【투데이신문 강현민 기자】쿠팡에서 고객 4500여명의 이름·전화번호·주소 등이 외부에 노출되는 침해사고가 발생한 가운데, 실제 사고 발생 시점과 회사가 이를 인지하기까지 12일의 간격이 있었던 것으로 드러났다.

앞서 쿠팡은 지난 20일 고객들에게 “18일 고객 개인정보가 비인가로 조회된 사실을 확인했다”며 이름·이메일 주소·배송지 주소록(전화번호·주소), 최근 주문 5건 등이 노출됐다고 안내했다. 회사는 탐지 직후 제3자가 이용한 접근 경로를 차단하고 모니터링을 강화했다고 설명했다. 현재까지 피해 규모는 총 4536개 계정으로 파악된다.

국회 과학기술정보방송통신위원회장 최민희 의원실이 지난 21일 한국인터넷진흥원(KISA)에서 제출받은 자료에 따르면, 비정상 접속은 지난 6일 오후 6시 38분경 이미 시작된 것으로 추정된다. 쿠팡이 이를 최초 인지한 시점은 18일 오후 10시 52분으로, 침해 사실을 감지하기까지 12일이 소요된 셈이다.

공식 신고는 이튿날인 19일 오후 9시 35분에 이뤄졌다. 정보통신망법은 사업자가 침해 사실을 인지하고부터 24시간 이내에 당국에 신고하도록 규정하고 있어 이 기한을 넘기진 않았다. 

쿠팡 내부 조사 결과, 이번 공격은 기존 로그인 사용자에게 발급되는 ‘서명된 액세스 토큰’이 악용된 것으로 확인됐다. 이를 통해 외부에서 고객 프로필에 광범위하게 접근해 주요 개인정보와 최근 주문 내역을 조회한 것으로 분석됐다. 쿠팡은 문제가 된 토큰 계정을 전량 폐기하고, 추가 접근을 차단하기 위한 탐지 규칙을 보강한 상태다.

쿠팡은 “이번 일로 불편을 드려 사과드린다”며 “결제정보는 외부 접근이 없었으며 안전하게 보호되고 있다”고 밝혔다. 아울러 사칭 전화·문자에 대한 각별한 주의를 당부하고 문의는 고객센터(1577-7011)로 안내했다.

최민희 의원은 “국민 3분의 1 이상이 이용하는 플랫폼에서 침해사고를 12일간 알아채지 못했다는 것은 중대한 보안관리 부실”이라며 “쿠팡은 신속한 후속 조치와 적극적인 조사 협조로 고객 불안을 해소해야 한다”고 지적했다.