쿠팡에서 고객 4500여명의 이름과 이메일 등 개인정보가 노출되는 사고가 발생했다. 쿠팡은 20일 고객들에게 "18일 고객 개인정보가 비인가 조회된 것으로 확인됐다"며 "조회된 정보는 이름, 이메일 주소, 배송지 주소록(전화번호·주소), 최근 5건의 주문 정보로 확인했다"고 공지했다. 사진은 21일 서울 시내 쿠팡 차량 차고지. 연합뉴스

쿠팡이 고객 4500여명의 개인정보가 유출된 침해사고가 발생하고도 열흘 넘게 이를 알아채지 못한 것으로 드러났다.

21일 연합뉴스 등에 따르면 국회 과학기술정보방송통신위원장 최민희 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 침해사고 신고서에서 쿠팡은 지난 6일 오후 6시 38분 자사 계정 정보에 대한 무단 접근이 발생했다고 보고한 것으로 나타났다. 그러나 침해 사실을 인지한 시점은 12일이 지난 18일 오후 10시 52분으로 기록돼 있다. 쿠팡은 신고서에 "유효한 인증 없이 4536개의 계정 프로필에 접근한 기록이 발견됐다"며 "초기 조사 결과 서명된 액세스 토큰을 악용해 접근한 것으로 추정된다"고 기재했다. 또 "각 계정 프로필에 대한 엑세스 기록에 최근 5건의 주문 이력 및 고객의 배송 주소록(이름, 전화번호, 배송주소)이 포함돼있다"고 했다. 그러면서 무단 접근에 사용된 토큰의 취득 경로를 조사 중이며, 해당 토큰 서명 키 정보는 모두 폐기됐다고 밝혔다. 추가적인 접근 시도에 대비해 탐지 규칙을 강화하고 모니터링을 확대했다고도 설명했다.

앞서 쿠팡은 전날인 20일 오후 피해 고객들에게 "11월 18일, 고객님의 개인정보가 비인가 조회된 것으로 확인됐다"고 문자메시지를 보내 노출 사실을 알렸다. 당시 쿠팡은 "조회된 정보는 이름, 이메일 주소, 배송지 주소록(전화번호·주소), 최근 5건의 주문 정보로 확인했다"고 공지했다. 이어 "해당 활동을 탐지한 뒤 제3자가 사용했던 접근 경로를 차단했고 지금까지 조회한 정보를 이용한 사례는 확인되지 않았다"고 밝혔다. 쿠팡은 "고객 결제와 관련한 정보에 대한 접근은 없었으며 보호되고 있다"면서도 "쿠팡을 사칭하는 전화와 문자 등에 각별한 주의를 부탁드린다"고 밝혔다. 그러나 쿠팡이 침해를 당하고도 열흘 넘게 이를 파악하지 못했을 뿐 아니라 고객에게도 정확한 유출 시점을 제대로 알리지 않았다는 비판이 나온다. 정보통신망법은 사업자가 침해사고를 알게 된 때부터 24시간 이내 당국에 신고하도록 규정한다. 다만 쿠팡은 이튿날인 19일 오후 9시 35분 신고해 기한을 넘기지는 않았다.

한편, 현행법상 해킹 침해 사실을 축소하거나 자료 제출을 거부하더라도 처벌은 과태료 부과에 그쳐 실효성 있는 제재가 필요하다는 지적이 제기된다. 최근 잇달아 발생한 통신 3사 해킹 사태와 관련해 일부 기업은 자사가 보유한 데이터가 유출됐음에도 기술적으로 해킹을 발견하지 못했다는 이유로 신고하지 않은 사실이 드러나기도 했다. 지난 4월 SK텔레콤 유심 정보 해킹 사태 당시에는 사고를 인지한 뒤 만 하루가 지난 시점 KISA에 침해 사실을 신고했다. 불법 기지국으로 인한 무단 소액결제가 발생한 KT 역시 이러한 '24시간 룰'을 어기고 약 3일이 지난 시점에 KISA에 서버 침해 흔적과 의심 정황을 보고했다. 통상 해킹 사고의 경우 발생 직후 24시간에서 48시간까지가 '골든타임'으로 이 기간에 서버 로그, 접근, 유출 경로 등을 파악해야 피해 확산을 예방하고 증거를 보존할 수 있다.

이와 관련해 정부는 올해 10월 해킹 정황을 확보한 경우 기업의 신고 없이 현장 조사할 수 있도록 정부의 조사 권한을 확대하는 방안이 포함된 대책을 내놓았다. 또 해킹 신고를 미루거나 재발 방지 대책을 이행하지 않는 등 보안 의무를 위반하면 과태료나 과징금을 상향하고 징벌적 과징금을 도입하도록 했다. 국회에서도 해킹 사실을 은폐한 사업자에 대해 징벌적 과징금을 부과할 수 있도록 하는 '해킹 사태 은폐 방지법'이 발의되기도 했다.

성규환 부산닷컴 기자 bastion@busan.com