정부 "쿠팡 고객정보 유출 관련, 6~11월 지속적 침해 식별"

정부, 2024년 7월부터 올해 11월까지 전수 로그 분석 실시
"식별된 공격기간은 6~11월…쿠팡 토큰 서명키 사용해 접근"

쿠팡에서 3천370만여명의 고객 개인정보가 유출된 가운데 정부가 정확한 서버 공격 기간을 파악한 것으로 나타났다.

류제명 과학기술정보통신부 2차관은 2일 국회 과학기술정보방송통신위원회(과방위) 쿠팡 개인정보 유출 사고 관련 긴급 현안 질의에서 “식별된 공격 기간은 2025년 6월 24일부터 11월 8일까지”라고 밝혔다.

류 차관은 또 “지난해 7월부터 올해 11월까지 전수 로그를 분석한 결과, 3천만개 이상 계정에서 개인정보가 유출된 것으로 확인됐다”고 말했다.

서버 공격자가 로그인 없이 고객 정보를 유출한 정황도 드러났다. 그는 “이 과정에서 쿠팡 서버 접속 시 사용되는 인증용 토큰을 전자 서명하는 암호 키가 사용됐다”고 설명했다.

이어 이번 사고의 원인과 관련해 과거 KT 무단 소액결제 사고를 언급하며 “기술적 차별성은 있지만, 관리 부실이라는 공통된 문제점이 보였다”고 지적했다.

개인정보 유출이 퇴직한 중국인 직원의 소행이라는 의혹에 대해서는 “확인이 필요하다”고 선을 그었다.

류 차관은 “현재 거론되는 공격자의 신상 정보는 경찰 수사를 통해 확인돼야 한다”며 “확인이 필요하다는 미상자가 쿠팡 측에 메일을 보내 이메일·배송지 등 3천만 건의 개인정보를 유출했다고 주장했다”고 덧붙였다.

그러면서 “스미싱 등 2차 피해 우려가 있어 모니터링을 강화하겠다”고 강조했다.