정부가 쿠팡의 개인정보 유출 사태와 관련된 긴급 대책회의를 열고 철저한 사고 조사를 약속했다. 과학기술정보통신부는 이번 사태와 관련해 민관 합동조사단을 꾸려 사고 원인 분석과 재발 방지 대책 마련에 나섰다.

정부는 30일 쿠팡 침해사고 및 개인정보 유출 사태와 관련해 배경훈 부총리 겸 과기정통부 장관 주재로 관계기관이 참석하는 긴급 대책회의를 열었다. 이번 회의는 신속한 대응과 피해 확산 방지를 위해 열린 것으로, 정부 관계자들은 현재의 대응 상황 등을 설명했다.

배 부총리는 “지난 11월19일 쿠팡으로부터 침해사고 신고, 20일 개인정보 유출 신고를 받은 이후 현장 조사를 진행 중”이라며 “조사 과정에서 공격자가 쿠팡 서버의 인증 취약점을 악용하여 정상적인 로그인 없이 3000만개 이상 고객 계정의 고객명, e메일, 배송지 전화번호 및 주소를 유출한 것으로 확인했다”고 밝혔다.

그는 이어 “정부는 면밀한 사고 조사 및 피해 확산 방지를 위해 30일부터 민관 합동조사단을 가동하고 있으며, 특히 개인정보위는 쿠팡이 개인정보 보호와 관련한 안전조치 의무(접근통제, 접근권한 관리, 암호화 등)를 위반했는지 여부도 집중 조사 중”이라고 밝혔다.

배 부총리는 또 “이번 사고를 악용해 피싱, 스미싱 공격을 통해 개인정보 및 금전 탈취 등 2차 피해가 발생하지 않도록 대국민 보안공지를 진행한다”며 “오늘부터 3개월간 ‘인터넷상 개인정보 노출 및 불법유통 모니터링 강화 기간’으로 운영한다”고 덧붙였다.

정부는 쿠팡 측 신고를 받고 현장 조사에 나서 유출 규모가 쿠팡이 지난 19일 최초 신고 당시 밝힌 계정 4500여개가 아닌 3370만개임을 확인했다. 다만 서버 해킹을 통한 정보 유출인지 다른 공격 방식을 통한 범행인지는 아직 단정하기 이르다는 입장이다.

정부는 현재까지 쿠팡 서버에서 발견된 악성코드는 없다고 밝혔다. 최우혁 과기정통부 네트워크정책실장은 “공격 방식이 다양하기 때문에 유출이다 해킹이다 단정적으로 말하긴 어렵다”며 “과거 특정 사례에서 내부자가 정보를 들고 나가는 케이스도 있었고 (인증) 계정을 가지고 하는 경우도 있었다”고 말했다.

정부는 쿠팡이 금융 정보가 유출되지 않았다며 정보 변경 필요가 없다고 밝힌 데 대해 조사 결과를 더 지켜봐야 하는 상황이라고 언급했다.

정부는 또 국가 배후 해킹 공격 등 다양한 가능성을 모두 열어놓고 접근하고 있다고 설명했다.