국내 최대 이커머스 업체인 쿠팡이 사실상 모든 고객의 정보가 무단 유출됐음에도 불구하고 유출 사실을 무려 5개월간 모르고 있었던 것으로 확인됐다.
이 기간에 개인정보 유출 사실을 제때 파악하지 못한 것은 물론 그 규모조차 까맣게 모르고 있었다.
쿠팡은 지난 29일 고객 정보 유출 사고 사실을 고지하면서 "노출(유출 대신 쓴 단어)은 11월 6일 발생했고 이날로부터 12일 지난 11월 18일 인지했다"고 밝혔다.
이는 한국인터넷진흥원(KISA)에 침해 사고를 신고한 내용이기도 하다.
하지만 사고 신고 이후 경찰청, 개인정보보호위원회, KISA 등 관련 당국의 조사에서 이미 지난 6월부터 개인정보가 노출됐고, 피해 고객도 무려 3370만에 이르는 것으로 밝혀졌다.
쿠팡은 지난 25일 내부 직원을 정보 유출 혐의로 서울경찰청 사이버수사대에 고소해 사실상 유출 혐의자를 특정했다.
쿠팡은 접수한 고소장에 피고소인을 '성명불상자'로 적은 것으로 알려졌다.
다만 "제3자가 비인가 접근을 통해 고객 계정의 정보를 조회했다"며 "외부 침입 흔적은 없다"고 했었다.
이어 "해당 활동을 탐지한 뒤 제3자가 사용했던 접근 경로를 차단했다"고 밝혔다.
하지만 가입 고객들은 개인정보 노출로 제2의 피해를 입을까 불안해 하고 있다. 쿠팡 측이 이번 사고와 관련해 한동안 사고 인지를 하지 못했고 단순한 사고로 인한 노출이 아니라 유출된 것으로 판단돼 아직 정보 유출 범위가 확인 안 되는 상황이다.
쿠팡은 “자세한 내용은 확인 중”이라고만 했다.
따라서 경찰 수사에서 구체적인 피해 형태와 규모가 밝혀질 예정이다.