[서울=뉴스핌] 양태훈 기자 = 쿠팡에서 4500여 명의 고객 정보가 외부에 비정상적으로 열람된 사건과 관련해, 실제 개인정보 침해가 발생한 뒤 12일 동안 이를 알아채지 못한 것으로 나타났다.

21일 최민희 의원실이 한국인터넷진흥원(KISA)으로부터 제출받아 공개한 '쿠팡 침해사고 신고서'에 따르면, 쿠팡은 지난 11월 6일 오후 6시 38분에 4536개 계정 프로필에 대한 비정상 접속이 발생한 것으로 파악했다고 밝혔지만, 쿠팡이 이를 내부에서 처음 감지한 시점은 12일 뒤인 지난 11월 18일 오후 10시 52분으로 확인됐다.

더욱이 쿠팡은 침해 사실을 인지한 다음 날인 지난 11월 19일 오후 9시 35분 KISA에 사고를 신고했다. 정보통신망법은 침해 사실을 알게 된 때부터 24시간 이내 신고를 의무화하고 있다.

신고서에 기록된 쿠팡의 자체 조사 결과에 따르면, 이번 사고는 로그인 사용자에게 발급되는 '서명된 액세스 토큰'이 악용된 방식으로 이뤄진 것으로 분석됐다. 이 토큰을 이용해 공격자가 인증 절차 없이 대량의 계정 프로필에 접근했으며, 열람된 정보에는 최근 주문 내역 5건, 이름, 전화번호, 배송 주소 등이 포함돼 있었다.

쿠팡은 해당 토큰의 서명 키를 모두 폐기하고, 탐지 규칙 추가와 모니터링 강화 등의 조치를 진행했다고 신고서에서 밝혔다. 다만 경찰 신고 여부에는 '아니오'로 표시됐다.

최민희 국회 과학기술정보방송통신위원장은 "국민 다수가 사용하는 플랫폼에서 벌어진 중대한 보안 관리 부실"이라고 지적했다.

또 "전 국민의 3분의 1 이상이 이용하는 서비스에서 침해 사실을 열흘 넘게 파악하지 못한 것은 매우 심각한 문제"라며 "쿠팡은 후속 조치를 신속히 이행하고 정부 기관의 조사에 성실히 협조해야 한다"고 강조했다.

한편 ,정부는 과학기술정보통신부, KISA, 개인정보보호위원회를 중심으로 사고 경위를 조사 중이다.

dconnect@newspim.com