"서버 인증 취약점 악용"…안전조치 의무 위반 여부 조사
30일부터 민관합동조사단 가동…다크웹 모니터링 강화
쿠팡 고객 3천만명이 넘는 개인정보가 유출되면서 정부가 긴급 대책회의를 열고 피해 확산 방지에 나섰다.
정부는 30일 정부서울청사에서 배경훈 부총리 겸 과학기술정보통신부 장관 주재 긴급 대책회의를 열었다. 회의에는 윤창렬 국무조정실장, 송경희 개인정보보호위원장, 김창섭 국가정보원 3차장, 유재성 경찰청장 직무대행 등이 참석했다. 정부는 "쿠팡 침해사고가 대규모 국민 피해로 이어질 수 있는 중대한 사안"이라며 조사 고도화와 보안 강화 필요성을 강조했다.
정부는 지난 19일 쿠팡으로부터 침해사고 신고를, 20일에는 개인정보유출 신고를 받은 뒤 현장 조사를 진행해왔다. 조사 과정에서 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 3천370만개 이상 고객 계정의 고객명, 전자우편, 배송지 전화번호와 주소를 유출한 것으로 확인했다. 국내 성인 4명 중 3명의 정보에 해당하는 규모로, 사실상 전체 쿠팡 계정 대부분이 노출됐다는 분석이 나온다.
사고가 내부자 소행으로 추정되는 기존 의혹과 달리 정부는 이번 발표에서 인증 체계 취약점이 뚫렸다는 점을 명확히 하며 쿠팡의 전반적 보안 관리 실태에 대한 의문을 제기했다. 개인정보보호위원회는 쿠팡이 접근통제, 접근권한 관리, 암호화 등 법상 안전조치 의무를 위반했는지 집중 조사 중이다. 위반 사실이 확인될 경우 강력한 제재가 예상된다.
정부는 국민 피해 확산을 막기 위한 즉각적 조치도 시행했다. 29일 피싱·스미싱 경보를 포함한 대국민 보안 공지를 발령했고, 30일부터 3개월간 '인터넷상(다크웹 포함) 개인정보 유노출 및 불법유통 모니터링 강화 기간'을 운영한다. 유출 정보를 악용한 금전 탈취, 추가 개인정보 탈취 시도가 발생할 가능성에 대비한 조치다. 또 이날부터 민관합동조사단이 공식 가동되며 사고 원인 규명과 재발 방지 대책 마련을 병행한다.
배 부총리는 "국민 여러분께서는 쿠팡을 사칭하는 전화나 문자 등에 각별히 주의해 2차 피해가 일어나지 않도록 당부드린다"며 "정부는 이번 사고로 인한 국민 여러분의 불편과 심려를 해소할 수 있도록 최선의 노력을 다할 것"이라고 강조했다.
정부가 대규모 개인정보 유출 사태에 즉각 대응 체계를 가동하면서 쿠팡의 보안 관리 책임과 재발 방지 대책 마련이 불가피해졌다. 앞서 SK텔레콤·KT 등에서 발생한 대형 사고가 외부 해킹에서 비롯된 것과 달리 내부 직원 소행으로 추정되면서 보안 체계의 근본적 허점이 부각됐기 때문이다. 게다가 규모 또한 2011년 싸이월드·네이트(3천500만명) 유출 사고와 비슷한 수준이다.
