[서울이코노미뉴스 김보름 기자] 정부는 쿠팡에서 발생한 3370만개 고객계정 개인정보 유출 사태와 관련해 "쿠팡 서버 취약점이 악용돼 고객 전화번호와 주소 등이 유출됐다"고 밝혔다.
경찰은 쿠팡에 근무하다가 퇴사한 중국인 직원이 정보 유출을 주도했을 가능성에 대해 집중 수사 중이다.
배경훈 부총리 겸 과학기술정보통신부 장관은 이날 정부서울청사에서 열린 긴급 관계부처 회의에서 "공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 3000만개 이상 계정의 고객명, 이메일, 발송지 전화번호 및 주소를 유출한 것으로 확인했다"고 밝혔다.
배 부총리는 "정부는 지난 19일 쿠팡으로부터 침해 신고를 받았고, 지난 20일 개인정보유출을 신고 받은 이후 현장 조사를 진행 중"이라면서 "국민들이 많이 이용하는 플랫폼사까지 침해사고 및 개인정보유출이 발생하게 돼 송구하다"고 말했다.
배 부총리는 "정부는 면밀한 사고조사 및 피해 확산 방지를 위해 금일부터 민관합조단을 가동하고 있다"면서 "쿠팡이 개인정보보호와 관련한 안전 조치 의무를 위반했는지 여부도 조사 중이다"고 설명했다.
이어 "이번 사고를 악용해 피싱, 스미싱 공격을 통해 개인정보 및 금전 탈취 등 2차 피해가 발생하지 않도록 대국민 보안공지를 진행했고, 금일부터 3개월간 '인터넷상 개인정보 노출 및 불법유통 모니터링 강화 기간'으로 운영한다"고 밝혔다.
이날 회의에는 배 부총리와 윤창렬 국무조정실장, 송경희 개인정보보호위원장, 유재성 경찰청장 직무대행, 김창섭 국가정보원 3차장, 최우혁 과기정통부 네트워크정책실장 등이 참석했다. 박대준 쿠팡 대표도 비공개로 진행된 회의 도중 합류해 회사 측이 파악한 사고 경위와 대응 현황을 정부에 보고했다.
정부는 쿠팡이 안전조치의무를 위반했는지 여부를 조사 중이다.
당초 쿠팡은 지난 20일 4500개 개인정보가 유출됐다고 발표했는데, 11일 만에 3370만개 계정으로 수정 발표했다. 쿠팡의 활성 고객 수가 2470만명이라는 점을 고려하면 탈퇴 회원을 포함해 쿠팡을 한번이라도 이용한 거의 모든 국민의 개인정보가 외부로 나간 셈이다.
쿠팡은 신용카드 번호 등 결제 정보는 유출되지 않았다고 밝혔다.
한편 이번 사태는 외부 해킹이 아닌 내부자 소행으로 보이는 정황이 있는 것으로 전해졌다.
이날 연합뉴스 등에 따르면 서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 이번 사태와 관련한 고소장을 접수해 수사 중이다.
쿠팡의 고소장에는 피고소인이 특정되지 않고 ‘성명불상자’로 기재됐지만, 이미 퇴사한 중국국적 전 직원이 유출에 관련된 것으로 쿠팡 내부에서는 추정하고 있다는 것이다.
문제의 직원은 이미 쿠팡을 퇴사했고 한국을 떠난 것으로 알려졌다.
쿠팡은 이번 정보 유출 사고가 해킹 등 외부 요인에 의한 것은 아닌 것처럼 내비쳤다.
쿠팡 대표, "큰 불편과 걱정 끼쳐 죄송…사태 빠른 규명 노력"
박대준 쿠팡 대표는 이날 오후 정부서울청사에서 기자들과 만나 "이번 사태로 인해 피해를 보신 쿠팡 고객들과 국민들에게 심려를 끼쳐드려 너무 죄송한 말씀과 사과의 말씀을 드린다"며 고개를 숙였다.
이어 “사태의 원인이 빠르게 규명될 수 있도록 노력하겠다”고 말했다.
쿠팡은 이날 박 대표 명의의 별도 사과문에서 "모든 고객 정보를 보호하는 것이 가장 중요한 우선순위"라면서 "종합적인 데이터 보호 및 보안 조치와 프로세스를 유지하고 있다"고 밝혔다.
또 "과학기술정보통신부와 개인정보보호위원회, 한국인터넷진흥원, 경찰청 등 민관합동조사단과 긴밀히 협력해 추가적인 피해 예방을 위해 최선을 다하겠다"고 강조했다.
그러면서 "앞으로 이러한 사건으로부터 고객 데이터를 더 안전하게 보호할 수 있도록, 현재 기존 데이터 보안 장치와 시스템에 어떤 변화를 줄 수 있는지 검토하고 있다"고 덧붙였다.