|
30일 업계에 따르면 쿠팡은 전날 가입자 3370만명에 대한 개인정보 추가 유출 사실을 확인하고 관련 기관에 신고를 진행했다. 또 즉시 해당 고객들에게 사고 사실을 안내했다.
과학기술정보통신부는 이날 민관합동조사단을 구성하고, 본격적인 조사에 착수하기로 했다. 조사단은 대규모 유출 경위와 추가 국민 피해 발생 여부를 조사하고, 사고 원인 분석 및 재발 방지 대책을 마련할 계획이다.
앞서 쿠팡은 지난 20일 약 4500명의 개인정보 유출 사실을 인지하고 과기부, 개인정보보호위원회 등 관련 기관에 신고했다.쿠팡은 25일 서울경찰청 사이버수사대에도 고소장을 접수한 상태다.
현재까지 조사 결과, 해외 서버를 통해 지난 6월 24일을 기점으로 약 5개월 간 무단으로 개인정보에 접근한 것으로 파악되고 있다. 정보 유출이 하루 만에 이뤄진 것이 아니라 약 5개월 동안 지속적으로 불법 접근이 이뤄진 것으로 추정된다.
유출된 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보 등이다. 다행히 결제 정보와 신용카드 번호, 로그인 정보는 포함되지 않은 것으로 확인됐다.
이번 유출 규모는 쿠팡이 3분기 실적 발표 당시 언급했던 프로덕트 커머스 부문 활성고객(구매 이력이 있는 고객) 2470만명을 크게 웃돈다. 가입 후 실제 사용하지 않는 고객까지 포함해 사실상 전체 가입자의 정보가 유출된 것으로 보인다.
개인정보보호위원회 관계자는 "21일부터 조사를 진행하고 있었고, 29일 쿠팡이 추가 유출 사실을 인지해 2차 신고가 있었다"며 "개인정보를 입수하게 되면 2차 피해 가능성을 배제할 수 없어 많은 국민들이 이용하는 서비스인 만큼 피해 예방 부분을 안내하고 있다"고 말했다.
조사 기간에 대해서는 "조사 범위 등에 따라 일정은 달라지지만 기본적으로 6개월이 소요되며, 변수가 있으면 6개월 더 연장될 수 있다"고 설명했다. 현재 초기 단계로 현장에 가서 시스템 확인, 관련 담당자 인터뷰 등을 진행하고 있으며, 실질적인 조사가 마무리되면 법 위반 사항에 대한 처분이 확인될 예정이다.
쿠팡은 고객들에게 발송한 안내문에서 "무단 접근 경로를 차단했으며 내부 모니터링을 강화했다"며 "독립적인 리딩 보안기업 전문가들을 영입했고, 사법 기관 및 규제 당국과 지속적으로 협력하고 있다"고 밝혔다.
또한 "결제 정보, 신용카드 번호, 로그인 정보는 노출되지 않았으므로 계정 관련 조치를 취할 필요가 없다"면서도 "쿠팡을 사칭하는 전화, 문자 메시지 또는 기타 커뮤니케이션에 주의해달라"고 당부했다.
쿠팡은 "이번 일로 인해 발생한 모든 우려에 대해 진심으로 사과드린다"며 "모든 임직원은 고객님의 우려 사항을 최대한 신속하게 해결하기 위해 최선을 다하고 있다"고 전했다.
업계에서는 이번 사고로 쿠팡이 SK텔레콤을 넘어서는 역대 최대 규모의 과징금을 부과받을 가능성이 높다고 보고 있다. 또한 5개월간 해킹 사실을 인지하지 못했다는 점에서 보안 관리 체계의 허점이 드러났다는 지적을 피하기 어렵게 됐다.
