| ▲ (출처:알파경제 유튜브) |
[알파경제=영상제작국] 온라인 쇼핑 플랫폼 쿠팡에서 약 4,500여 명의 고객 개인정보가 유출되는 사고가 발생했으나, 사고 발생 후 열흘이 지나서야 이를 인지한 것으로 드러나 논란이 일고 있습니다.
국회 과학기술정보방송통신위원회 소속 최민희 의원실에 따르면, 쿠팡은 지난 6일 오후 6시 38분경 자사 계정 정보에 대한 무단 접근이 발생했다고 보고했습니다. 그러나 침해 사실을 인지한 시점은 12일이 지난 18일 오후 10시 52분으로 기록되었습니다.
쿠팡은 신고서에서 "유효한 인증 없이 4,536개의 계정 프로필에 접근한 기록이 발견됐다"며, "초기 조사 결과 서명된 액세스 토큰을 악용해 접근한 것으로 추정된다"고 밝혔습니다. 각 계정 프로필에는 최근 5건의 주문 이력과 고객의 배송 주소록(이름, 전화번호, 배송주소)이 포함되어 있다고 명시했습니다. 쿠팡은 무단 접근에 사용된 토큰의 취득 경로를 조사 중이며, 해당 토큰 서명 키 정보는 모두 폐기했다고 전했습니다.
쿠팡은 지난 20일 오후, 피해 고객들에게 "11월 18일, 고객님의 개인정보가 비인가 조회된 것으로 확인됐다"는 내용의 문자 메시지를 발송하여 정보 노출 사실을 알렸습니다. 당시 쿠팡은 조회된 정보가 이름, 이메일 주소, 배송지 주소록(전화번호·주소), 최근 5건의 주문 정보라고 공지했습니다. 또한, 해당 활동을 탐지한 후 제3자가 사용했던 접근 경로를 차단했으며, 지금까지 조회된 정보를 이용한 사례는 확인되지 않았다고 밝혔습니다.
정보통신망법은 사업자가 침해사고를 알게 된 때로부터 24시간 이내에 당국에 신고하도록 규정하고 있습니다. 쿠팡은 사고 인지 시점으로부터 24시간이 지난 19일 오후 9시 35분에 KISA에 신고하여 법정 기한을 넘기지는 않았습니다. 그러나 사고 발생 후 열흘이 넘도록 이를 파악하지 못했을 뿐 아니라 고객에게도 정확한 유출 시점을 제대로 알리지 않았다는 비판에 직면했습니다.
현행법상 해킹 침해 사실을 축소하거나 자료 제출을 거부하더라도 처벌이 과태료 부과에 그쳐 실효성 있는 제재가 필요하다는 지적이 제기됩니다. 통상 해킹 사고의 경우 발생 직후 24시간에서 48시간까지를 '골든타임'으로 보며, 이 기간에 서버 로그, 접근, 유출 경로 등을 파악해야 피해 확산을 예방하고 증거를 보존할 수 있습니다. 이에 정부는 올해 10월, 해킹 정황을 확보한 경우 기업의 신고 없이도 정부가 현장 조사를 할 수 있도록 조사 권한을 확대하는 방안을 포함한 대책을 발표했습니다.
알파경제 영상제작국 (press@alphabiz.co.kr)
