[단독] 7년 전에도 '계정 도용' 피해…신고도 없었다

<앵커>

저희가 입수한 쿠팡 내부 자료를 보면, 7년 전 쿠팡 계정 정보가 대규모로 도용되는 피해가 발생했다는 언급이 등장합니다. 그런데 쿠팡은 이 사건을 당국에 신고조차 하지 않았던 것으로 드러났습니다. 실제 비슷한 시기에 쿠팡 계정이 도용된 피해자를 저희가 접촉했습니다.

이태권 기자의 단독 보도입니다.

<기자>

지난 2018년 12월 20일 40대 A 씨는 쿠팡에서 구매하지도 않은 30만 원짜리 모바일 상품권 1천140만 원어치가 새벽 시간에 결제된 사실을 알게 됐습니다.

[A 씨/쿠팡 계정 도용 피해자 : 한 15분 동안 38회에 걸쳐서 1천140만 원이 결제됐는데 쿠팡이 이런 걸 걸러내지 못했어요.]

누군가가 A 씨의 계정으로 로그인한 뒤 결제 비밀번호를 입력해 무단 결제한 겁니다.

급히 경찰과 금융감독원 등에 신고했고 모바일 상품권이 사용되지 않아 쿠팡에서 전액 환불을 받았습니다.

다만 수사는 해외 IP가 사용됐다며 진척되지 않았습니다.

[A 씨/쿠팡 계정 도용 피해자 : 해외에 있다고 종결됐어요 그냥. 범인은 못 잡았어요. 해외에 있으니까.]

그런데 SBS가 입수한 쿠팡 내부 메일에는 A 씨 사건이 발생한 시기에 쿠팡 고객들의 계정 정보 도용 피해가 다수 있었다는 정황이 나타납니다.

2019년 7월 당시 쿠팡 최고개인정보보호책임자가 다른 보안책임자로부터 받은 메일입니다.

2018년 12월 크리스마스 연휴 기간에도 쿠팡 고객들이 대규모 계정 정보 도용 피해를 입었다며 이듬해 1월 이에 대해 논의했다고 적혀 있습니다.

A 씨의 사건이 메일에 언급된 계정 정보 도용 피해에 해당하는지는 알 수 없지만, 시기는 거의 일치합니다.

2018년 당시 기준으로 정보통신망법상 쿠팡과 같은 서비스 제공자는 개인정보가 분실·도난·유출되면 인지 즉시 24시간 내에 이용자에게 통지하고 방송통신위원회 또는 인터넷진흥원에 신고하도록 돼 있습니다.

위반 시 3천만 원 이하의 과태료를 부과하도록 돼 있습니다.

하지만 해당 기관들에 확인한 결과 쿠팡은 당시 A 씨 사건을 신고하지 않았던 것으로 드러났습니다.

또 금감원에도 신고했어야 하는 사고였지만, 금감원 측은 "그 당시 쿠팡 측에서 자신 신고하지 않았다"고 밝혔습니다.

쿠팡은 A 씨 사건에 대해 "고객 경험에 영향을 끼치는 중대한 사건이 발생할 경우 투명하게 규제기관과 소통해 왔다"면서도 '2018년 대규모 계정 정보 도용 피해'에 대한 해명은 내놓지 않았습니다.

(영상취재 : 오영춘·강시우, 영상편집 : 우기정)