"쿠팡 이것도 털려…90분 멍때렸다" 최초신고자가 받은 협박메일
" 개인정보 유출됐다는 메일을 받고 소름이 돋았어요. 1시간 30분 동안 멍 때렸죠. 쿠팡에 연락해야 할지, 경찰에 알려야 할 건지… "
지난달 16일 ‘귀하의 개인정보가 유출될 수 있다’는 이메일을 받고 쿠팡에 처음 알렸다는 박모(28)씨는 당시 상황을 이렇게 전했다. 쿠팡 측은 박씨의 신고 뒤 고객 정보 유출 정황을 처음 인지한 것으로 보인다.
중앙일보가 입수한 이메일에 따르면 쿠팡이 한국인터넷진흥원(KISA)이 제출한 침해사실 신고서·고객 문자 공지 등과 달리 유출 정보에 ‘현관 출입방법’이 포함된 것으로 나타났다. 앞서 쿠팡은 지난달 30일까지 유출 피해 고객 대상 문자 공지에서 “현재까지 노출된 정보는 고객님의 이름, 이메일 주소, 배송지 주소록(입력하신 이름, 전화번호, 주소) 그리고 주문정보”라고만 밝혔었다.
우선 이메일 제목은 박씨의 이름·주소와 함께 ‘귀하의 개인정보가 유출될 수 있습니다’이다. 발신자는 ‘Yui Sato’이고, 이메일 주소는 ‘[email protected]’이다. 본문은 영어로 “당신의 쿠팡 개인 정보가 유출 위험에 놓여있다(your personal data on coupang.com is under risk of potential disclosure)”고 시작한다.
쿠팡이 피해 사실을 축소한 것으로 보이는 점은 또 있다. 쿠팡은 지난달 18일 오후 10시 52분 KISA에 제출한 침해사실 신고서에서 “각 계정 프로필에 대한 엑세스 기록에 최근 5건의 주문 이력 및 고객의 배송 주소록(이름, 전화번호, 배송주소)가 포함됐다”고 보고했다.
한데 이메일에 유출된 ‘주문 목록(Recent orders)’에는 최근 구매 물품 순으로 15개까지 나온다. 쿠팡이 KISA에 유출됐다고 신고한 주문 목록의 3배다. 이를테면, 박씨가 가장 최근에 쿠팡에서 주문한 ‘개꿀맛 10종 포카칩·꼬북칩 등 과자세트 1개’란 상품명을 포함해 주문 날짜·가격·수량 등 대부분의 주문 정보가 담겼다.
지난달 16일 오후 8시 30분 이메일을 확인한 박씨는 오후 10시쯤 쿠팡 고객센터를 통해 상담사에게 알렸다. 박씨는 “이걸 어떻게 해야 할지 몰라서 1시간 30분 동안 멍을 때렸다”면서 “쿠팡에 알려야 하는 건지, 아니면 경찰에 알려야 하는지 혼란스러웠다”고 말했다. 이어 “일단 소름이 돋으니까, 약간 멘털이 부서지더라”고 말했다.
박씨는 쿠팡 상담사와 최초 신고 뒤 6차례 문자로 대화하며 구체적인 상황을 전하면서 “취약점이 있다면 제 정보가 어느 수준으로 유출됐는지도 알려주시면 감사하겠다”고 말했다. 다음날인 17일 쿠팡은 “약 4500명 개인정보가 유출된 것 같다”고만 알려왔다. 후속 조치 등 추가 연락은 없었다고 한다.
이후 쿠팡의 늑장 대응도 문제로 지적된다. 정보통신망법상 신고 기한인 24시간을 거의 채운 시점에서야 한국인터넷진흥원(KISA)에 신고했다. 그러면서 지난달 29일 오후에야 “고객 계정 약 3370만 개가 무단으로 노출된 것으로 확인됐다”고 공지했다. 일부 고객은 쿠팡의 최초 인지 시점보다 2주일 뒤(30일)에야 문자 공지를 받았다.
박씨는 “이전부터 보안 문제에 관심이 많아 협박 메일을 발견할 수 있었다”고 말했다. 개발자로 일하고 있는 박씨는 새로운 발신자가 메일을 보내면 이용자가 받을지 말지 먼저 스크리닝(결정)할 수 있는 유료 이메일 서비스를 이용하고 있다. 그는 “쿠팡 조사를 보면 협박 메일을 저뿐만 아니라 다수가 받았을 텐데, 못 보고 이미 넘겼을지도 모르겠다”고 말했다.
문상혁([email protected])