민관합동조사단 조사 결과 발표… "핵심 금융 데이터 안전"
전 국민적 관심을 모았던 쿠팡 개인정보 유출 사고와 관련해 정부 민관합동조사단이 10일 최종 조사 결과를 발표했다.
일각에서 제기된 우려와 달리 비밀번호와 결제 정보 등 핵심 금융 데이터는 유출되지 않았으며, 현재까지 확인된 2차 피해 사례도 전무한 것으로 나타났다.
과학기술정보통신부와 개인정보보호위원회 등으로 구성된 민관합동조사단은 이날 정부서울청사에서 브리핑을 열고 이 같은 내용을 골자로 한 조사 결과를 공개했다.
조사단에 따르면 유출된 정보는 일부 회원의 이름, 이메일 주소, 휴대전화 번호 등 일반적인 신상 정보와 배송지 목록 조회 이력이다.
국민들이 가장 우려했던 금전적 피해 가능성은 사실상 차단된 것으로 확인됐다.
최우혁 과기정통부 정보보호네트워크정책실장은 "조사 결과 현재까지 이용자의 비밀번호와 카드 번호, 계좌 번호 등 민감한 결제 정보는 유출되지 않았다"고 밝혔다. 해당 정보들은 별도의 보안 서버에 암호화되어 저장되는 등 엄격하게 분리 관리되고 있어 이번 접근 대상에서 제외됐다는 설명이다.
실제 조사단이 파악한 피해 현황에서도 정보 유출을 빌미로 한 금전 요구, 스미싱, 명의 도용 등 실질적인 2차 피해 사례는 단 한 건도 확인되지 않았다. 이는 이번 사고가 불특정 다수의 금융 자산을 노린 전형적인 해킹 범죄와는 성격이 다르다는 점을 시사한다.
이번 사고의 원인은 외부의 고도화된 해킹 공격이 아닌, 내부 사정을 잘 아는 퇴직자의 소행으로 밝혀졌다. 범인은 과거 쿠팡에서 인증 시스템 개발에 참여했던 소프트웨어 엔지니어 출신으로, 재직 당시 취득한 시스템 정보를 악용해 무단 접속한 것으로 드러났다.
보안업계의 전문가는 "이번 사고는 쿠팡의 외부 방어벽이 뚫린 것이 아니라 내부 관리 체계의 허점을 파고든 사례"라며 "내부자 권한 관리에 대한 아쉬움은 남지만, 이를 두고 쿠팡의 전체 보안 시스템이나 결제 인프라가 붕괴됐다고 해석하는 것은 비약"이라고 지적했다.
이어 "핵심인 '돈'과 관련된 정보가 안전하다는 것이 팩트"라며 "확인되지 않은 루머에 휩쓸려 과도한 공포심을 가질 필요는 없다"고 덧붙였다.
조사단은 이번 사건을 계기로 내부 접근 권한 통제 강화 등 재발 방지 대책을 마련했다고 밝혔다. 아울러 범인의 구체적인 신원과 범행 동기 등에 대해서는 경찰 수사를 통해 명확히 규명될 예정이다.
정부 관계자는 "국민들의 불안을 해소하기 위해 신속하고 투명하게 조사를 진행했다"며 "기업의 보안 불감증에는 엄중히 대처하되, 근거 없는 불안감이 확산되지 있도록 정확한 사실 관계를 알리는 데 주력하겠다"고 말했다.
