쿠팡은 왜 뒤늦게 파악했나…"신속한 초동대응이 더 중요"

(서울=뉴스1) 문창석 기자 = 3370만 개의 대규모 고객정보가 유출된 쿠팡에 대해 사태 장기간 유출 사실을 인지하지 못했다는 지적이 높아지고 있다. 보안업계는 사고 인지 후 '초동대응'이 중요한 만큼 초기에는 정확한 파악보다 신속한 대응에 방점을 둬야 한다는 조언이 나온다.

4일 쿠팡에 따르면 지난달 18일 최초 신고 당시 유출된 개인정보는 4500개였지만 지난달 29일 후속 조사 결과 약 3370만 개의 고객 계정이 유출된 것으로 확인됐다.

기존 조사와 비교할 수 없을 정도로 커진 유출 규모로 인해 쿠팡의 사태 파악이 정확하지 않았다는 지적이 제기됐다. 정부 조사 결과 사고를 5개월간 인지하지 못한 점이 안전조치 의무 위반 및 중대한 과실로 판단될 경우 처벌 수위가 높아질 수 있다.

국회에서도 해당 문제가 제기됐다. 김승원 더불어민주당 의원은 3일 국회 정무위원회 현안질의에서 "4500개와 3370만 개는 너무 차이가 난다"며 "(처음 신고 당시) 축소해서 신고한 것 아니냐"고 주장했다.

김 의원은 "5개월 동안 유출된 사실을 몰랐다면 더 이상 영업하면 안 된다. 알면서도 5개월 동안 쉬쉬했다면 징벌적 손해배상을 해야 한다. 쿠팡은 둘 중 하나"라며 "왜 처음에 4500개만 신고했는지 납득이 안 된다"고 지적했다.

이에 대해 박대준 쿠팡 대표는 "축소 신고할 의도가 전혀 없었다"며 "(유출 사실 인지 직후) IP를 다 추적해 어떻게 침입했는지 어떤 수법이었는지, 동일 수법으로 추정되는 것들을 찾았고 처음에는 그 수법을 찾느라고 시간이 걸렸다"고 설명했다.

이어 "초기에 신고된 4500개는 저희에게 주어진 시간인 72시간 내에 발견한 유출 계정의 숫자로, 그 이후 저희가 동일 수법으로 추정되는 것을 전수조사했다"며 "그렇게 투명하게 조사해 3370만 개가 유출됐다고 자진신고를 하게 된 것"이라고 밝혔다.

현행 개인정보보호법 시행령은 개인정보처리자가 1000명 이상의 개인정보 유출 사실을 알게 될 경우 해당 시점부터 72시간 내에 한국인터넷진흥원에 신고하도록 규정하고 있다.

개인정보보호위원회에 따르면 이는 개인정보 유출 후 추가 대응이 중요한 만큼 초기에 파악한 사실을 최대한 빨리 신고하라는 취지다. 72시간 내에만 신고하면 된다는 취지가 아니라, 추가 유출 방지 등이 중요하기에 신속히 대응해야 한다는 것이다.

보안업계에선 72시간 동안 3370만 개 전체 유출 규모를 파악하는 건 물리적으로 어려웠을 것이라고 보고 있다. 이 때문에 지난달 18일 최초 신고 이후 11일 후인 29일에서야 전체 유출 규모가 파악된 것으로 본다.

업계 관계자는 "해킹 사실을 발견해도 개인정보가 실제로 유출되진 않았다면서 72시간 내에 신고를 하지 않다가 나중에 일이 커지는 사례도 많다"며 "최초 72시간 동안 조사한 내용을 먼저 신고하고, 추후 보완해 다시 신고하는 게 최선"이라고 말했다.

실제로 SK텔레콤 유심 정보 유출 사고의 경우 지난 4월 최초 유출 사실을 발견해 신고했지만, 해킹 시작일은 4년 전인 2021년 8월인 것으로 조사됐다. 지난 8월 소액결제 침해 사고가 발생한 KT의 경우에도 해킹 장비가 처음 가동된 시점은 약 10개월 전인 2024년 10월로 나타났다.

이는 그만큼 과거 발생한 정보유출 사고를 사후에 파악하는 건 어렵다는 것으로, 5개월 전에 발생한 사고를 파악해 대응한 쿠팡의 경우에도 최대한 적극적으로 대처했다는 평가도 나온다.

한 업계 관계자는 "세상에는 두 가지의 회사가 있다고 한다. 해킹을 당한 회사와 해킹을 당했는지도 모르는 회사"라며 "모두가 해킹을 당하고 있고 어떤 기업도 자유로울 수 없는 만큼 현실성 있게 접근해 최선을 다하는 자세가 필요하다"고 말했다.

themoon@news1.kr