https://n.news.naver.com/mnews/article/056/0012071347?sid=001

 

쿠팡에서 고객 4천 5백여 명의 이름과 전화번호 등 개인정보가 노출되는 사고가 발생해 개인정보보호위원회가 조사에 들어갔습니다. 쿠팡은 고객 민원 접수로 개인정보 유출 조사에 들어갔던 걸로 확인됐습니다.

“쿠팡 16일 밤 ‘개인정보 노출’ 고객 민원 접수”

쿠팡은 지난 16일 밤 10시쯤 개인정보가 노출됐다는 고객 민원을 접수한 것으로 오늘(21일) 더불어민주당 김남근 의원실을 통해 확인됐습니다.

쿠팡은 이후 내부 대응팀 검증을 거쳐 지난 18일 밤 개인정보 노출 사실을 최종 확인했습니다.

쿠팡은 제3자가 사전에 획득한 인증 정보를 이용해 주문·배송 관련 페이지에 접속한 뒤 고객 4천5백여 명의 이름과 이메일·전화번호 등 개인정보와 배송지 주소록·최근 주문 5건 등 주문 정보에 접근한 것을 확인했다고 밝혔습니다.

이후 쿠팡은 19일 해당 인증 정보에 대해 차단 조치했다고 설명했습니다.

최민희의원실로부터 입수한 쿠팡 침해사고 신고서를 보면 쿠팡의 계정 정보에 무단 접근이 발생한 건 지난 6일. 쿠팡은 16일 고객민원이 접수된 뒤 18일에야 이 사실을 알게 된 셈입니다. 12일 동안 모르고 있다가 고객민원으로 뒤늦게 조사한 셈입니다.

“쿠팡, 개보위에 20일 밤 8시 14분에 신고”…72시간 지켰는지도 조사 대상

쿠팡이 개인정보보호위원회에 개인정보 유출을 신고한 시점은 20일 밤 8시 14분입니다.

개인정보보호법은 개인정보 유출 사실을 인지하면 72시간 이내에 감독기관(개인정보호호위원회, 한국인터넷진흥원)에 신고하도록 하고 있습니다.

앞으로 조사 과정에서는 쿠팡이 이 72시간을 지켰는지를 살펴보게 됩니다.

쿠팡이 고객 민원을 접수한 16일 밤부터 쿠팡이 개인정보 노출 사실을 최종으로 확인했다고 밝힌 18일 밤사이 정확히 어떤 시점이 쿠팡이 개인정보 유출을 ‘인지’한 시점인지를 가려내야 합니다.

개보위 관계자는 “고객 민원 접수만으로는 유출을 인지한 시점으로 단정하기 어렵다”면서 “앞으로 정확히 어느 시점에 인지한 것인지 조사할 예정”이라고 밝혔습니다.

조사 결과 확인된 인지 시점으로부터 72시간이 지난 뒤에 유출 사실을 신고했다면 쿠팡은 처벌받을 수 있습니다.

이에 대해 쿠팡 측은 “18일 개인정보 노출 사실을 확인한 뒤 19일 밤 한국인터넷진흥원(KISA)에 즉각 신고했다”면서 인지 시점으로부터 72시간을 넘기지 않고 빠른 속도로 신고했다고 밝혔습니다.

개보위는 앞으로 쿠팡의 개인정보 유출 경위와 규모를 확인하고 2차 피해는 없었는지, 쿠팡이 개인정보 관리 시스템의 안전조치 의무를 지켰는지 등을 다각도로 조사할 예정입니다.