고객정보 유출된 쿠팡

국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3천만건이 넘는 대규모 정보 유출 사고가 발생했다. 쿠팡은 현재까지 고객 계정 약 3천370만개가 유출된 것을 확인했다. 이는 국내 성인 네 명 중 세 명의 정보에 해당하며, 사실상 쿠팡 전체 계정에 맞먹을 것으로 추정된다. 사진은 30일 서울 송파구 쿠팡 본사. ​​​사진=연합뉴스

정부가 쿠팡의 개인정보 대규모 유출 사태와 관련해 30일 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 긴급 대책 회의를 열고 철저한 사고 조사를 약속했다.

국민들이 많이 이용하는 플랫폼사에서 발생한 대규모 개인정보 유출에 대해 배경훈 부총리는 송구함을 표하며, 유출 원인 규명과 피해 확산 방지에 총력을 기울이겠다는 입장을 밝혔다.

배경훈 부총리는 이날 오후 정부서울청사에서 열린 관계 부처 긴급 대책회의에서 "정부는 지난 11월 19일 쿠팡으로부터 침해 사고 신고를 받았고, 11월 20일 개인정보 유출을 신고받은 이후 현장 조사를 진행 중"이라고 전했다.

이어 "공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 절차 없이 3천만개 이상의 고객 계정 정보(고객명, 이메일, 발송지 전화번호, 주소)를 유출한 것으로 확인했다"고 설명했다.

이에 정부는 면밀한 사고 조사 및 피해 확산 방지를 위해 이날부터 민관 합동 조사단을 가동하고 있으며, 쿠팡이 개인정보보호 관련 안전 조치 의무를 위반했는지 여부도 조사 중이라고 배경훈 부총리는 덧붙였다.

배경훈 부총리 겸 과학기술정보통신부 장관.사진=연합뉴스

배경훈 부총리는 또한 이번 사고를 악용하여 피싱, 스미싱 등 공격을 통해 개인 정보 및 금전 탈취 같은 2차 피해가 발생하지 않도록 대국민 보안 공지를 진행했다고 밝혔다.

이날 부터 3개월간 '인터넷상 개인정보 노출 및 불법 유통 모니터링 강화 기간'으로 운영하여 2차 피해를 집중적으로 감시할 방침이다.

정부는 쿠팡의 신고를 받고 현장 조사에 착수하여, 쿠팡이 11월 19일 최초 신고 당시 밝힌 계정 4천5백여 개가 아닌 3천3백7십9만개에 이르는 유출 규모를 확인했다.

'쿠팡 개인정보 유출' 악용 예시 및 보호 방법

국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 대규모 개인정보 유출 사고가 발생하면서 이를 악용한 스미싱·보이스피싱 등 2차 피해가 우려돼 주의가 필요하다. 한국인터넷진흥원(KISA)은 지난 29일 보안 공지를 통해 "'피해보상', '피해 사실 조회', '환불' 등 키워드를 활용한 피해기업 사칭 스미싱 유포 및 피해보상 안내를 빙자한 보이스피싱 등 피싱 시도가 예상된다"고 경고했다.사진=연합뉴스

다만 서버 해킹을 통한 정보 유출인지 다른 공격 방식을 통한 범행인지는 아직 단정하기 이르다는 것이 정부의 입장이다.

최우혁 과기정통부 네트워크정책실장은 "공격 방식이 다양하기 때문에 유출이 해킹이라고 단정적으로 말하기는 어렵다"며, 과거 내부자에 의한 정보 유출이나 (인증) 계정을 활용한 사례도 있었다고 언급했다.

정부는 현재까지 쿠팡 서버에서 악성코드는 발견되지 않았다고 밝혔으며, 쿠팡 측이 금융 정보는 유출되지 않았으므로 정보 변경이 불필요하다고 발표한 부분에 대해서는 조사 결과를 더 지켜봐야 한다는 입장이다.

쿠팡 관련 긴급 관계부처 장관회의

배경훈 부총리 겸 과학기술정보통신부 장관이 30일 서울 종로구 정부서울청사에서 열린 쿠팡 관련 긴급 관계부처 장관회의에서 발언하고 있다. 이날 회의에는 유재성 경찰청장 직무대행, 송경희 개인정보보호위원장, 국정원 관계자, 윤창렬 국무조정실장 등이 참석했다.사진=연합뉴스

정부는 또한 국가 배후 해킹 공격 등 다양한 가능성을 모두 열어놓고 이번 사건에 접근하고 있다고 밝혔다.

이날 회의에는 배경훈 부총리를 비롯해 윤창렬 국무조정실장, 송경희 개인정보보호위원장, 유재성 경찰청장 직무대행, 김창섭 국가정보원 3차장, 최우혁 과기정통부 네트워크정책실장 등이 참석했다.

박대준 쿠팡 대표도 비공개 회의 도중 합류하여 회사 측이 파악한 사고 경위와 대응 현황을 정부에 보고했다.