AD
[서울=뉴시스] 심지혜 박은비 기자 = 3370만명에 달하는 쿠팡 이용자 정보가 유출된 가운데, 공격자가 쿠팡 서버 인증 취약점을 악용해 정상적인 로그인 절차 없이 고객 이름과 이메일, 배송지 주소 및 전화번호 등 개인정보를 유출한 사실이 정부 조사 과정에서 확인됐다.
쿠팡의 이용자 개인정보 관리 체계에 심각한 허점이 있었다는 얘기다. 다만 외부 해킹에 의한 정보 유출인지, 내부인의 소행인지는 명확하게 밝혀지지 않았다.
쿠팡은 유출된 개인정보에 결제 정보와 신용카드 번호, 로그인 정보는 포함되지 않았다고 밝혔지만 정부는 “단정할 수 없다”며 추가 조사를 진행하겠다는 방침이다.
배경훈 부총리 및 과학기술정보통신부 장관은 30일 정부서울청사에서 쿠팡 침해사고 및 개인정보 유출 사태와 관련해 관계기관이 참석하는 긴급 대책회의를 개최했다.
현장에는 윤창렬 국무조정실장, 송경희 개인정보보호위원장, 유재성 경찰청장 직무대행, 김창섭 국정원 3차장을 비롯해 박대준 쿠팡 대표 등이 참석했다.
◆ 쿠팡 인증 서버에 심각한 취약점…”로그인없이 정보 유출”
정부는 지난 11월 19일 쿠팡으로부터 침해사고 신고, 11월 20일 개인정보유출 신고를 받은 이후 현장 조사를 진행하고 있다. 조사 과정에서 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 3370만개 이상 고객 계정의 고객명, 이메일, 배송지 전화번호 및 주소, 일부 구매 이력 등이 유출한 것으로 확인했다.
정부는 면밀한 사고 조사 및 피해 확산 방지를 위해 이날부터 민관합동조사단을 가동했다. 특히 개인정보위는 쿠팡이 개인정보 보호와 관련한 접근통제, 접근권한 관리, 암호화 등 안전조치 의무를 위반했는지 여부도 살펴보고 있다.
쿠팡은 결제 정보와 신용카드 번호, 로그인 정보는 포함되지 않았다고 했지만 정부는 추가 조사를 통해 최종 확인하겠다는 방침이다.
이번 계정 유출 사고는 쿠팡이 자체적으로 고객 계정 정보 유출 사실을 인지하면서 확인됐다. 정부는 현재까지 쿠팡 서버에서 발견된 악성코드는 없는 것으로 파악하고 있다.
최우혁 과기정통부 네트워크정책실장은 회의 직후 기자들과 만난 자리에서 “지금까지는 발견된 악성코드가 없으나 추가로 발견되지 않을 것이라고 단정할 수 없어 검증한 다음에 밝힐 것”이라며 “다크웹에 (개인정보 등이) 올라와 있는 상황은 아니고 계속 모니터링하고 있다”고 설명했다.
고객 계정 유출 방식과 관련해서는 “공격하는 방식이 다양하기 때문에 내부자 정보 유출인지, 해킹인지 단정적으로 말하기가 어렵다”며 “과거 특정 사례에서 내부자가 정보를 들고 나가는 경우도 있고, 내부자가 악성코드를 심어서 정보를 가지고 나가는 경우도 있다”고 했다.
정부는 결제정보가 유출되지 않았다는 쿠팡 측 입장에 대해서는 “쿠팡은 결제정보와 개인정보가 다른 시스템에 있다고 했지만 조사 중이라 아직 단정짓기 어렵다”고 말했다.
정부는 면밀한 사고 조사 및 피해 확산 방지를 위해 이날부터 민관합동조사단을 가동했다. 특히 개인정보위는 쿠팡이 개인정보 보호와 관련한 접근통제, 접근권한 관리, 암호화 등 안전조치 의무를 위반했는지 여부도 살펴보고 있다.
아울러 이번 사고를 악용해 피싱, 스미싱 공격을 통해 개인정보 및 금전 탈취 등 2차 피해가 발생하지 않도록 대국민 보안공지를 진행했다.
또 이날부터 3개월간을 ‘인터넷상(다크웹 포함) 개인정보 유노출 및 불법유통 모니터링 강화 기간’으로 운영하기로 했다.
배 부총리는 “통신사, 금융사에 이어 국민들이 많이 이용하는 플랫폼사까지 이어진 침해사고 및 개인정보 유출에 송구하다는 말씀 드린다”고 말했다.
이어 “국민 여러분께서는 쿠팡을 사칭하는 전화나 문자 등에 각별히 주의해 2차 피해가 일어나지 않도록 당부드린다”며 “정부는 이번 사고로 인한 국민 여러분의 불편과 심려를 해소할 수 있도록 최선의 노력을 다할 것”이라고 강조했다.
정부는 민관합동 조사단 점검, 개인정보보호위원회 조사, 경찰 수사가 마무리되는 시점에 관계기관 입장을 다시 정리하는 후속 회의를 열어 근본 대책을 마련할 계획이다.
◆ 고개 숙인 쿠팡 대표 “고객과 국민들께 심려 끼쳐 죄송”
한편 이날 회의에 참석한 박대준 쿠팡 대표는 지난 6월부터 계정정보 유출이 발생, 5개월간 유출을 인지하지 못한 이유를 묻는 질문에 “기술적으로 길게 설명해야 하는 사안이고 수사가 진행 중이라 상세히 말씀드리기 어렵다”며 “유출을 인지한 뒤 스스로 자진 신고했고 피해자 개별 통지도 했다”고 말했다.
일각에서 제기된 ‘중국 국적 직원 연루’ 의혹과 관련해서는 “수사 영역이고 적극 협조 중이며, 해당 언급 자체가 수사에 영향을 줄 수 있어 말씀드리기 어렵다”며 답변을 피했다.
피해 보상에 대해서는 “피해 범위와 유출 내용을 명확히 확정하는 것이 우선으로 다음으로는 재발 방지 대책 마련이 급하다”며 “이런 부분이 확정되고 나면 합리적인 방안을 성실하게 수행하겠다”고 말했다.
이어 “내부 조사 내용을 정부에 투명하게 제공하고 있으며 강제력이나 공권력이 필요한 만큼 수사를 통해 결론을 내리는 게 최선이라고 생각한다”고 덧붙였다.
박 대표는 이번 사태에 대해 머리 숙여 사과했다. 그는 “이번 사태로 피해를 입은 쿠팡 고객들과 국민들께 심려를 끼쳐드려 죄송한 말씀과 사과의 말씀을 드린다”고 했다.
이어 “이번 정부 합동조사에 최대한 적극적으로 협조해 이 사태가 빠르게 진정될수 있도록 최선의 노력을 다하겠다”며 고 했다.
◎공감언론 뉴시스 siming@newsis.com, silverline@newsis.com
