정부 "쿠팡 내부자 소행 단정 어려워…발견된 악성코드 없어"

중국 국적 전 직원 개입설에 "수사 영역"
3개월간 모니터링 강화…진전 사항 발표

정부가 쿠팡에서 발생한 개인정보 유출 사고는 쿠팡 서버 인증의 취약점에서 비롯됐다고 밝혔다. 다만 쿠팡에서 근무했던 중국 국적 직원의 소행일 가능성에 대해선 말을 아꼈다.

30일 정부서울청사에서 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 쿠팡 개인정보 유출 사태 관련 긴급 관계장관회의가 열리고 있다. 연합뉴스

정부는 30일 정부서울청사에서 긴급 관계장관회의를 열고 쿠팡 침해사고 및 개인정보 유출 사태와 관련해 수습 방안을 논의했다. 비공개로 진행된 이날 회의에는 배경훈 부총리 겸 과학기술정보통신부 장관, 윤창렬 국무조정실장, 송경희 개인정보보호위원장, 유재성 경찰청장 직무대행, 김창섭 국가정보원 3차장, 최우혁 과기정통부 네트워크정책실장 등이 참석했다.

정부는 지난 19~20일 쿠팡으로부터 신고받아 현장 조사를 진행한 결과 3379만개 계정에서 고객명·이메일·주소 등의 정보가 유출된 것으로 확인했다. 쿠팡이 최초 신고 당시 파악한 피해 계정은 4536개였다.

정부는 서버 해킹을 통한 정보 유출인지 단정하기 이르다고 했다. 최 실장은 회의 직후 기자들과 질의응답에서 "과거 특정 사례에서 내부자가 정보를 들고 나가는 케이스도 있었고, (인증) 계정을 가지고 하는 경우도 있었다"며 "공격 방식이 다양하기 때문에 유출이다 해킹이다 단정적으로 말하긴 어렵다"고 설명했다.

내부자 개입설에도 조심스러운 입장을 보이며, 국가 배후 해킹 공격 등 모든 가능성을 열어놓고 접근 중이라고 전했다. 최 실장은 "중국 국적 전 직원 개입 의혹은 수사 영역으로, 지금 시점에 정부가 밝히기 어렵다"며 "발견된 악성 코드는 없다. 추후 수사나 조사에 진전이 있으면 투명하게 밝히겠다"고 강조했다.

아울러 고객 금융정보가 유출되지 않은 데 대해서는 "쿠팡이 (개인정보와 금융정보 저장 서버가) 다른 시스템이라고 얘기하고 있다. 현재 조사 중이다"고 말했다.

정부는 철저한 사고 조사를 약속했다. 배 부총리는 모두발언에서 "조사 과정에서 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 3000만개 이상 고객 계정의 고객명, 이메일, 배송지 전화번호와 주소를 유출한 사실을 확인했다"며 "국민들이 많이 이용하는 플랫폼사까지 침해사고 및 개인정보 유출이 발생해 송구하다"고 밝혔다.

그러면서 "정부는 면밀한 사고 조사 및 피해 확산 방지를 위해 이날부터 민관합조단을 가동하고 있다"며 "쿠팡이 개인정보 보호와 관련한 안전 조치 의무를 위반했는지 여부도 조사 중"이라고 설명했다.

특히 개인정보위는 쿠팡이 개인정보 보호와 관련한 안전조치 의무(접근통제, 접근권한 관리, 암호화 등)를 위반했는지 여부도 집중 조사하고 있다. 이번 사고를 악용해 피싱, 스미싱 공격을 통해 개인정보 및 금전 탈취 등 2차 피해가 발생하지 않도록 전날 대국민 보안 공지도 진행했다. 향후 3개월간을 '인터넷상(다크웹 포함) 개인정보 유노출 및 불법유통 모니터링 강화 기간'으로 운영한다는 방침이다.

한편, 이날 박대준 쿠팡 대표도 회의 도중 합류해 회사 측이 파악한 사고 경위와 대응 현황을 정부에 보고했다.

노경조 기자 felizkj@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>