‘쿠팡 개인정보 유출 사태’에 정부 “서버 인증 취약점 악용한 사실 확인”

정부가 쿠팡의 개인정보 유출 사태에 대한 긴급 대책을 논의했다.

배경훈 부총리 겸 과학기술정보통신부 장관은 30일 오후 정부서울청사에서 관계 부처 긴급 대책회의를 열고 “통신사, 금융사에 이어 국민들이 많이 이용하는 플랫폼사까지 침해 사고 및 개인정보유출이 발생해 송구하다”고 밝혔다.

회의에는 배 부총리와 윤창렬 국무조정실장, 송경희 개인정보보호위원장, 유재성 경찰청장 직무대행, 김창섭 국가정보원 3차장, 최우혁 과기정통부 네트워크정책실장 등이 참석했다.

배 부총리는 “정부는 지난 19일 쿠팡으로부터 침해 사고 신고를 받았고, 지난 20일 개인정보유출을 신고받은 이후 현장 조사를 진행 중”이라고 설명했다.

이어 “공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 3천만개 이상의 고객 계정의 고객명, 이메일, 발송지 전화번호 및 주소를 유출한 것으로 확인했다”고 밝혔다.

정부는 철저한 사고 조사 의지를 보였다. 배 부총리는 “정부는 면밀한 사고조사 및 피해 확산 방지를 위해 금일부터 민관합동조사단을 가동하고 있다”면서 “쿠팡이 개인정보보호와 관련한 안전 조치 의무를 위반했는지 여부도 조사 중이다”고 전했다.

또 배 부총리는 “이번 사고를 악용해 피싱, 스미싱 공격을 통해 개인정보 및 금전 탈취 등 2차 피해가 발생하지 않도록 대국민 보안공지를 진행했고, 금일부터 3개월간 ‘인터넷상 개인정보 노출 및 불법유통 모니터링 강화 기간’으로 운영한다”고 했다.

박대준 쿠팡 대표도 이날 회의에 참석했다. 박 대표는 “피해를 입은 쿠팡 고객들과 국민에게 심려를 끼쳐서 죄송한 말씀과 사과의 말씀을 드린다”며 “정부 합동 조사에 최대한 적극적으로 협조해 이 사태가 빠르게 진정될 수 있도록 최선의 노력을 다하겠다”고 말했다.

박 대표는 이 자리에서 쿠팡이 파악한 사고 경위와 대응 현황을 정부에 보고했다.

앞서 쿠팡은 지난 19일 고객 개인정보 유출을 최초 신고하면서 4,500여개의 계정에서 고객명·이메일·주소 등의 정보가 유출된 것으로 파악했다고 밝힌 바 있다. 하지만 조사 과정에서 고객정보 유출 규모가 3,379만개 계정으로 확대됐다.

정부는 이번 유출 사고가 쿠팡 내부자 소행이라는 의혹에 대해선 신중한 입장을 보였다. 대책 회의 직후 기자들과 만난 최우혁 과기정통부 네트워크정책실장은 “경찰로부터 일부 정보를 공유받았지만, 정부는 사실관계를 단정하지 않고, 수사와 조사 결과를 확인한 후 투명하게 발표하겠다”고 말했다.

과기정통부는 대규모 유출과 추가 피해 우려 등 사안의 중대성을 고려해 이날 민관합동조사단을 구성해 사고 원인 분석과 재발 방지 대책 마련에 착수했다.