국내 최대 이커머스 업체인 쿠팡이 사실상 모든 고객의 정보가 무단 유출됐음에도 불구하고 유출 사실을 5개월간이나 모르고 있었던 것으로 확인됐다.
유출 사실을 제때 파악하지 못한 것은 물론 그 규모조차 까맣게 모르고 있었다.
쿠팡은 지난 29일 고객 정보 유출 사고 사실을 고지하면서 "노출은 11월 6일 발생했고 이날로부터 12일 지난 11월 18일 인지했다"고 밝혔다.
이는 한국인터넷진흥원(KISA)에 침해 사고를 신고한 내용이기도 하다.
하지만 사고 신고 이후 경찰청, 개인정보보호위원회, KISA 등 관련 당국의 조사에서 지난 6월부터 개인정보가 노출됐고, 피해 고객 계좌도 무려 3370만에 이르는 것으로 밝혀졌다.
쿠팡은 지난 25일 정보통신망법상 정보통신망 침입 혐의로 '성명 불상자'에 대한 고소장을 서울경찰청 사이버수사대에 접수해 사실상 유출 혐의자를 특정했다.
하지만 '성명 불상자'로 지목된 중국인 전 직원은 이미 퇴사해 중국으로 출국한 것으로 알려졌다
쿠팡은 "제3자(성명 불상자)가 비인가 접근을 통해 고객 계정의 정보를 조회했다"며 "외부 침입 흔적은 없다"고 했다. 이어 "해당 활동을 탐지한 뒤 제3자가 사용했던 접근 경로도 차단했다"고 밝혔다.
경찰은 유력 용의자로 지목되는 중국 국적의 전직 쿠팡 직원의 행적을 확인할 방침이다. .
가입 고객들은 개인정보 노출로 제2의 피해를 입을까 불안해 하고 있다.
쿠팡 측이 한동안 사고 인지와 규모를 파악하지 못했고 단순한 사고로 인한 노출이 아니라 유출된 것으로 판단돼 정보 유출 규모가 확인 안 되는 상황이다.
쿠팡은 “자세한 내용은 확인 중”이라고만 했다.
따라서 경찰 수사에서 구체적인 피해 형태와 규모 등이 밝혀질 예정이다.