"2차 피해 우려에 관계부처 긴급 대응 중"
"악성코드 흔적 없지만, 인증 취약점 이용 정황 있어"
"조사단 8명 우선 투입…국정원도 참여해 안보 위험성 검토"
[서울=뉴스핌] 양태훈 기자 = 정부가 쿠팡 개인정보 유출 사태와 관련해 "유출 규모는 약 3370만건으로 확인됐으나, 내부자 소행 여부나 해킹 여부는 아직 단정할 수 없다"고 신중한 입장을 밝혔다. 정부는 인증 취약점을 이용한 비정상 접근 정황을 확인하고 민관합동조사단을 구성해 사고 원인 규명과 피해 확산 방지에 나선 상황이다.
최우혁 과학기술정보통신부(이하 과기정통부) 네트워크정책실장은 30일 정부서울청사에서 기자들과 만나 "초기 쿠팡 신고 단계에서 유출 규모는 약 4500여건이었으나, 현장 조사와 추가 분석을 통해 약 3370만건으로 확인됐다"며 "이에 정부는 오늘부터 민관합동조사단을 구성해 정밀 분석에 착수했다"고 밝혔다.
민관합동조사단은 과기정통부 정보통신정책관을 단장으로 하고 우선 8명으로 편성됐다. 앞서 사이버 침해공격으로 인해 대규모 개인정보가 유출된 SK텔레콤·KT 사태처럼 필요시 인력을 확대할 방침이다.
정부는 이번 유출 사고가 쿠팡 내부자 소행이라는 언론 보도에 대해서도 신중한 입장을 유지했다. 최 실장은 "경찰이 쿠팡으로부터 수사 의뢰를 받아 조사 중이며 일부 정보를 공유받았지만 수사 상황이라 공개하기 어렵다"며 "정부는 사실관계를 단정하지 않으며, 수사·조사 결과를 확인한 뒤 투명하게 발표할 것"이라고 전했다.
또 "이날 회의에는 국정원 3차장이 참석했다"며 "국정원은 국가·국제 안보 관점에서 이번 사고에 안보적 요소가 있는지를 점검하는 역할을 맡았다"고 덧붙였다.
해킹 여부와 관련해서도 "배경훈 부총리가 모두발언에서 언급한 서버 인증 취약점 악용은 신고 및 현장 조사 과정에서 확인된 사실"이라며 "다만 이 과정이 해킹에 해당하는지, 내부 접근권한을 통한 악용인지 등은 조사 중인 만큼 지금 단정적으로 규정하기 어렵다. 악성코드는 현재까지 발견되지 않았지만, 추가 조사 후 명확히 확인하겠다"고 신중한 입장을 밝혔다.
아울러 5개월간 쿠팡의 개인정보 유출 규모를 파악하지 못한 경위에 대해서는 "추가 조사가 필요한 사안"이라며 "또한 일부 구매·주문 내역이 포함된 것으로 파악하고 있다. 결제 시스템은 분리돼 있는 것으로 알고 있지만 조사 중이어서 단정적으로 말하긴 어렵다"고 전했다.
쿠팡이 유출 대신 '노출'이라는 표현을 사용한다는 지적에 대해선 "경찰청이 쿠팡의 신고 이후 수사에 착수해 일부 정보를 관계부처와 공유한 상태"라며 "정부도 조사 결과를 바탕으로 정확한 용어를 사용할 것이다. 다만 지금 단계에서 특정 단어를 쓰면 오히려 혼란이 생길 수 있다"고 밝혔다.
한편 정부는 쿠팡 가입자 정보의 대규모 유출로 인한 2차 피해 방지에 대한 의지를 내비쳤다.
최 실장은 "현재 정부는 스미싱·피싱 등 2차 피해 우려를 가장 심각하게 보고 있다"며 "어제 보안나라를 통해 대국민 보안공지를 냈고, 오늘 회의에서도 모든 관계부처가 2차 피해 차단을 최우선 과제로 논의했다"고 말했다.
또 "개인정보보호위원회는 앞으로 3개월간 다크웹을 포함한 인터넷 공간에서 개인정보 불법 유통 여부를 집중 모니터링하기로 했다"며 "정부는 국민 불안을 최소화하기 위해 사실 확인 중심으로 대응하고 있다. 민관합동조사단 조사, 개인정보위 조사, 경찰 수사가 마무리되는 시점에 관계부처가 다시 모여 종합 대책을 논의할 것"이라고 강조했다.
dconnect@newspim.com
