다만, 일각에서 제기된 중국 국적의 쿠팡 전 직원이 고객 개인정보를 유출했다는 지적에 대해서는 선을 그었다. 수사 중이라는 의미다.
[이데일리 이영훈 기자] 30일 오후 정부서울청사 2층 회의실에서 쿠팡 관련 긴급 관계부처장관회의가 열리고 있다. 유재성 경찰청장 직무대행(왼쪽부터 반시계방향으로), 송경희 개인정보보호위원장, 김창섭 국정원 3차장, 최우혁 과기정통부 네트워크정책실장, 배경훈 부총리 및 과기정통부 장관, 윤창렬 국무조정실장.
정부는 쿠팡 침해사고 및 개인정보 유출 사태와 관련해 신속한 대응 및 국민 피해 확산 방지를 위해 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 관계기관이 참석하는 긴급 대책회의를 30일 서울 광화문 정부서울청사에서 개최했다. 비공개로 진행된 이날 회의에는 쿠팡 측과 과기정통부, 국무조정실, 개인정보보호위원회, 경찰청, 국정원 관계자들이 참석했다.
이날 최우혁 과기정통부 네트워크정책실장은 회의 직후 기자들과 만나 질의 응답을 진행했다. 그는 일부 보도에서 제기된 ‘내부 직원 개입설’에 대해 정확한 조사가 이뤄지기 전에 밝히는 것에 대해 조심스러운 입장을 보였다.
최 실장은 “언론에서 나온 중국 국적 직원 개입설 등은 수사 정보로, 현재 단계에서 정부가 밝히기 어렵다”며 “경찰이 일부 내용을 공유했지만 공개할 수준은 아니다. 지금까지 발견된 악성 코드나 이런 부분은 없다”라고 답했다.
정부는 지난 19일 쿠팡으로부터 침해사고 신고, 20일 개인정보유출 신고를 받은 이후 현장 조사를 진행 중이다. 조사 과정에서 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 3370만 개 이상 고객 계정의 고객명, 이메일, 배송지 전화번호 및 주소를 유출한 것으로 확인했다.
안전 조치 위반으로 서버 뚫렸나
이 과정에서 쿠팡 측에서 안전조치 의무를 위반했는지 여부가 핵심 쟁점으로 떠오를 전망이다. 특정인의 불법 행위로 노출된 것인지 내부 조치 미흡으로 유출된 것인지에 대한 명확한 조사가 요구되는 상황이다.
배경훈 부총리 및 과기정통부 장관은 모두발언을 통해 “공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 고객명, 이메일, 배송지, 전화번호 및 주소를 유출한 것으로 확인했다”라며 “정부는 면밀한 사고 조사 및 피해 확산 방지를 위해 오늘부터 민관 합동조사단을 가동하고 있으며, 쿠팡이 개인정보 보호와 관련한 안전 조치 의무를 위반했는지 여부도 조사 중에 있다”라고 말했다.
정부는 면밀한 사고 조사 및 피해 확산 방지를 위해 30일 부터 민관합동조사단을 가동하고 있다. 임정규 정보보호네트워크정책관을 단장으로 8명 규모로 구성했으며 향후 추가배치 가능성도 있다.
특히 개인정보위는 쿠팡이 개인정보 보호와 관련한 안전조치 의무(접근통제, 접근권한 관리, 암호화 등)를 위반했는지 여부도 집중 조사 중에 있다. 또한, 이번 사고를 악용해 피싱, 스미싱 공격을 통해 개인정보 및 금전 탈취 등 2차 피해가 발생하지 않도록 대국민 보안공지를 지난 29일 진행했고, 이날부터 3개월간을 인터넷상(다크웹 포함) 개인정보 유노출 및 불법유통 모니터링 강화 기간으로 운영한다.
최 실장은 “국민들께서 느끼시는 불안과 우려를 먼저 최소화시켜 드리는 게 정부로서는 중요한 포인트라고 판단을 했다”라며 “오늘 오후 2시 현장에 조사단과 개보위 조사하는 인력들이 나가서 확인 중에 있다. 진전되고 확인되는 사항이 있으면 다시 말씀드리도록 하겠다”라고 전했다.
