과학기술정보통신부가 쿠팡 개인정보 유출 사고에서 현재까지 공격이 식별된 기간은 지난 6월24일부터 11월8일까지라고 밝혔다.
2일 열린 국회 과학기술정보방송통신위원회(과방위) 쿠팡 개인정보 유출 사고 관련 긴급 현안 질의에서 류제명 과기정통부 2차관은 대응 경과보고를 통해 "지난해 7월부터 올해 11월까지 전수 로그 분석을 한 결과 3000만개 이상 계정에서 개인 정보가 유출됐다"며 이같이 말했다.
류 차관은 "공격자는 로그인 없이 고객 정보를 여러 차례 비정상적으로 접속해 유출했다"며 "이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 사용됐다"라고 설명했다. 이어 "스미싱 등 2차 피해 우려가 있어 모니터링을 강화하겠다"라고 덧붙였다.
지금은 퇴사한 중국인 인증 담당자가 개인 정보를 유출했다는 의혹에 대해 류 차관은 "현재 언급되는 공격자의 신상에 대한 정보는 경찰 수사로 확인이 필요하다"며 "확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3000만건의 개인정보 유출을 주장했다"라고 말했다.
그는 '전자상거래법상 통신 판매로 재산상의 손해가 났을 경우 영업정지를 할 수 있는데 영업정지 가능 여부를 체크해봤느냐'는 박정훈 국민의힘 의원 질의에 "관계 기관과 적극 협의하겠다"고 답했다.
정부의 민관합동조사단 구성이 늦었다는 지적에 대해 류 차관은 "매번 모든 사례에 대해 민관합동조사단을 구성할 수 없기 때문에 1차 평가 유출 규모인 4536건을 고려했다"고 해명했다.
신용현 한경닷컴 기자 yonghyun@hankyung.com