쿠팡, 4500여명 개인정보 유출 사실 열흘 넘게 몰라

“서명된 액세스 토큰 악용해 접근 추정”

연합뉴스

쿠팡이 고객 4500여명의 개인정보가 유출되고도 해당 사실을 열흘 넘게 인지하지 못한 것으로 드러났다.

21일 국회 과학기술정보방송통신위원장 최민희 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 침해사고 신고서에 따르면, 쿠팡은 이달 6일 오후 6시 38분 자사 계정 정보에 대한 무단 접근이 발생했다고 보고했다. 하지만 침해 사실을 인지한 시점은 이로부터 12일이 지난 18일 오후 10시 52분이었다.

쿠팡은 열흘 넘게 개인정보 유출 사실을 파악하지 못했을 뿐 아니라 고객에게도 정확한 유출 시점을 알리지 않았다.



앞서 쿠팡은 전날 피해 고객들에게 “11월 18일, 고객님의 개인정보가 비인가 조회된 것으로 확인됐다”고 문자메시지를 보내 노출 사실을 알렸을 뿐 구체적인 유출 시점은 별도로 고지하지 않다.

한편 쿠팡은 신고서에 “유효한 인증 없이 4536개의 계정 프로필에 접근한 기록이 발견됐다”며 “초기 조사 결과 서명된 액세스 토큰을 악용해 접근한 것으로 추정된다”고 기재했다.

과학기술정보통신부와 KISA, 개인정보보호위원회는 쿠팡의 신고를 토대로 유출 경위와 피해 여부를 파악 중이다.