정부 "쿠팡 인증키로 비정상 접속 수차례…6월24일~11월8일 유출"

류제명 2차관, 2일 과방위 현안질의서 밝혀
경찰 수사로 공격자 신상 파악 예정
"스미싱 등 2차 피해 모니터링 강화"

답변하는 류제명 과기부 2차관. 연합뉴스

과학기술정보통신부가 2일 국회 현안질의에서 쿠팡 개인정보 유출 사고의 공격 기간이 올해 6월24일부터 11월8일까지였다고 확인했다.

류제명 과기정통부 2차관은 이날 과학기술정보방송통신위원회 현안질의 현장에서 "공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 고객 정보를 비정상적으로 수차례 접속·유출했다"며 "이 과정에서 쿠팡 서버 접속 시 사용되는 인증용 토큰을 전자서명하는 암호키가 악용됐다"고 밝혔다.

류 차관은 "전수 로그 분석 결과 3000만개 이상의 계정에서 정보가 유출된 것으로 판단돼 11월29일 과기정통부·개인정보보호위원회가 합동으로 대응방안 마련, 긴급 언론 발표, 2차 피해 방지를 위한 보안 공지 등을 추진했다"고 설명했다. 이어 "유출 규모와 국민 피해 가능성을 고려해 11월31일 민관 합동조사단을 구성하고, 과기정통부·국무조정실·개인정보위 등 관계 부처 간 긴급 장관회의도 열어 대응 방향을 논의했다"고 덧붙였다.

현재까지 파악된 공격 기간은 2025년 6월24일부터 11월8일까지다. 이 기간 무단 조회된 피해 계정은 3000만개 이상으로 집계됐다. 유출된 정보는 고객명, 이메일, 배송지, 전화번호, 실제 주소 등이 확인됐으며, "정밀 조사를 거치면 피해 계정 규모는 변동될 수 있다"고 정부는 밝혔다.

류 차관은 이번 사고가 외부 제보로 처음 확인됐다는 점도 언급했다. 그는 "확인이 필요한 이상자가 쿠팡 측에 이메일을 보내 이메일·배송지 등 3000만건에 달하는 개인정보 유출을 주장했다"고 말했다. 다만 "언론 등에서 언급되는 공격자 신상은 경찰 수사를 통해 확인이 필요한 사안"이라고 선을 그었다.

정부는 앞으로 민관 합동조사단을 통해 사고 경위와 쿠팡의 보안 문제점을 면밀히 규명하고 결과를 투명하게 공개하겠다는 방침이다. 아울러 스미싱 등 2차 피해 우려가 커진 만큼 "2차 피해 발생 여부를 지속 모니터링하고, 개인정보위·경찰청 등 관계 기관과 공조해 추가 피해를 방지하겠다"고 밝혔다.

박유진 기자 genie@asiae.co.kr