쿠팡에서 상품을 거래한 고객 개인정보 46만건이 유출돼 다크웹 해킹포럼 누리집서 거래돼 논란이 커지고 있다. 쿠팡 로고. 연합뉴스
쿠팡이
고객 개인정보 46만건이 유출돼 다크웹 해킹포럼 누리집서 거래되고 있는 것을 인지하고도 두달 가까이 정보보호 당국과 고객들에게 알리지 않은 것으로 나타났다. 고객 개인정보를 빼간 해커(개인정보 불법 탈취·판매 행위자)와 접촉해 거래를 시도하면서도 개인정보보호위원회·한국인터넷진흥원(KISA)에 신고하지 않았으며, 고객에게도 유출 사실을 알리지 않았다. 고객 개인정보를 수집하는 1차 개인정보처리자로서 개인정보보호법에 따른 최소한의 책임조차 이행하지 않아 개인정보 유출 피해를 당한 고객들의 2차 피해 가능성을 키웠다는 지적이 나온다.
21일 <한겨레> 취재를 종합하면, 쿠팡은 지난 1월25일 다크웹 해킹포럼 누리집에 ‘ㅇㅇlogistic DB 468000 lines’라는 제목의 쿠팡 고객 개인정보 판매 글이 올라온 직후 자체 조사에 착수했다. 쿠팡 서버가 해킹 공격을 받았는지와 협력사 등에 정보가 유출됐는지를 살펴보기 위해서다.
이름을 밝히길 꺼린 쿠팡 협력사 관계자는 <한겨레>에 “쿠팡에서 1월 말 우리 회사 네트워크에서 쿠팡 고객 정보가 유출됐는지 확인해달라는 요청을 해 왔다. 우리 보안팀에서 정보 유출이 없었다는 조사 결과를 쿠팡에 알려줬다”고 밝혔다.
자체 조사를 진행하면서도 쿠팡은 개인정보위에 신고하지 않았다. 특히 지난 1월26일 한국인터넷진흥원이 쿠팡 협력사 등을 대상으로 다크웹 해킹포럼 누리집 게시 글 관련 조사를 진행하고 있다는 사실도 쿠팡은 파악한 상태였다. 당시 인터넷진흥원은 유출 정보가 쿠팡 고객 정보인지 여부는 특정하지 못한 상태였다. 개인정보보호법은 고객 정보 유출을 확인한 기업은 사고 발생 24시간 안에 한국인터넷진흥원과 개인정보위 등에 신고하고, 피해 당사자들에게 알리도록 정하고 있다. 개인정보보호 법령 및 지침·고시에는 유출의 의미를 개인정보처리자의 관리 범위를 벗어나 개인정보가 외부에 공개·누설된 모든 상태로 본다.
해커가 거래를 시도한 샘플 데이터 각각에 쿠팡 링크가 달려있다. 쿠팡에서 상품을 구매한 고객들의 개인정보라는 사실을 확인해준다. 샘플 데이터엔 쿠팡과 거래한 고객들의 이름, 주소, 전화번호, 통관부호 등이 포함돼 있다.
쿠팡이 고객 개인정보 유출 사실을 알고도 당국에 신고하지 않은 까닭은 법적 책임을 최소화하기 위한 것 아니냐는 분석이 나온다. 해커로부터 받은 쿠팡 고객 정보 데이터 샘플을 분석한 허진민 변호사(참여연대 공익법센터 소장)는 “이커머스 플랫폼 특성상 상담이나 배송 등을 위해 쿠팡이 수집한 개인정보가 위탁업체에 전달될 수 있다. 협력사 시스템 등에서 정보가 유출된 것으로 확인되면 쿠팡은 법적 책임을 피할 수도 있다. 일종의 제도상 허점”이라며 “법적 책임을 떠나 쿠팡을 믿고 거래하며 개인정보를 넘겨준 고객들에게 정보 유출 사실을 알리지 않은 건 기업으로서 무책임한 처사”라고 말했다.
해커가 쿠팡으로 부터 받은 암호화 이메일 내용 갈무리
이와 함께 쿠팡이 고객 개인정보를 탈취해 판매에 나선 해커와 암호화 이메일(프로톤 이메일)로 접촉해 거래를 시도한 정황도 있다. 해커는 <한겨레>에 “쿠팡에 거래를 요청하는 메일을 보낸 뒤, 쿠팡 쪽으로부터 데이터 샘플을 제공해달라는 메일을 받았다”며 쿠팡 관계자로부터 받은 이메일을 제시했다. 이 이메일에는 “우리는 당신이 월요일(2023년 3월13일)에 전송한 사이버 취약성을 언급하는 이메일을 확인했다. 무엇을 원하나? 너의 진술을 확인하기 위해 추가 데이터 제공할 수 있나?”라는 내용이 담겨 있다. 이는 쿠팡이 그동안 “해커와 접촉한 적이 없다”고 밝혀온 입장과 상반된다.
정보인권 전문가들은 쿠팡이 정보보호 책임자로서의 책임을 다하지 않아 2차 피해 가능성을 키웠다고 말한다. 장여경 정보인권연구소 상임이사는 “쿠팡 고객 개인정보가 다크웹에 올라온 뒤 오랜 시간 방치된 사이 개인정보가 추가로 거래되는 등의 2차 피해가 발생했을 수 있다”라며 “쿠팡 고객들이 개인정보 유출 사실을 언론 보도를 통해 알게 되고, 쿠팡이 협력업체 쪽에 책임을 전가하는 모습에서 고객정보를 얼마나 허술하게 관리했는지를 알 수 있다”고 말했다.
쿠팡 쪽은 <한겨레>에 정보 유출 사실을 숨기고 해커와 접촉했는지를 묻는 질문에 “사실관계를 확인 중”이라며 “쿠팡은 엄격한 데이터 보안 시스템을 유지하고 있으며, 개인정보보호법상 신고 요건을 철저히 준수하고 있다”고 말했다.
옥기원 기자
ok@hani.co.kr