CloudPNG

ºC

logo
정치

“쿠팡 3천만 계정 무단 접속” 배경훈 "인증 취약점 악용…민관 합동조사 착수"

권하영 기자
입력

쿠팡 대규모 개인정보 유출을 둘러싸고 정부와 플랫폼 기업이 맞붙었다. 정부는 계정 3천만개 이상이 공격자에 의해 무단 접근된 것으로 확인했다며 민관 합동 조사단을 출범시키고, 2차 피해 차단을 위한 강경 대응에 나섰다.

 

배경훈 부총리 겸 과학기술정보통신부 장관은 30일 오후 정부서울청사에서 관계 부처 긴급 대책회의를 열고 쿠팡 개인정보 유출 사고의 경위를 보고받고 대책을 논의했다. 그는 모두발언에서 "국민들이 많이 이용하는 플랫폼사까지 침해사고 및 개인정보유출이 발생하게 돼 송구하다"고 밝혔다.

배경훈 부총리는 "정부는 지난 19일 쿠팡으로부터 침해 사고 신고를 받았고, 지난 20일 개인정보유출을 신고받은 이후 현장 조사를 진행 중"이라고 설명했다. 쿠팡 측이 처음 신고한 유출 규모는 계정 4천500여개 수준이었다.

 

그러나 정부 합동 조사를 통해 확인된 피해 규모는 신고 당시와는 전혀 다른 수준이었다. 배 부총리는 "공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 3천만개 이상의 고객 계정의 고객명, 이메일, 발송지 전화번호 및 주소를 유출한 것으로 확인했다"고 말했다. 정부는 후속 조사 과정에서 유출 계정 수를 3천379만개로 특정했다.

 

정부는 사고 원인과 책임 소재를 규명하기 위해 강도 높은 조사에 들어갔다. 배 부총리는 "정부는 면밀한 사고조사 및 피해 확산 방지를 위해 금일부터 민관 합동 조사단을 가동하고 있다"며 "쿠팡이 개인정보보호와 관련한 안전 조치 의무를 위반했는지 여부도 조사 중이다"고 전했다. 조사단에는 과학기술정보통신부, 국무조정실, 개인정보보호위원회, 경찰청, 국가정보원 등 관계 기관이 참여했다.

 

이번 사고의 기술적 원인에 대해서는 아직 단정하지 않고 있다. 최우혁 과학기술정보통신부 네트워크정책실장은 "공격 방식이 다양하기 때문에 유출이다 해킹이다 단정적으로 말하긴 어렵다"고 말했다. 그는 이어 "과거 특정 사례에서 내부자가 정보를 들고 나가는 케이스도 있었고 인증 계정을 가지고 하는 경우도 있었다"고 언급하며, 내부자 개입과 외부 공격을 포함한 여러 가능성을 동시에 검토하고 있음을 시사했다.

 

정부는 현재까지 쿠팡 서버에서 발견된 악성코드는 없다고 밝혔다. 다만 서버 해킹을 통한 정보 유출인지, 인증 체계 취약점을 활용한 비인가 접속인지, 또 다른 방식이 동원됐는지에 대해서는 추가 포렌식과 로그 분석이 필요하다는 입장이다. 또한 국가 배후 해킹 공격 가능성도 열어둔 채 수사를 진행 중이라며, 구체적 정황은 수사 상황을 보며 판단하겠다고 설명했다.

 

피해 정보 범위와 2차 피해 우려도 쟁점이 되고 있다. 쿠팡 측은 금융 정보가 유출되지 않았다며 결제수단 변경 등 추가 조치는 필요 없다는 취지로 설명했다. 그러나 정부는 이에 대해 "조사 결과를 더 지켜봐야 하는 상황"이라고 언급했다. 실제로 이름, 이메일, 전화번호, 주소 등 기본 정보만으로도 피싱, 스미싱, 스푸핑 공격에 악용될 수 있어 이용자 주의가 요구된다.

 

배 부총리는 "이번 사고를 악용해 피싱, 스미싱 공격을 통해 개인정보 및 금전 탈취 등 2차 피해가 발생하지 않도록 대국민 보안공지를 진행했고, 금일부터 3개월간 인터넷상 개인정보 노출 및 불법유통 모니터링 강화 기간으로 운영한다"고 밝혔다. 정부는 이 기간 동안 다크웹과 불법 거래 사이트 등을 중심으로 쿠팡발 개인정보 유통 정황을 집중 추적할 계획이다.

 

이날 긴급회의에는 배경훈 부총리 외에 윤창렬 국무조정실장, 송경희 개인정보보호위원장, 유재성 경찰청장 직무대행, 김창섭 국가정보원 3차장, 최우혁 과기정통부 네트워크정책실장이 참석했다. 관계 부처는 정보 공유 체계를 강화하고, 수사와 행정조치를 병행하기로 했다.

 

쿠팡 측도 정부 회의에 뒤늦게 동참했다. 박대준 쿠팡 대표는 비공개로 진행된 회의 도중 합류해 회사가 파악한 사고 경위와 내부 대응 현황을 보고했다. 정부는 쿠팡의 초기 신고 내용과 이후 진술, 내부 로그 자료 등을 대조해 신고 지연이나 축소 보고 여부도 함께 점검할 방침이다.

 

정부는 이번 사안을 국민 다수가 이용하는 플랫폼 서비스의 신뢰와 직결된 중대 사고로 보고 있다. 특히 인증 체계 취약점이 확인된 만큼 다른 온라인 서비스 전반으로 점검을 확대할 수 있다는 관측도 제기된다. 과학기술정보통신부와 개인정보보호위원회는 조사 결과에 따라 과징금 부과, 시정명령 등 행정 제재와 함께 재발 방지 대책을 마련할 계획이다.

 

이날 정부서울청사에서 열린 긴급회의를 기점으로 개인정보 보호 체계 전반에 대한 점검과 제도 논의도 속도를 낼 전망이다. 정부는 조사 결과를 토대로 쿠팡에 대한 조치뿐 아니라 플랫폼 기업 전반을 대상으로 한 가이드라인과 추가 규제 방안을 검토할 예정이다.

권하영 기자
share-band
밴드
URL복사
#배경훈#쿠팡#개인정보유출