【 청년일보 】 과학기술정보통신부(이하 과기정통부)가 쿠팡 개인 정보 유출 사건이 공격자의 쿠팡 서버 인증 취약점 악용으로 인해 발생했다고 밝혔다.

류제명 과기정통부 제2차관은 1일 국회에서 열린 과학기술정보방송통신위원회에서 "지난 11월 19일 오후 9시 35분 쿠팡으로부터 사고 신고가 최초 접수된 이후 과기정통부는 오후 10시 34분 사고 원인 분석을 위한 자료 보존 및 제출을 요구했다"며 "최초 신고 당시 유출 규모는 4천536개의 계정의 고객명, 이메일 주소 등이었다"고 말했다.

이어 "한국인터넷진흥원은 11월 21일부터 29일까지 현장 조사를 통해 추가 피해 여부를 파악했다"며 "2024년 7월부터 올해 11월까지 전수 로그 분석 결과 3천만개 이상의 계정에서 정보가 유출된 것으로 판단되어 11월 29일 과기정통부, 개인정보보호위원회 합동으로 대응 방안, 긴급 언론 보도와 2차 피해 방지를 위한 긴급 보안 공지 등을 추진했다"고 언급했다.

류 제2차관은 "11월 31일 과학기술정보통신부는 침해 규모 및 국민 피해 발생 등을 고려하여 민관 합동조사단을 구성하는 한편, 과기정통부, 국무조정실, 개인 정보위 등 관계 부처 간 긴급 장관회의를 개최하고 대응 방향을 논의했다"고 말했다.

그는 "공격자는 쿠팡 서버의 인증 취약점을 악용하여 정상적인 로그인 없이 고객 정보를 수차례 비정상으로 접속하여 유출했다"며 "이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 악용됐다"고 전했다.

또한 "현재까지 공격이 식별된 기간은 올해 6월 24일부터 11월 8일까지이며, 해당 기간에 무단 조회된 피해 계정은 3천만 개 이상"이라며 "유출된 정보는 고객명, 이메일, 배송지, 전화번호, 실제 주소 등으로 확인됐으며, 다만 정밀 조사를 통해 실제 피해 계정 숫자는 변동이 발생할 수 있다"고 설명했다.

또한 "확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3천만 건의 개인정보 유출을 주장했다"며 "다만 현재 언론 등에서 언급되고 있는 공격자의 신상에 대한 정보는 경찰 수사로 확인이 필요한 사항"이라며 일각에서 불거지고 있는 '중국인 연루설'에 신중한 입장을 보였다.

류 제2차관은 "앞으로 민관 합동조사단을 통해 사고 경위 및 쿠팡의 보안 문제점에 대해 면밀히 조사하고 그 결과를 국민들께 투명하게 공개하겠다"며 "또한 유출 정보 등을 악용하여 스미싱 등 2차 피해가 발생할 우려가 있어 2차 피해 발생 여부에 대한 모니터링을 강화하고 개인 정보위 경찰청 등 유관기관과 공조하여 2차 피해를 방지해 나가겠다"고 약속했다.

【 청년일보=김원빈 기자 】