다크웹 ‘쿠팡 정보’ 거래 글 올라온 뒤 협력사 조사
해커에 “추가 데이터 줄 수 있냐” 거래 시도 이메일
정보인권전문가 “유출 알고도 방치…피해 키웠다”

쿠팡이 고객 개인정보 46만건이 유출돼 다크웹 해킹포럼 누리집서 거래되고 있는 것을 인지하고도 두 달 가까이 정보보호 당국과 고객들에게 숨겨온 것으로 나타났다.

고객 개인정보를 빼간 해커(개인정보 불법 탈취·판매 행위자)와 은밀히 접촉해 거래를 시도하면서도 개인정보위원회·한국인터넷진흥원에 신고하지 않고 고객에게도 개인정보 유출 사실을 알리지 않았다.

고객 개인정보를 수집하는 개인정보처리자로서 개인정보보호법에 따른 최소한의 책임조차 이행하지 않아 개인정보 유출 피해를 당한 고객들의 2차 피해 가능성을 키웠다는 지적이 나온다.

21일 취재를 종합하면, 쿠팡은 지난 1월25일 다크웹 해킹포럼 누리집에 ‘ㅇㅇlogistic DB 468000 lines’라는 제목의 쿠팡 고객 개인정보 판매 글이 올라온 직후 자체 조사에 착수했다. 쿠팡 서버가 해킹 공격을 받았는지와 협력사 등 개인정보 위탁업체에 정보가 유출됐는지 등에 대한 조사였다. 이름을 밝히길 꺼린 쿠팡 협력사 관계자는 에 “쿠팡에서 1월 말 우리 회사 네트워크에서 쿠팡 고객정보가 유출됐는지 확인해 달라는 요청이 왔다. 우리 보안팀에서 정보 유출이 없었다는 조사 결과를 쿠팡에 알려줬다”고 밝혔다.

쿠팡은 지난 1월26일께 한국인터넷진흥원(KISA)이 쿠팡 협력사 등을 대상으로 다크웹 해킹포럼 누리집 게시 글과 관련해 정보 유출 여부를 확인하고 있다는 사실을 알고도 쿠팡에선 빠져나간 정보로 특정되지 않았다는 이유로 개인정보보호위에 유출 사실을 신고하지 않았다.

.

해커로부터 받은 쿠팡 고객정보 데이터 샘플을 함께 분석한 허진민 변호사(참여연대 공익법센터 소장)는 “수천개 개인정보 전부에 쿠팡 링크가 달린 걸 보면 모두 쿠팡 거래 정보라는 사실이 분명하다. 각각 정보의 판매자도 달라 한명의 판매자로부터 정보가 유출된 게 아니라 쿠팡 고객 정보만 모아놓은 시스템이 해킹당했을 가능성이 크다”고 설명했다. 이어 “이커머스 플랫폼 특성상 상담이나 배송 등을 위해 쿠팡이 수집한 개인정보가 위탁업체에 전달될 수 있는데, 협력사 시스템 등에서 유출된 것으로 확인되면 쿠팡이 법적 책임을 피할 수 있다는 허점이 있다”며 “법적 책임을 떠나 쿠팡을 믿고 거래하며 개인정보를 넘겨준 고객들에게 정보 유출 사실을 숨긴 건 기업으로서 무책임한 처사”라고 말했다.

쿠팡이 고객 개인정보 46만건을 탈취해 판매에 나선 해커와 신분을 숨길 수 있는 암호화 이메일(프로톤 이메일)로 접촉해 거래를 시도한 정황도 확인됐다.

해커는 에 “쿠팡에 거래 메일을 보낸 뒤, 쿠팡 관계자로부터 데이터 샘플을 제공해달라는 메일을 받았다”고 밝히며 쿠팡 관계자로부터 받은 이메일을 보여줬다. 이메일에는 “우리는 네가 월요일(3월13일)에 전송한 사이버 취약성을 언급하는 이메일을 확인했다. 무엇을 원하나? 너의 진술을 확인하기 위해 추가 데이터 제공할 수 있나?”라는 내용이 담겼다. 해커는 이후 쿠팡에 “샘플을 넘겨줬다”고 말했다.

.

옥기원 기자 ok@hani.co.kr
http://naver.me/xgT1mwhd