배송지까지 털렸다…쿠팡 개인정보 해킹, 통보는 '늑장'
또 늑장대응? 쿠팡 해킹사고, 12일 지나서야 알았다
유출 정보에 이름·주소·주문 내역 포함...피해 고객 통보 시점도 불명확
재발 방지 조치엔 '뒤늦은 사후약방문'
온라인 쇼핑 플랫폼 쿠팡에서 약 4,500여 명의 고객 개인정보가 외부에 무단 노출된 사실이 뒤늦게 드러났다.
특히 유출 사고가 발생한 후 열흘이 지나서야 이를 인지한 것으로 확인되면서, 기업의 보안 관리·사고 대응 체계가 도마 위에 올랐다.
22일 국회 과학기술정보방송통신위원회 소속 최민희 의원실에 따르면, 쿠팡은 이달 6일 오후 6시 38분경 자사 계정 정보에 대한 비인가 접근이 발생했다고 보고했다. 그러나 침해 사실을 실제로 파악한 시점은 그로부터 12일이 지난 18일 오후 10시 52분으로 기록됐다.
쿠팡은 KISA(한국인터넷진흥원)에 제출한 신고서에서 “유효한 인증 없이 4,536개 계정 프로필에 접근한 기록이 확인됐다”며 “초기 조사 결과, 서명된 액세스 토큰을 악용한 무단 접근으로 추정된다”고 설명했다. 접근된 프로필에는 최근 5건의 주문 이력과 고객의 배송 주소록(이름·전화번호·주소)이 포함돼 있다.
쿠팡은 문제의 토큰 취득 경로를 조사 중이며, 관련 서명 키 정보는 모두 폐기했다고 밝혔다. 또한 재발 방지를 위해 탐지 규칙을 강화하고 모니터링을 확대했다고 설명했다.
![쿠팡 피해 사고 신고서[출처=최민희 의원실]](https://cdn.ppss.kr/news/photo/202511/275749_87584_3643.jpg)
쿠팡은 지난 20일 피해 고객들에게 문자메시지를 통해 “11월 18일 개인정보가 비인가 조회된 것으로 확인됐다”고 알리며 정보 유출 사실을 공지했다. 유출된 정보는 이름, 이메일 주소, 배송지 주소록, 최근 주문 정보 등으로 안내됐다. 다만 쿠팡은 “결제 정보는 접근되지 않았으며 안전하게 보호되고 있다”고 강조했다.
◇ 사고 발생 후 ‘10여 일간 미인지’… 고객 통지 시점도 불명확
문제는 쿠팡이 실제 해킹이 발생한 6일 이후 10여일 동안 이를 파악하지 못했고, 고객에게도 정확한 유출 발생 시점을 명확히 밝히지 않았다는 비판이 제기되고 있다는 점이다.
현행 정보통신망법은 사업자가 침해사고를 ‘인지한 시점’부터 24시간 이내에 신고하도록 규정한다. 쿠팡은 인지 시점 기준 24시간 내인 19일 오후 9시 35분에 KISA에 신고해 법적 기한을 넘기지는 않았다. 그러나 사고 인지 자체가 너무 늦어 사실상 ‘골든타임’을 놓쳤다는 지적이 나오고 있다.
업계에서는 일반적으로 사고 발생 후 24~48시간을 핵심 조사 기간으로 본다. 이 시점에 서버 로그와 접근 경로 등 핵심 증거를 확보하지 못하면 피해 규모 파악과 확산 방지에 치명적인 한계를 초래한다는 것이다.
◇ 기업 해킹 사고 반복… “은폐·늑장 신고 막을 제재 필요”
최근 통신 3사에서도 해킹 사고 인지 후 신고를 미루거나, ‘기술적으로 발견이 어려웠다’는 이유로 보고를 하지 않은 사례가 드러나면서 기업 전반의 보안 의무 이행에 대한 비판이 커지고 있다. 현재는 해킹 사실 축소나 자료 제출 거부 시 과태료 부과에 그쳐 실효성이 낮다는 지적이 끊이지 않는다.
정부는 이러한 문제를 개선하기 위해 지난 10월, 기업 신고 없이도 정부가 해킹 정황 확보 시 현장 조사를 할 수 있도록 조사 권한을 강화하는 대책을 발표했다. 또 재발 방지 대책 미이행·늑장 신고 등에 대한 과태료 및 과징금을 상향하고, 징벌적 과징금 제도까지 도입한다는 방침이다.
국회에서도 해킹 사실을 은폐한 사업자에 대해 징벌적 과징금을 부과할 수 있도록 하는 일명 ‘해킹 사태 은폐 방지법’이 발의된 상태다.
쿠팡의 이번 사고는 개인정보 보호 의무를 지닌 대형 플랫폼 기업의 관리·감독 체계 전반을 다시 한 번 점검해야 한다는 목소리를 키우고 있다.