쿠팡 개인정보 유출 사고의 공격 기간이 지난 6월 24일부터 11월 8일까지였던 것으로 확인됐다. 

류제명 과학기술정보통신부 2차관은 2일 국회 과학기술정보방송통신위원회 긴급 현안 질의에서 "전수 로그 분석 결과 3000만 개 이상 계정에서 개인정보가 유출됐으며, 공격자는 로그인 없이 비정상 접속을 반복했다"고 밝혔다. 

인증용 토큰을 전자서명하는 암호키가 유출 과정에 사용된 정황도 확인됐다. 정부는 스미싱 등 2차 피해 우려에 대비해 모니터링을 강화한 상태다.

[미니해설] 정부, "쿠팡 개인정보 유출, 6월부터 4개월간 조직적 침투"

쿠팡 대규모 개인정보 유출 사고가 장기간에 걸친 조직적 침투 공격이었음이 정부 조사에서 드러났다. 

과학기술정보통신부는 2일 국회 보고를 통해 쿠팡의 개인정보 유출 사고의 공격 식별 기간이 지난 6월 24일부터 11월 8일까지 약 4개월 이상 지속됐다고 밝혔다. 이 기간 동안 3000만 개가 넘는 고객 계정의 개인정보가 외부로 유출된 정황이 확인되면서, 국내 전자상거래 역사상 최대급 보안 사고라는 평가가 나온다.

과기정통부에 따르면 공격자는 정상적인 로그인 절차를 거치지 않고 고객 정보에 비정상적으로 다수 접속하는 방식으로 정보를 탈취했다. 

특히 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 유출 과정에 악용된 정황이 포착되면서 보안 체계의 근간이 흔들렸다는 지적이 제기되고 있다. 이는 단순한 계정 도용이나 피싱 차원의 문제가 아니라, 인증 인프라 전반이 위협받았을 가능성을 시사한다.

정부는 현재까지 유출된 정보가 이름, 이메일, 배송지 정보 등으로 파악하고 있으나, 실제 피해 범위는 수사 진행에 따라 더 확대될 가능성도 배제할 수 없다는 입장이다. 류 차관은 "스미싱 등 2차 피해로 번질 가능성이 있어 관계 기관과 함께 모니터링을 강화하고 있다"고 밝혔다.

최근 제기된 '퇴사한 중국인 인증 담당자 연루설'과 관련해서는 신중한 입장을 유지했다. 류 차관은 "현재 언급되는 공격자의 신상은 경찰 수사를 통해 확인이 필요한 사안"이라며 "미상자가 쿠팡 측에 이메일을 보내 3000만 건의 개인정보 유출을 주장한 상태"라고 설명했다. 현재로선 내부자 개입 여부를 단정할 수 없다는 의미다.

이번 사고와 관련해 류 차관은 관리 부실 가능성도 공개적으로 지적했다. 그는 "기술적 차이는 있지만 과거 KT 펨토셀 관리 부실로 발생한 무단 소액결제 사고와 유사하게, 관리 소홀이라는 공통된 문제점이 보인다"고 말했다. 이는 시스템 보안 설계보다 운영과 관리 체계에 구조적 허점이 있었음을 시사하는 대목이다.

정치권에서는 제재 수위에 대한 질의도 이어졌다. 박정훈 국민의힘 의원은 전자상거래법상 통신판매로 소비자 재산상 손해가 발생할 경우 영업정지가 가능한지를 물었고, 이에 대해 류 차관은 "관계 기관과 적극 협의하겠다"고 답했다. 개인정보 유출에 그치지 않고 소비자 피해가 현실화될 경우, 강력한 행정 처분 가능성도 열어둔 발언으로 해석된다.

민관합동조사단 구성이 늦었다는 비판도 제기됐다. 정부는 최초 신고 당시 유출 규모가 4536건으로 파악됐고, 모든 사고에 민관합동조사단을 즉각 구성하기는 어렵다는 이유를 들었다. 그러나 이후 유출 규모가 3000만 건 이상으로 급속히 확대되면서, 초기 대응의 안이함이 사태를 키운 것 아니냐는 지적이 나오고 있다.

이번 사건은 단순한 기업 보안 사고를 넘어, 국내 금융·유통·플랫폼 산업 전반의 인증 보안 구조와 개인정보 보호 체계에 대한 전면 재점검 필요성을 다시 한 번 부각시키고 있다. 특히 인증 토큰과 암호키 관리 체계가 뚫렸다는 점은 여타 대형 플랫폼에도 동일한 구조적 위험이 존재할 수 있음을 보여준다.

정부와 수사 당국의 후속 조치, 쿠팡의 피해 보상 대책, 그리고 향후 행정 처분 수위에 따라 이번 사고는 국내 개인정보 보호 정책의 중대한 분기점으로 기록될 가능성이 크다. 소비자의 신뢰 회복을 위한 실질적인 후속 조치 없이는 플랫폼 산업 전반에 대한 불신 또한 장기화될 수 있다는 우려가 확산되고 있다.