보가 노출된 침해사고 사실을 열흘 이상 지나 확인한 것으로 드러났다.
최민희 더불어민주당 의원실이 21일 공개한 한국인터넷진흥원(KISA)에 제출된 침해사고 신고서에 따르면 쿠팡은 지난 6일 오후 6시38분 자사 계정 정보에 대한 무단 접근이 발생했다고 보고했다.
침해 사실을 인지한 시점은 12일이 지난 18일 오후 10시52분으로 기록돼 있다. 쿠팡은 20일 피해 고객들에게 “11월18일 고객님의 개인정보가 비인가 조회된 것으로 확인됐다”고 문자메시지를 보냈다. 이에 침해 상황을 열흘 넘게 파악하지 못했고, 고객에게도 정확한 유출 시점을 전하지 않았다는 비판이 제기되고 있다.
다만 정보통신망법은 사업자가 침해 사고를 알게 된 때부터 24시간 안에 당국에 신고하도록 규정하고 있다. 쿠팡은 침해사고 신고서를 통해 개인정보 노출 경위를 설명했다.
쿠팡은 “유효한 인증 없이 4536개의 계정 프로필에 접근한 기록이 발견됐다”며 “초기 조사 결과 서명된 액세스 토큰을 악용해 접근한 것으로 추정된다”고 밝혔다. 또 “각 계정 프로필에 대한 액세스 기록에 최근 5건의 주문 이력과 고객 배송 주소록(이름·전화번호·배송주소)이 포함돼 있다”고 설명했다.
쿠팡은 무단 접근에 사용된 토큰의 취득 경로를 조사 중이며, 해당 토큰 서명 키 정보는 모두 폐기했다고 했다. 과학기술정보통신부와 KISA, 개인정보보호위원회는 쿠팡의 신고를 바탕으로 유출 경위를 살피고 있다.
