개인정보위 "쿠팡 개인정보 유출, '고도 해킹' 아닌 기본 관리 소홀 탓"

ⓒ 뉴스1 윤주희 디자이너 /사진=뉴스1

[파이낸셜뉴스] 개인정보보호위원회는 쿠팡의 대규모 개인정보 유출 사고가 고도의 해킹 기술보다 기본적인 보안 관리 소홀에서 비롯됐다고 판단했다.

개인정보위는 11일 정부서울청사에서 쿠팡 제재안 관련 브리핑을 열고 "이번 사고는 고도의 해킹이 아닌 쿠팡의 기본적인 안전관리 체계 미비 및 관리 소홀로 인해 발생한 것으로 확인됐다"고 밝혔다.

조사 결과 해커는 과거 쿠팡에서 근무했던 전직 직원으로, 퇴사 전 확보한 인증서명키를 이용해 회원정보 수정 페이지와 배송지 관리 페이지 등에 장기간 접근한 것으로 나타났다. 개인정보위는 쿠팡이 업무상 필요하지 않은 경우에도 인증서명키를 평문으로 열람할 수 있도록 운영했고, 해당 직원 퇴사 이후에도 키를 즉시 폐기하거나 교체하지 않았다고 지적했다.

접근통제 체계도 미흡했던 것으로 조사됐다.

해커는 지난해 4월부터 11월까지 배송지 관리 페이지에 약 1억4800만회 접근을 시도했지만 쿠팡은 고객 민원이 접수될 때까지 이상 행위를 인지하지 못했다. 개인정보위는 개인정보가 포함된 페이지의 차단 기준이 미흡했고, 탐지된 이상 행위에 대한 별도 분석도 이뤄지지 않았다고 밝혔다.

개인정보위는 이 같은 안전조치 의무 위반을 인정해 쿠팡에 6246억8100만원의 과징금을 부과했다.

yjjoe@fnnews.com 조윤주 기자