배경훈 부총리 “정보 유출 송구”…쿠팡 사태 민관합동 조사단 가동
정부가 쿠팡에서 발생한 대규모 개인정보 유출 사태에 대한 긴급 대책을 논의했다.
배경훈 부총리겸 과학기술정보통신부 장관은 30일 오후 정부서울청사에서 관계 부처 긴급 대책 회의를 열고 “통신사, 금융사에 이어 국민들이 많이 이용하는 플랫폼사까지 침해 사고 및 개인정보유출이 발생해 송구하다”고 밝혔다. 이 자리에는 윤창렬 국무조정실장, 송경희 개인정보보호위원장, 유재성 경찰청장 직무 대행, 김창섭 국가정보원 3차장 등이 참석했다.
배 부총리는 “정부는 지난 19일 쿠팡으로부터 침해 사고 신고를 받았고, 20일 개인정보유출을 신고받은 이후 현장 조사를 진행 중”이라며 “공격자가 쿠팡 서버 인증 취약점을 악용해 정상적 로그인 없이 3000만개 이상 고객 계정의 고객명, 이메일, 발송지 전화번호 및 주소를 유출한 것으로 확인됐다”고 말했다. 이어 “정부는 면밀한 사고조사 및 피해 확산 방지를 위해 민관합동조사단을 가동하고 있다”며 “쿠팡이 개인정보보호와 관련한 안전 조치 의무를 위반했는지도 조사 중”이라고 밝혔다.
이날 박대준 쿠팡 대표도 회사 측이 파악한 사고 경위 등을 정부에 보고했다. 박 대표는 “피해를 입은 쿠팡 고객들과 국민에게 심려를 끼쳐서 죄송한 말씀과 사과의 말씀을 드린다”며 “정부 합동 조사에 최대한 적극적으로 협조해 이 사태가 빠르게 진정될 수 있도록 최선의 노력을 다하겠다”고 말했다.
대책 회의 직후 최우혁 과기정통부 네트워크정책실장은 기자들과 만나 “초기 쿠팡 신고단계에서 유출 규모는 약 4500건이었지만, 현장 조사와 추가 분석을 통해 3370만건으로 확인됐다”고 설명했다.
정부는 이번 유출 사고가 쿠팡 내부자 소행이라는 의혹에 대해선 신중한 입장을 유지했다. 최 실장은 “경찰로부터 일부 정보를 공유 받았지만, 정부는 사실관계를 단정하지 않고, 수사와 조사 결과를 확인한 후 투명하게 발표하겠다”고 말했다.
아울러 현재까지 쿠팡 서버에서 악성코드는 발견되진 않았다고 밝혔다. 최 실장은 “서버 인증 취약점 악용은 신고 및 현장 조사 과정에서 확인된 사실”이라며 “다만 이 과정이 해킹에 해당하는지, 내부 접근 권한을 통한 악용인지 등은 지금 단정적으로 규정하기 어렵다”고 했다. 이어 “악성코드는 현재까지 발견되지 않았지만, 추가 조사 후 명확히 확인하겠다”고 덧붙였다.
쿠팡이 5개월간 개인정보 유출 규모를 파악하지 못한 것에 대해선 “추가 조사가 필요한 사안”이라며 “결제 시스템은 분리돼있는 걸로 알지만 조사 중이라 단정적으로 말하긴 어렵다”고 했다. 정부는 쿠팡이 금융 정보가 유출되지 않았다며 정보 변경 필요가 없다고 밝힌 것에 대해선 조사 결과를 더 지켜봐야 한다는 입장이다.
정부는 이번 사고를 악용한 스미싱·피싱 등 2차 피해가 발생하지 않도록 29일 대국민 보안 공지를 했다. 또 30일부터 3개월간 ‘인터넷상(다크웹 포함) 개인 정보 유출·노출 및 불법 유통 모니터링 강화 기간’으로 운영할 예정이다. 배 부총리는 “2차 피해가 일어나지 않도록 쿠팡을 사칭하는 전화나 문자 등에 각별히 주의해달라”며 “이번 사고로 인한 국민 여러분의 불편과 심려를 해소할 수 있도록 최선을 다하겠다”고 말했다.
여성국.정용환([email protected])