쿠팡이 개인정보 유출 사실을 처음 인지한 뒤 일주일 이상 정확한 피해 규모를 파악하지 못한 정황이 개인정보보호위원회(개인정보위)의 신고 자료를 통해 드러났다. 특히 유출자로부터 협박성 이메일을 받은 지 이틀여가 지난 뒤에야 전체 유출 규모를 확인한 것으로 나타났다.

4일 국회 정무위원회 소속 김남근 더불어민주당 의원이 개인정보위로부터 제출받은 ‘11월 20일·29일 쿠팡 개인정보 유출 신고 내용’에 따르면, 쿠팡은 지난달 16일 오후 10시 12분 한 고객이 보낸 “개인정보가 노출됐다”는 e메일을 통해 최초 이상 징후를 접수했다.

쿠팡은 내부 검증을 거쳐 18일 오후 10시 52분, 고객 4536명의 이름·이메일·배송지 주소록·전화번호와 최근 주문 5건 정보가 유출된 사실을 확인했다. 유출자는 인증 토큰을 이용해 고객 배송 관련 주문 정보에 접근한 것으로 파악된 바 있다.

쿠팡은 해당 인증 토큰 서명에 사용된 키를 즉시 폐기하고 모니터링을 강화했으며, 20일 문자와 e메일로 4536명에게 유출 사실을 통지했다.

그러나 상황은 여기서 멈추지 않았다. 25일 오후 1시 37분, 쿠팡은 유출자로 추정되는 인물로부터 “쿠팡 고객 개인정보 노출과 관련된” 위협성 e메일을 받았다. 이후 로그 분석 기간을 확대해 살펴본 결과 27일 오전 3시 47분, 총 3370만 34건의 고객 계정 정보가 추가로 유출된 사실을 확인했다.

첫 유출 사실을 확인한 18일 밤 이후 무려 173시간(약 7일)이 지나서야 전체 유출 규모를 파악한 셈이다.

당시 확인된 유출 항목은 이름, e메일, 배송지 주소록, 전화번호, 일부 주문번호 등이었다. 쿠팡은 29일 문자와 e메일을 통해 전체 통지 절차를 진행했다.

쿠팡은 개인정보위에 제출한 1·2차 신고서에서 유출이 아닌 ‘노출’이라는 표현을 사용했다. 개인정보위는 지난 3일 쿠팡 측에 ‘노출’을 ‘유출’로 정정할 것을 요구했다.

쿠팡은 신고서에서 “추가 유출 확인 후 독립적 리딩 보안기업 전문가를 영입했고, 사법기관·규제당국과 협력하고 있다”고 밝혔지만, 유출 규모 파악에 일주일 이상 소요된 이유에 대해서는 별도 설명을 내놓지 않았다.

개인정보위는 지난달 21일 조사에 착수했으며, 정부 민관합동조사단은 자료 제출 요구와 현장 조사 등을 통해 유출 경위, 피해 규모, 안전조치 의무 준수 여부 등을 조사 중이다.


송진호 기자jino@donga.com
임재혁 기자 heok@donga.com