쿠팡 침해사고 및 개인정보 유출 사태가 당초 알려진 규모보다 훨씬 심각한 것으로 드러났다. 최초 신고 당시 4,536개 계정의 고객 정보가 유출된 것으로 파악됐으나, 조사 과정에서 3천만 개 이상 계정에서 고객명·이메일·주소·전화번호 등 개인정보가 유출된 사실이 확인됐다. 이에 따라 정부는 긴급 대응에 나섰다.

과학기술정보통신부(부총리 겸 장관 배경훈, 이하 과기정통부)와 개인정보보호위원회(위원장 송경희, 이하 개인정보위)는 11월30일 정부서울청사에서 긴급 대책회의를 열고 민관합동조사단을 구성·운영하기로 했다. 조사단은 사고 원인을 면밀히 분석하고 재발 방지 대책을 마련할 예정이다.

개인정보위는 쿠팡으로부터 두 차례 유출 신고(11월20일, 11월29일)를 접수한 뒤 11월21일부터 조사를 진행 중이다.

특히 쿠팡이 개인정보 보호법상 안전조치 의무(접근통제·권한 관리·암호화 등)를 위반했는지 여부를 집중 조사하고, 위반 사실이 확인될 경우 엄정 제재에 나설 방침이다.

정부 조사에 따르면 공격자는 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 절차 없이 대규모 계정에 접근, 개인정보를 탈취한 것으로 드러났다. 이로 인해 국민 다수의 연락처와 주소가 유출돼 스미싱·보이스피싱 등 2차 피해로 이어질 가능성이 높아졌다.

과기정통부와 개인정보위는 피해 확산을 막기 위해 보호나라(www.boho.or.kr)를 통해 대국민 보안 공지를 진행했으며, 3개월간 인터넷·다크웹 개인정보 불법 유통 모니터링 강화 기간을 운영한다.

예상되는 2차 피해 유형으로는 우선 스미싱으로 ‘피해보상 신청’, ‘환불’ 등 키워드를 활용해 악성 URL 클릭을 유도한다던지, 피싱사이트로 ‘피해사실 조회’ 등 검색 키워드로 포털 상단에 노출, 접속 유도를 할 수도 있다. 또한 보이스피싱으로 피해자에게 전화해 보상·환불 절차를 빙자, 원격제어 앱 설치를 유도 할 수 있다.

정부는 국민들에게 출처가 불분명한 문자·사이트 주소 클릭을 자제하고, 의심되는 경우 반드시 보호나라 카카오톡 채널 ‘스미싱·피싱 확인서비스’를 통해 확인할 것을 권고했다.

예방 및 대응 방법으로는 문자 수신 시 스팸 신고 기능을 활용하고, 보이스피싱통합신고대응센터를 통한 신고 및 이동통신사 번호도용문자차단서비스 무료 신청이 요구된다.

또한 모바일 결제 내역 확인 및 피해 발생 시 경찰서 사이버수사대 신고하고, 악성 앱 감염 시 모바일 백신 또는 서비스센터를 방문해 삭제하고, 금융서비스 이용 시 공인인증서·보안카드 폐기 및 재발급 해야 한다.

더불어 악성 앱이 주소록을 이용해 지인에게 스미싱을 재발송할 수 있으므로 주변에 피해 사실을 알리는 것도 중요하다.

배경훈 과기정통부 장관은 “국민 여러분께서는 쿠팡을 사칭하는 전화나 문자에 각별히 주의해 달라”며, “정부는 이번 사고로 인한 국민 불편과 심려를 해소하기 위해 최선을 다할 것”이라고 강조했다.

박대준 쿠팡 대표는 11월30일 정부서울청사에서 공개적으로 사과하며, 홈페이지에도 사과문을 게재했다.

한편 정보 유출을 저지른 용의자는 쿠팡에서 근무했던 중국 국적자로 알려졌다.