쿠팡, 내부 보안 취약으로 고객 정보 유출

쿠팡이 퇴직 직원이 소지한 서명키를 5~10년간 방치해 고객 정보에 비인가 접근을 허용했다. 이는 2023년 1월 16일부터 고객센터에 협박 메일을 발송한 것으로 확인됐다. 쿠팡은 이에 따라 2023년 19일 4500개 계정의 유출을 신고했고, 이후 조사에서 피해 규모가 3370만개로 확대됐다.

서명키는 보안 업계에서 가장 엄격하게 관리되어야 하는 정보로, 퇴직 시 즉시 폐기 또는 갱신이 원칙이다. 그러나 쿠팡은 이 절차를 지키지 않아 퇴직자인 A씨가 수개월간 고객 정보 접근 권한을 유지할 수 있는 보안 공백을 만들었다. 최민희 위원장은 “인증키가 5~10년간 방치된 걸로 보인다”고 밝혔다.

경찰은 발신 계정이 두 개라는 점을 고려해 조직적 범행 가능성도 배제하지 않고 수사를 진행하고 있다. A씨는 이미 출국했으며, 경찰은 확보한 IP 정보를 토대로 국제 공조 수사에 착수했다. 쿠팡은 “장기 방치 의혹은 사실이 아니다”라고 반박했지만, 수사 중인 점을 이유로 구체적 설명은 내놓지 않았다.

업계에서는 내부 보안 절차의 소홀로 고객 정보 유출이 발생했다고 분석하고 있다. 증권가에서는 이 사태가 기업의 신뢰성에 악영향을 줄 수 있다고 전망했다.

유출 사고는 고객센터에 협박 메일을 보낸 후 고객 신고를 통해 쿠팡이 뒤늦게 인지했다. 쿠팡은 고객 정보 접근이 진행되는 동안 이를 전혀 인지하지 못했다.

@Meerae AI 빅데이터 연구소 meerae.info@gmail.com