다크웹 ‘쿠팡 정보’ 거래 글 올라온 뒤 협력사 조사
쿠팡이 고객 개인정보 46만건이 유출돼 다크웹 해킹포럼 누리집서 거래되고 있는 것을 인지하고도 두 달 가까이 정보보호 당국과 고객들에게 숨겨온 것으로 나타났다.
고객 개인정보를 빼간 해커(개인정보 불법 탈취·판매 행위자)와 은밀히 접촉해 거래를 시도하면서도 개인정보위원회·한국인터넷진흥원에 신고하지 않고 고객에게도 개인정보 유출 사실을 알리지 않았다.
고객 개인정보를 수집하는 개인정보처리자로서 개인정보보호법에 따른 최소한의 책임조차 이행하지 않아 개인정보 유출 피해를 당한 고객들의 2차 피해 가능성을 키웠다는 지적이 나온다.
21일 <한겨레> 취재를 종합하면, 쿠팡은 지난 1월25일 다크웹 해킹포럼 누리집에 ‘ㅇㅇlogistic DB 468000 lines’라는 제목의 쿠팡 고객 개인정보 판매 글이 올라온 직후 자체 조사에 착수했다. 쿠팡 서버가 해킹 공격을 받았는지와 협력사 등 개인정보 위탁업체에 정보가 유출됐는지 등에 대한 조사였다. 이름을 밝히길 꺼린 쿠팡 협력사 관계자는 <한겨레>에 “쿠팡에서 1월 말 우리 회사 네트워크에서 쿠팡 고객정보가 유출됐는지 확인해 달라는 요청이 왔다. 우리 보안팀에서 정보 유출이 없었다는 조사 결과를 쿠팡에 알려줬다”고 밝혔다.
쿠팡은 지난 1월26일께 한국인터넷진흥원(KISA)이 쿠팡 협력사 등을 대상으로 다크웹 해킹포럼 누리집 게시 글과 관련해 정보 유출 여부를 확인하고 있다는 사실을 알고도 쿠팡에선 빠져나간 정보로 특정되지 않았다는 이유로 개인정보보호위에 유출 사실을 신고하지 않았다.
개인정보보호법에 따르면, 기업에서 정보 유출 사고가 발생했을 때는 24시간 안에 한국인터넷진흥원과 개인정보보호위원회 등에 신고하고, 피해 당사자들에게 알려야 한다. 개인정보보호 법령 및 지침·고시에는 유출의 의미를 개인정보처리자의 관리 범위를 벗어나 개인정보가 외부에 공개·누설된 모든 상태로 본다.
쿠팡이 고객 개인정보 유출 사실을 알고도 정보보호 당국에 신고하지 않은 것은 회사 이미지 타격과 법적 책임을 최소화하기 위한 조치로 풀이된다.
해커로부터 받은 쿠팡 고객정보 데이터 샘플을 함께 분석한 허진민 변호사(참여연대 공익법센터 소장)는 “수천개 개인정보 전부에 쿠팡 링크가 달린 걸 보면 모두 쿠팡 거래 정보라는 사실이 분명하다. 각각 정보의 판매자도 달라 한명의 판매자로부터 정보가 유출된 게 아니라 쿠팡 고객 정보만 모아놓은 시스템이 해킹당했을 가능성이 크다”고 설명했다. 이어 “이커머스 플랫폼 특성상 상담이나 배송 등을 위해 쿠팡이 수집한 개인정보가 위탁업체에 전달될 수 있는데, 협력사 시스템 등에서 유출된 것으로 확인되면 쿠팡이 법적 책임을 피할 수 있다는 허점이 있다”며 “법적 책임을 떠나 쿠팡을 믿고 거래하며 개인정보를 넘겨준 고객들에게 정보 유출 사실을 숨긴 건 기업으로서 무책임한 처사”라고 말했다.
해커에 “추가 데이터 줄 수 있냐” 거래 시도 이메일
쿠팡이 고객 개인정보 46만건을 탈취해 판매에 나선 해커와 신분을 숨길 수 있는 암호화 이메일(프로톤 이메일)로 접촉해 거래를 시도한 정황도 확인됐다.
해커는 <한겨레>에 “쿠팡에 거래 메일을 보낸 뒤, 쿠팡 관계자로부터 데이터 샘플을 제공해달라는 메일을 받았다”고 밝히며 쿠팡 관계자로부터 받은 이메일을 보여줬다. 이메일에는 “우리는 네가 월요일(3월13일)에 전송한 사이버 취약성을 언급하는 이메일을 확인했다. 무엇을 원하나? 너의 진술을 확인하기 위해 추가 데이터 제공할 수 있나?”라는 내용이 담겼다. 해커는 이후 쿠팡에 “샘플을 넘겨줬다”고 말했다. 쿠팡이 해커와 접촉한 시점은 <한겨레>가 쿠팡에 개인정보 유출 사실 확인을 요청한 직후다. 쿠팡은 그동안 “해커와 접촉한 적이 없다”고 밝혀왔다.
정보인권전문가 “유출 알고도 방치…피해 키웠다”
정보인권 전문가들은 쿠팡이 정보보호 책임자로서 최소한의 책임도 다하지 않아 2차 피해 가능성을 키웠다고 지적했다.
장여경 정보인권연구소 상임이사는 “쿠팡 고객 개인정보가 다크웹에 올라온 뒤 오랜 시간 방치된 사이 개인정보가 추가로 거래되는 등의 2차 피해가 발생했을 수 있다. 개인정보를 일차적으로 수집하는 쿠팡이 유출 사실을 인지한 직후 피해를 줄이기 위한 조치와 책임을 다하지 않아 발생한 피해”라며 “쿠팡 고객들이 개인정보 유출 사실을 언론 보도를 통해 알게 되고, 쿠팡이 협력업체 쪽에 책임을 전가하는 모습에서 고객정보를 얼마나 허술하게 관리해왔는지, 고객 개인정보에 대한 경영진의 인식이 얼마나 후진적인지 알 수 있다”고 말했다.
기사 출처 : 한겨례(https://www.hani.co.kr/arti/economy/it/1084500.html?_ns=t1)
—
위탁업체에 전달된 개인정보가 협력사를 통해서 유출된 쿠팡의 사례를 보면 시스템 보안이 잘 이뤄지지 않아 발생한 사례로 볼 수 있습니다. GRADIUS DLP는 기업의 중요 정보가 빠져나가는 것을 실시간 감시를 통해 보안 사고를 예방하고 모든 자료의 흐름을 투명하게 감시하는 통합내부정보유출방지감사시스템입니다. GRADIUS DLP를 통해 보안 사고의 가능성을 저하시키고 정보 유출에 대한 모든 정보의 흐름을 투명하게 관리, 감시, 추적, 모니터링하여 객관적이고 합리적인 보안정책의 수립과 운영을 실현하시기 바랍니다. 피플러스는 수많은 레퍼런스를 통해 검증된 솔루션으로 기업에 적합한 보안 솔루션을 제시해 드립니다.