정부가 쿠팡 해킹 사고의 1차적 원인으로 회사의 서버 인증 시스템에 구멍이 있다고 보고 공식적인 조사에 착수했다. 특히 대규모 개인정보를 악용한 보이스피싱과 스미싱 등 금융 사기로 인해 국민이 2차 피해를 당하지 않도록 집중 대응하겠다는 방침이다.
배경훈 과학기술부총리 겸 과학기술정보통신부 장관은 30일 정부서울청사에서 쿠팡 관련 긴급 관계부처 장관회의를 주재하고 “조사 과정에서 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 3000만 개 이상의 고객 정보를 유출한 것으로 확인했다”며 “이날부터 민관합동조사단을 가동하고 면밀한 사고 조사와 피해 확산 방지에 나서겠다”고 밝혔다.
이번 해킹이 중국 국적의 쿠팡 전(前) 직원 소행일 가능성이 제기된 가운데 쿠팡 고객 개인정보를 담은 서버가 외부인이나 비인가 직원의 접속에 취약한 구조임을 시사한 것이다. 정부는 국가 배후 해킹 공격 등 다양한 가능성을 모두 열어놓고 접근 중이라고 밝혔다. 악성코드 감염과 개인정보 다크웹 유출은 아직 발견되지 않았다.
배 부총리는 특히 유출 정보를 악용한 2차 피해를 우려했다. 그는 “국민께서는 이번 사고를 악용해 쿠팡을 사칭한 전화나 문자메시지 등에 각별히 주의하고 2차 피해가 일어나지 않도록 당부드린다”며 “3개월간 ‘인터넷상 개인정보 유·노출 및 불법유통 모니터링 강화 기간’을 운영해 (2차 피해를) 집중 모니터링하겠다”고 했다.
배 부총리는 회의에서 박대준 쿠팡 대표에게 사고 현황을 보고받고 윤창렬 국무조정실장, 송경희 개인정보보호위원장, 유재성 경찰청장 직무대행, 김창섭 국가정보원 3차장, 최 실장과 대책을 논의했다. 개인정보위는 특히 쿠팡이 접근 통제, 접근권한 관리, 암호화 등 개인정보 보호와 관련한 안전조치 의무를 다했는지 조사 중이다.
과기정통부는 또 지난달 22일 발표한 ‘범부처 정보보호 종합대책’에 따라 이동통신 3사에 이어 조만간 쿠팡 등 플랫폼사를 포함한 정보기술(IT) 시스템 1600곳의 보안 취약점을 점검할 계획이다. 쿠팡 등 인증기업들이 잇달아 해킹당하며 실효성 논란을 빚는 정보보호 관리체계 인증(ISMS) 제도도 개편 중이다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
sookim@sedaily.com
