쿠팡 서버 인증 취약점 악용…로그인 없이 이름·전화번호·주소 유출

박대준 쿠팡 대표가 30일 서울 종로구 정부서울청사에서 열린 쿠팡 개인정보 유출 관련 긴급 관계부처 장관회의에서 참석하며 쿠팡 이용자에게 사과하고 있다. 뉴스1

[파이낸셜뉴스] 쿠팡의 대규모 개인정보 유출 사고는 공격자가 쿠팡 서버의 인증 취약점을 악용한 것으로 나타났다. 공격자는 정상적 로그인 없이 3000만개 이상 고객 계정의 고객명, 이메일, 배송지 전화번호, 주소를 유출했다. 정부는 쿠팡이 접근통제, 접근권한 관리, 암호화 등 개인정보 보호 안전조치 의무 위반 여부를 집중 조사하고 있다.

11월30일 정부는 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 서울 종로구 정부서울청사에서 관계기관 참석 하에 열린 쿠팡 침해사고 및 개인정보 유출 사태 관련 긴급 대책회의를 열었다.

정부는 지난 11월 19일 쿠팡으로부터 침해사고 신고, 11월 20일 개인정보유출 신고를 받은 이후 현장 조사를 진행 중이다.

앞서 쿠팡은 개인정보보호위원회에 3370만건의 정보유출이 발생했다고 신고했다.

정부는 조사 과정에서 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 3000만개 이상 고객 계정의 고객명, 이메일, 배송지 전화번호, 주소를 유출한 것으로 확인했다.

정부는 면밀한 사고 조사 및 피해 확산 방지를 위해 이날부터 민관합동조사단을 가동 중이다.

특히 개인정보위는 쿠팡이 개인정보 보호와 관련한 안전조치 의무를 위반했는지 조사하는 한편, 이번 사고를 악용해 피싱, 스미싱 공격을 통해 개인정보 및 금전 탈취 등 2차 피해가 발생하지 않도록 대국민 보안공지를 진행했다. 정부는 이날부터 3개월 간 다크웹을 포함한 인터넷상 개인정보 유·노출 및 불법유통 모니터링 강화 기간으로 운영한다.

배 부총리는 “국민 여러분께서는 쿠팡을 사칭하는 전화나 문자 등에 각별히 주의하여 2차 피해가 일어나지 않도록 당부드린다"며 “정부는 이번 사고로 인한 국민 여러분의 불편과 심려를 해소할 수 있도록 최선의 노력을 다할 것"이라고 전했다.

mkchang@fnnews.com 장민권 기자