국민 4명 중 3명 털렸는데…5개월간 몰랐다

<앵커>

쿠팡은 5개월간 우리나라 성인 인구의 4분의 3에 달하는 규모의 개인정보가 탈취당하는 동안 그 사실조차 인지하지 못하고 있었습니다. 여기에 더해 신고와 고객 안내까지 모두 뒤늦게 이뤄지면서 쿠팡의 사후 대처를 놓고도 비판이 나옵니다.

이어서 김관진 기자입니다.

<기자>

고객들의 개인정보 유출 피해를 알린 지 하루 만에, 쿠팡 측이 머리를 숙였습니다.

[박대준/쿠팡 대표이사 : 심려를 끼쳐드려서 너무 죄송한 말씀과 사과의 말씀을 드리고 싶습니다.]

국민 4명 중 3명을 고객으로 둔 전자상거래 시장 1위 업체라는 지위가 무색하게도, 고객 정보 관리와 사후 대응은 허술했습니다.

정보 유출 시도는 지난 6월 처음 이뤄졌지만, 쿠팡은 이달 18일에야 이상 징후를 감지했습니다.

빠져나간 고객 정보가 악용될 수 있는 상황에서, 무려 5개월 동안이나 무방비 상태였던 겁니다.

현행법에 따르면 정보 유출을 인지한 뒤 24시간 내 당국에 신고해야 하지만, 그마저도 이틀이나 지난 시점에 이뤄졌습니다.

쿠팡은 또 내부 직원의 소행일 뿐 외부 해킹 공격에 대응하는 보안 시스템에는 결함이 없다고 강조하고 있지만, 정보 접근 권한이 있는 직원 관리 실패가 더 심각한 문제라는 지적도 나옵니다.

[임종인 명예교수/고려대 정보보호대학원 : 직원이지만 그걸 접근해 가지고 고객 전체 DB(정보)를 통으로… (직원에게) 최소한의 권한만 주는 그런 정책들이 그게 제대로 구현이 안 된 거 같다.]

쿠팡의 개인정보 유출은 이번이 처음이 아닙니다.

지난 2021년에는 배달 기사들의 실명과 연락처가, 2023년에는 고객 주문 정보가 외부에 노출되는 사고가 잇따라 발생해, 지난해 11월 약 16억 원의 과징금과 과태료 처분을 받았습니다.

당시 쿠팡은 재발 방지를 위한 모든 조치를 마련했다고 밝힌 바 있습니다.

[곽진 교수/아주대 사이버보안학과 : 유출된 정보라든가 아니면 사건 경위라든가 이런 부분이 조금 다르기 때문에 다시 한번 점검이 필요할 것 같고요.]

유출된 개인정보가 스미싱이나 보이스피싱 등 2차 범죄 피해로 이어질 수 있는 상황이지만, 상당수 고객은 오늘(30일)에야 쿠팡 측으로부터 피해 사실을 안내받았습니다.

(영상취재 : 정성화, 영상편집 : 윤태호)