"쿠팡 3천만개 계정 유출"…배경훈, 인증 취약점 악용 정황에 긴급 대책회의

대규모 개인정보 유출 사태를 둘러싸고 정부와 대형 플랫폼 기업이 정면으로 마주섰다. 3천만개 이상 계정 정보가 외부 공격에 노출된 것으로 확인되면서, 플랫폼 보안 의무와 정부의 관리·감독 체계 전반에 대한 논쟁이 커지고 있다.

과학기술정보통신부는 30일 서울 종로구 정부서울청사에서 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 긴급 관계 부처 대책회의를 열고 쿠팡 개인정보 유출 사고 대응 방안을 논의했다. 배경훈 장관은 모두발언에서 쿠팡의 보안 취약점이 대규모 피해로 이어진 상황에 대해 유감을 표시하고, 철저한 사고 조사를 약속했다.

배경훈 장관은 "국민들이 많이 이용하는 플랫폼사까지 침해사고 및 개인정보유출이 발생하게 돼 송구하다"고 말했다. 그는 우선 사고 인지와 조사 경과부터 설명했다. 배 장관은 "정부는 지난 19일 쿠팡으로부터 침해 사고 신고를 받았고, 지난 20일 개인정보유출을 신고받은 이후 현장 조사를 진행 중"이라고 전했다.

정부 설명에 따르면 공격자는 쿠팡 서버에서 인증 절차가 허술한 지점을 파고들었다. 배 장관은 "공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 3천만개 이상의 고객 계정의 고객명, 이메일, 발송지 전화번호 및 주소를 유출한 것으로 확인했다"고 밝혔다. 통상 계정 침해는 아이디와 비밀번호 탈취 방식이 많지만, 이번 사고는 서버 측 인증 취약점이 핵심 통로였다는 점에서 중대성이 부각됐다.

정부는 사고 원인 규명과 피해 확산 차단을 위해 민관 공조 체계를 본격 가동했다. 배 장관은 "정부는 면밀한 사고조사 및 피해 확산 방지를 위해 금일부터 민관합조단을 가동하고 있다"고 설명했다. 민간 보안 전문가와 관계 부처가 참여하는 합동 조사 기구를 통해 공격 경로, 내부 통제 시스템, 사후 대응 과정 등을 종합 점검하겠다는 취지다.

관심은 쿠팡의 법적 책임 범위로도 향하고 있다. 배 장관은 "쿠팡이 개인정보보호와 관련한 안전 조치 의무를 위반했는지 여부도 조사 중에 있다"고 했다. 정보통신망법과 개인정보 보호법은 정보통신서비스 제공자에게 접속통제, 암호화, 접근권한 관리 등 기술적·관리적 보호조치를 강하게 요구하고 있어, 인증 취약점 방치 여부와 개선 노력 수준이 핵심 쟁점으로 떠오를 전망이다.

정치권에서도 대형 플랫폼의 반복된 보안 사고를 계기로 규제와 제재 수위를 높여야 한다는 목소리가 커질 가능성이 있다. 고객명, 이메일, 주소, 전화번호 등 생활밀착형 정보가 한 번에 유출될 경우 2차 스미싱, 보이스피싱, 계정 탈취 등으로 이어질 수 있어, 향후 국회 과학기술정보방송통신위원회에서 관련 현안 보고와 긴급 점검 요구가 제기될 공산이 크다.

정부는 우선 사고 경위를 면밀히 파악한 뒤, 법령 위반 여부에 따라 행정처분과 제도 보완 방안을 병행해 검토할 방침이다. 과학기술정보통신부와 관계 부처는 민관합조단 조사 결과를 토대로 대형 온라인 플랫폼 전반에 대한 보안 실태 점검과 추가 대책 논의를 이어갈 예정이다.