서울 도심의 쿠팡 물류센터에서 한 직원이 배송을 준비하고 있다. [헤럴드DB]

[헤럴드경제=김벼리 기자] 고객 4500여명의 개인정보가 유출된 쿠팡이 사고 발생 열흘 넘게 알아채지 못했다는 기록이 나왔다.

21일 국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 쿠팡은 지난 6일 오후 6시 38분 자사 계정 정보에 대한 무단 접근이 발생했다고 보고했다. 하지만 침해 사실을 인지한 시점은 12일이 지난 18일 오후 10시 52분으로 기록돼 있다.

전날 쿠팡은 피해 고객에게 “11월 18일, 고객님의 개인정보가 비인가 조회된 것으로 확인됐다”고 문자메시지를 보내 노출 사실을 알렸다.

쿠팡이 침해당하고도 열흘 넘게 이를 파악하지 못했을 뿐 아니라 고객에게도 정확한 유출 시점을 제대로 알리지 않았다는 지적이 나온다.

‘정보통신망법’에서는 사업자가 침해사고를 알게 된 때부터 24시간 이내 당국에 신고하도록 규정한다. 쿠팡은 이튿날 오후 9시 35분 신고해 기한을 넘기지는 않았다.

한편 쿠팡은 신고서에 “유효한 인증 없이 4536개의 계정 프로필에 접근한 기록이 발견됐다”며 “초기 조사 결과 서명된 액세스 토큰을 악용해 접근한 것으로 추정된다”고 기재했다. 또 “각 계정 프로필에 대한 접근 기록에 최근 5건의 주문 이력 및 고객의 배송 주소록(이름, 전화번호, 배송주소)이 포함돼있다”고 했다.

그러면서 무단 접근에 사용된 토큰의 취득 경로를 조사 중이며 해당 토큰 서명 키 정보는 모두 폐기됐다고 밝혔다. 추가적인 접근 시도에 대비해 탐지 규칙을 강화하고 모니터링을 확대했다고도 설명했다.

과학기술정보통신부와 KISA, 개인정보보호위원회는 쿠팡의 신고를 토대로 유출 경위와 피해 여부를 들여다보고 있다.