2023년 쿠팡 해킹 때도 2개월간 은폐

[상습악덕기업]

쿠팡, 해커에 “뭘 원해?”…개인정보 유출 2개월 은폐

다크웹 ‘쿠팡 정보’ 거래 글 올라온 뒤 협력사 조사
해커에 “추가 데이터 줄 수 있냐” 거래 시도 이메일
정보인권전문가 “유출 알고도 방치…피해 키웠다”

 

자체 조사를 진행하면서도 쿠팡은 개인정보위에 신고하지 않았다. 특히 지난 1월26일 한국인터넷진흥원이 쿠팡 협력사 등을 대상으로 다크웹 해킹포럼 누리집 게시 글 관련 조사를 진행하고 있다는 사실도 쿠팡은 파악한 상태였다. 당시 인터넷진흥원은 유출 정보가 쿠팡 고객 정보인지 여부는 특정하지 못한 상태였다. 개인정보보호법은 고객 정보 유출을 확인한 기업은 사고 발생 24시간 안에 한국인터넷진흥원과 개인정보위 등에 신고하고, 피해 당사자들에게 알리도록 정하고 있다. 개인정보보호 법령 및 지침·고시에는 유출의 의미를 개인정보처리자의 관리 범위를 벗어나 개인정보가 외부에 공개·누설된 모든 상태로 본다.

 

정보인권 전문가들은 쿠팡이 정보보호 책임자로서의 책임을 다하지 않아 2차 피해 가능성을 키웠다고 말한다. 장여경 정보인권연구소 상임이사는 “쿠팡 고객 개인정보가 다크웹에 올라온 뒤 오랜 시간 방치된 사이 개인정보가 추가로 거래되는 등의 2차 피해가 발생했을 수 있다”라며 “쿠팡 고객들이 개인정보 유출 사실을 언론 보도를 통해 알게 되고, 쿠팡이 협력업체 쪽에 책임을 전가하는 모습에서 고객정보를 얼마나 허술하게 관리했는지를 알 수 있다”고 말했다.

 

https://v.daum.net/v/20230321142507491

[해커접촉시도]

이와 함께 쿠팡이 고객 개인정보를 탈취해 판매에 나선 해커와 암호화 이메일(프로톤 이메일)로 접촉해 거래를 시도한 정황도 있다. 해커는 에 “쿠팡에 거래를 요청하는 메일을 보낸 뒤, 쿠팡 쪽으로부터 데이터 샘플을 제공해달라는 메일을 받았다”며 쿠팡 관계자로부터 받은 이메일을 제시했다. 이 이메일에는 “우리는 당신이 월요일(2023년 3월13일)에 전송한 사이버 취약성을 언급하는 이메일을 확인했다. 무엇을 원하나? 너의 진술을 확인하기 위해 추가 데이터 제공할 수 있나?”라는 내용이 담겨 있다. 이는 쿠팡이 그동안 “해커와 접촉한 적이 없다”고 밝혀온 입장과 상반된다.


쿠팡이 해킹을 2개월간 은폐, 협력사에 미루고 해커랑 접촉 안했다 거짓말에..자당시 윤석열 정부는 어떻게 했나요? 검색해도 기사가 최근 해킹건만 나오고 23년 건은 거의 없네요.