3400만 계정 털린 쿠팡 사태 파장…‘中국적’ 핵심 피의자 추적

배경훈 부총리 “쿠팡 서버 인증 취약점 악용해 고객 정보 유출”
민관합동조사단 가동…3개월간 불법 유통 집중 모니터링 방침
고개 숙인 박대준 대표 “수사 적극 협조…경찰 “피의자 신속 검거 노력”

(시사저널=이혜영 기자)

국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3400만 건에 달하는 대규모 정보 유출 사고가 발생했다. 사진은 11월30일 서울 송파구 쿠팡 본사 ⓒ 연합뉴스

국내 이커머스(전자상거래) 시장 1위 기업인 쿠팡에서 대규모 고객 정보 유출 사태가 발생해 파장이 이어지고 있다. 쿠팡은 3400만 명에 달하는 고객정보가 빠져나간 사실을 5개월 동안 인지하지 못했던 것으로 드러났다. 당국이 합동조사에 착수한 가운데 경찰은 핵심 피의자 추적에 나섰다.  

정부는 30일 쿠팡의 개인정보 유출 사태와 관련해 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 관계 부처 긴급 대책회의를 열고 철저한 조사 및 추가 피해 최소화를 약속했다.

배 부총리는 "국민들이 많이 이용하는 플랫폼사까지 침해사고 및 개인정보유출이 발생하게 돼 송구하다"며 "정부는 지난 19일 쿠팡으로부터 침해 사고 신고를 받았고, 지난 20일 개인정보유출을 신고받은 이후 현장 조사를 진행 중"이라고 전했다.

이어 "공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 3000만 개 이상 계정의 고객명, 이메일, 발송지 전화번호 및 주소를 유출한 것으로 확인했다"고 설명했다.

배경훈 부총리 겸 과학기술정보통신부 장관이 11월30일 서울 종로구 정부서울청사에서 열린 쿠팡 개인정보 유출 사태 관련 긴급 대책회의에서 발언하고 있다. 이날 회의에는 유재성 경찰청장 직무대행, 송경희 개인정보보호위원장, 국정원 관계자, 윤창렬 국무조정실장 등이 참석했다. ⓒ 연합뉴스

배 부총리는 "정부는 면밀한 사고조사 및 피해 확산 방지를 위해 금일부터 민관 합동 조사단을 가동하고 있다"며 "쿠팡이 개인정보보호와 관련한 안전 조치 의무를 위반했는지 여부도 조사 중"이라고 했다.

정부는 이번 사고를 악용한 피싱, 스미싱 공격을 통해 개인정보 및 금전 탈취 등 2차 피해가 발생하지 않도록 대국민 보안공지를 진행하는 한편 3개월간 '인터넷상 개인정보 노출 및 불법유통 모니터링 강화 기간'을 운영한다는 방침이다. 

정부는 현장 조사를 벌여 유출 규모가 지난 19일 쿠팡이 최초 신고 당시 밝힌 계정 4500여 개가 아닌 3379만 개임을 확인했다. 다만 서버 해킹을 통한 정보 유출인지, 아니면 다른 공격 방식을 통한 범행인지는 단정하기 이르다는 입장이다. 현재까지 쿠팡 서버에서 발견된 악성코드는 없는 것으로 파악됐다. 

쿠팡 측이 신용카드 번호를 비롯한 금융정보는 유출되지 않았다며 정보 변경 필요가 없다고 밝힌 데 대해 정부는 조사 결과를 더 지켜봐야 하는 상황이라고 언급했다. 정부는 또 국가 배후 해킹 공격 등 다양한 가능성을 모두 열어놓고 접근 중이라고 밝혔다.

11월30일 정부서울청사에서 쿠팡 관련 긴급 관계부처 장관회의가 열린 가운데 박대준 쿠팡 대표가 회의장을 나서며 공개 사과하고 있다. ⓒ 연합뉴스

고개 숙인 쿠팡 대표 "심려 끼쳐 죄송" 

박대준 쿠팡 대표는 이날 관계부처 긴급 대책회의에 출석하기 전 "이번 사태로 인해 피해를 보신 쿠팡 고객들과 국민들에게 심려를 끼쳐드려 너무 죄송한 말씀과 사과의 말씀을 드린다"며 고개를 숙였다.

박 대표는 이후 취재진과 가진 질의응답에서 '5개월간 정보 유출을 인지 못 한 이유'를 묻자 "기술적으로 설명해야 하고 조금 긴 설명이 될 것 같다. 현재 수사가 진행 중이라 상세히 말씀드리긴 어렵다"고 구체적인 답변을 피했다.

그는 이어 "저희가 (개인정보 유출을) 인지하고 스스로 자진신고를 했다"며 "그 다음 피해자들에게 개별 통지도 했다"고 설명했다.

일각에서 제기된 '중국 국적 직원의 개인정보 유출' 의혹과 관련해 박 대표는 "수사 영역이고 수사에 적극 협조 중"이라며 "그 얘기를 하는 것 자체가 수사에 영향을 주는 만큼 말씀드리기 어렵다"고 말했다.

피해 보상에 관한 질문에는 "피해자와 피해 범위, 유출 내용을 명확히 확정하는 게 우선"이라며 "그다음 급한 것은 재발 방지 대책이다. 이런 부분이 확정되면 피해에 대해 합리적 방안을 성실히 수행할 수 있을 것"이라고 대답했다. 

그러면서 "내부 조사 결과를 정부 기관에 투명하게 제공하고 협력하고 있다"며 "저희 혼자 단정 짓기에는 이 사안이 너무 크고 강제력이나 공권력도 필요하다. 같이 조사하고 협력해 결론을 내는 게 최선"이라고 부연했다.

경찰은 대규모 개인정보 유출 사태에 개입된 핵심 용의자 등을 추적 중이다. 

서울경찰청 사이버수사대는 쿠팡으로부터 서버 기록 등 이번 사건과 관련한 자료를 임의제출 받아 분석에 들어갔다. 이번 유출 사태는 쿠팡에 근무했던 중국 국적자가 개입된 것으로 알려졌다. 해당 직원은 이미 출국한 것으로 파악됐는데, 경찰은 내부 직원을 통한 조직적 범행 등 모든 가능성을 열어놓고 수사한다는 방침이다. 

유재성 경찰청장 직무대행은 "다수의 국민이 피해를 입은 사안인 만큼 철저한 수사를 통해 진상을 규명하고 피의자를 신속히 검거하는 한편 관계 부처와 협력해 국민 피해를 최소화할 수 있도록 노력하겠다"고 말했다.

서울청 사이버수사대는 지난 21일 쿠팡 개인정보 유출 사건에 대해 입건 전 조사(내사)에 착수했으며, 25일 쿠팡의 고소장을 접수해 수사로 전환했다. 쿠팡은 고소장에서 정보통신망법상 정보통신망 침입 혐의로 '성명불상자'를 수사해달라고 요청했다.

쿠팡은 지난 20일 정보 유출 피해 고객 계정이 4500여 개라고 발표했으나, 9일 만에 규모를 7500배에 달하는 3370만 개라고 정정했다. 유출된 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보 등이다.