사고 발생 열흘 동안 사고 인지 못해…유출 시점도 미보고
“해킹사태 은폐 방지법, 징벌적 과징금 도입해야”
 |
| (사진= 제공) |
[알파경제=김영택 기자] 온라인 쇼핑 플랫폼 쿠팡에서 약 4,500여 명의 고객 개인정보가 유출되는 사고가 발생했으나, 사고 발생 후 열흘이 지나서야 이를 인지한 것으로 드러나 논란이 일고 있습니다.
22일 국회 과학기술정보방송통신위원회 소속 최민희 의원실에 따르면, 쿠팡(김범석 의장)은 지난 6일 오후 6시 38분경 자사 계정 정보에 대한 무단 접근이 발생했다고 보고했습니다.
하지만, 침해 사실을 인지한 시점은 12일이 지난 18일 오후 10시 52분으로 기록되었습니다.
쿠팡은 신고서에서 "유효한 인증 없이 4,536개의 계정 프로필에 접근한 기록이 발견됐다"며, "초기 조사 결과 서명된 액세스 토큰을 악용해 접근한 것으로 추정된다"고 밝혔습니다.
또한, 각 계정 프로필에 대한 접근 기록에는 최근 5건의 주문 이력과 고객의 배송 주소록(이름, 전화번호, 배송주소)이 포함되어 있다고 명시했습니다.
쿠팡은 무단 접근에 사용된 토큰의 취득 경로를 조사 중이며, 해당 토큰 서명 키 정보는 모두 폐기했다고 전했습니다.
추가적인 접근 시도에 대비해 탐지 규칙을 강화하고 모니터링을 확대했다고 덧붙였습니다.
 |
| 쿠팡 피해 사고 신고서. (사진=최민희 의원실 제공) |
◇ 사고 발생 열흘 동안 사고 인지 못해…유출 시점도 미보고
앞서 쿠팡은 지난 20일 오후, 피해 고객들에게 "11월 18일, 고객님의 개인정보가 비인가 조회된 것으로 확인됐다"는 내용의 문자 메시지를 발송하여 정보 노출 사실을 알렸습니다.
당시 쿠팡은 조회된 정보가 이름, 이메일 주소, 배송지 주소록(전화번호·주소), 최근 5건의 주문 정보라고 공지했습니다.
또한, 해당 활동을 탐지한 후 제3자가 사용했던 접근 경로를 차단했으며, 지금까지 조회된 정보를 이용한 사례는 확인되지 않았다고 밝혔습니다.
쿠팡은 고객 결제 정보에 대한 접근은 없었으며 안전하게 보호되고 있다고 강조하면서도, 쿠팡을 사칭하는 전화와 문자에 주의해 줄 것을 당부했습니다.
정보통신망법은 사업자가 침해사고를 알게 된 때로부터 24시간 이내에 당국에 신고하도록 규정하고 있습니다.
쿠팡은 사고 인지 시점으로부터 24시간이 지난 19일 오후 9시 35분에 KISA에 신고하여 법정 기한을 넘기지는 않았습니다.
그러나 사고 발생 후 열흘이 넘도록 이를 파악하지 못했을 뿐 아니라 고객에게도 정확한 유출 시점을 제대로 알리지 않았다는 비판에 직면했습니다.
 |
| (사진=연합뉴스) |
◇ “해킹사태 은폐 방지법, 징벌적 과징금 도입해야”
현행법상 해킹 침해 사실을 축소하거나 자료 제출을 거부하더라도 처벌이 과태료 부과에 그쳐 실효성 있는 제재가 필요하다는 지적이 제기됩니다.
최근 통신 3사의 해킹 사태와 관련해서도 일부 기업이 데이터 유출 사실을 인지하고도 기술적으로 해킹 발견이 어렵다는 이유로 신고하지 않은 사례가 드러나기도 했습니다.
통상 해킹 사고의 경우 발생 직후 24시간에서 48시간까지를 '골든타임'으로 보며, 이 기간에 서버 로그, 접근, 유출 경로 등을 파악해야 피해 확산을 예방하고 증거를 보존할 수 있습니다.
이에 정부는 올해 10월, 해킹 정황을 확보한 경우 기업의 신고 없이도 정부가 현장 조사를 할 수 있도록 조사 권한을 확대하는 방안을 포함한 대책을 발표했습니다.
또한, 해킹 신고를 미루거나 재발 방지 대책을 이행하지 않는 등 보안 의무를 위반할 경우 과태료나 과징금을 상향하고 징벌적 과징금을 도입하도록 했습니다.
국회에서도 해킹 사실을 은폐한 사업자에 대해 징벌적 과징금을 부과할 수 있도록 하는 '해킹 사태 은폐 방지법'이 발의된 바 있습니다.
알파경제 김영택 기자(sitory0103@alphabiz.co.kr)
