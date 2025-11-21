21일 서울 시내 쿠팡 차량 차고지. 연합뉴스

국내 이커머스 기업 쿠팡이 고객 4500여명의 개인정보가 유출되는 침해사고가 발생하고도 열흘 넘게 이를 인지하지 못한 것으로 확인됐다.

21일 국회 과학기술정보방송통신위원장 최민희 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 침해사고 신고서에 따르면, 쿠팡은 지난 6일 오후 6시 38분 자사 계정 정보에 대한 무단 접근이 발생했다고 신고했다.

그러나 쿠팡이 침해 사실을 실제로 파악한 시점은 12일이 지난 18일 오후 10시 52분으로 기록돼 있다.

쿠팡은 이튿날인 20일 피해 고객에게 "11월 18일 고객님의 개인정보가 비인가 조회된 것으로 확인됐다"고 문자메시지를 보내 유출 사실을 통지했다.

이 때문에 쿠팡이 침해사고를 장기간 인지하지 못했을 뿐 아니라, 고객에게 정확한 유출 발생 시점을 알리지 않은 것 아니냐는 비판이 제기된다.

현행 정보통신망법은 사업자가 침해사고를 ‘알게 된 때부터 24시간 이내’에 당국에 신고하도록 규정한다. 쿠팡은 알게 된 다음 날 오후 9시 35분 신고해 기한은 넘기지 않았다.

신고서에 따르면 쿠팡은 “유효한 인증 없이 4536개의 계정 프로필에 접근한 기록이 발견됐다”며 “초기 조사 결과, 서명된 액세스 토큰이 악용된 것으로 추정된다”고 밝혔다.

또 무단 접근된 계정에는 최근 5건의 주문 이력과 고객의 배송 주소록(이름·전화번호·배송주소) 등이 포함돼 있었던 것으로 나타났다.

쿠팡은 문제의 토큰이 어떤 경로로 취득됐는지 조사 중이며, 관련 서명 키는 모두 폐기했다고 설명했다. 아울러 추가 침해를 막기 위해 탐지 규칙을 강화하고 모니터링 범위를 확대했다고 덧붙였다.

과학기술정보통신부와 KISA, 개인정보보호위원회는 쿠팡의 신고 내용을 토대로 유출 경위와 피해 규모를 조사 중이다.

Copyright ⓒ 세계일보. 무단 전재 및 재배포 금지