쿠팡에서 3370만명에 달하는 고객정보가 모두 털렸다. 이는 쿠팡의 구매이력이 있는 활성고객 2470만명을 훨씬 뛰어넘는 수치여서, 사실상 쿠팡에 가입한 모든 사람들의 이름과, 이메일주소, 배송지 주소록, 전화번호, 공동현관 비밀번호 등이 노출됐다고 봐야 한다.
이에 정부는 지난달 30일 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 국무조정실장, 개인정보위원회 위원장, 국가정보원 3차장 등이 참석한 가운데 이번 사고에 대한 신속한 대응과 국민 피해확산 방지를 위한 긴급 대책회의를 진행했다.
과기정통부는 "지난 11월 19일 쿠팡으로부터 침해사고 신고를 받았고, 같은달 20일 개인정보유출을 신고받은 이후 현장 조사를 진행중에 있으며, 조사 과정에서 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 3000만개 이상 고객 계정의 고객명, 이메일, 배송지 전화번호 및 주소를 노출한 것으로 확인했다"고 밝혔다.
이에 정부는 면밀한 사고조사 및 피해 확산 방지를 위해 지난달 30일부터 민관합동조사단을 가동하기 시작했다. 특히 개인정보위는 쿠팡이 개인정보 보호와 관련한 안전조치 의무(접근통제, 접근권한 관리, 암호화 등)를 위반했는지 여부도 집중조사하고 있다. 또 이번 사고를 악용해 피싱, 스미싱 공격을 통해 개인정보 및 금전 탈취 등 2차 피해가 발생하지 않도록 대국민 보안공지를 진행하고 있다.
사실 쿠팡의 이번 개인정보 탈취는 이미 5개월전에 시작된 것으로 파악되고 있다. 당초 쿠팡은 지난달 18일 침해사고를 인지하고 19~20일 당국에 이 사실을 신고했을 때 4500여개 계정이 노출된 것으로 파악했다. 하지만 당국의 조사결과, 지난 6월 24일부터 장기간 비정상적 접근이 있었던 것으로 파악됐다. 노출된 고객은 4500여개가 아니라 3370만개로 확인되면서 사태가 걷잡을 수 없이 커졌다. 이에 정부는 부랴부랴 이 사실을 국민에게 알리고, 쿠팡은 전 고객에게 이같은 사실을 알리는 문자를 발송했다.
당국은 서버 해킹을 통한 정보유출인지 다른 공격 방식을 통한 범행인지는 아직 단정하기 이르다는 입장이다. 정부는 현재까지 쿠팡 서버에서 발견된 악성코드는 없다고 밝혔다.
서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아 수사에 착수한 상태다. 이는 이번 사태가 해킹이 아닌 쿠팡 직원 소행으로 추정되기 때문이다. 이 직원은 중국 국적으로 알려졌으며, 이미 쿠팡에서 나와 한국을 떠난 것으로 전해졌다. 쿠팡 측이 지난 25일 경찰에 제출한 고소장에는 피고소인을 특정하지 않고 '성명불상자'로만 기재했다.
쿠팡은 지난달 30일 박대준 대표이사 명의로 "올해 6월 24일 시작된 쿠팡의 최근 사고에 유감을 표명한다"면서 "국민 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과드린다"고 머리를 숙였다. 아울러 "무단 접근된 고객정보는 이름, 고객 이메일, 전화번호, 배송지 주소, 그리고 특정주문 정보"라며 "결제정보와 신용카드 정보, 고객 로그인 정보는 포함되지 않았다"고 밝혔다.
Copyright @ NEWSTREE All rights reserved.
