쿠팡에서 고객 4500명의 개인정보가 유출, 논란이 확산되고 있는 가운데 쿠팡이 개인정보 유출 사실을 12일 동안 몰랐던 것으로 드러나 쿠팡의 개인정보 관리 부실이 도마 위에 오르고 있다.
21일 국회 과학기술정보방송통신위원회 최민희 위원장이 한국인터넷진흥원(KISA)으로부터 제출받은 침해사고 신고서에 따르면 쿠팡은 지난 6일 오후 6시 38분 자사 계정 정보에 대한 무단 접근이 발생했다고 보고했다.
그러나 쿠팡이 정작 침해 사실을 인지한 시점은 12일이 지난 18일 오후 10시 52분으로 기록돼 있다.
정보통신망법에 따르면 사업자는 침해사고를 인지하면 24시간 이내 당국에 신고해야 한다. 쿠팡은 지난 20일 개인정보보호위원회에 개인정보 노출 사고를 신고했으며 고객들에게 "18일 고객 개인정보가 비인가 조회된 것으로 확인됐다. 조회된 정보는 이름, 이메일 주소, 배송지 주소록, 최근 5건의 주문 정보로 확인했다"고 밝혔다.
이에 쿠팡이 침해를 당하고도 열흘 넘게 파악하지 못했을 뿐 아니라 고객에게도 정확한 유출 시점을 제대로 알리지 않았다는 비판이 제기되고 있다.
현재 과학기술정보통신부와 KISA, 개인정보보호위원회는 쿠팡의 신고를 토대로 유출 경위와 피해 여부를 조사하고 있다.
한편 쿠팡은 신고서에 "유효한 인증 없이 4536개의 계정 프로필에 접근한 기록이 발견됐다. 초기 조사 결과 서명된 액세스 토큰을 악용, 접근한 것으로 추정된다"고 기재했다.
또한 "각 계정 프로필에 대한 엑세스 기록에 최근 5건의 주문 이력과 고객의 배송 주소록(이름, 전화번호, 배송주소)이 포함돼 있다"며 "무단 접근에 사용된 토큰의 취득 경로를 조사하고 있으며 해당 토큰 서명 키 정보는 모두 폐기됐다"고 설명했다.
그러면서 "추가 접근 시도에 대비, 탐지 규칙을 강화하고 모니터링을 확대했다"고 밝혔다.
