정부, 쿠팡 해킹에 징벌적 손배·영업정지 등 강력 추진

박대준 쿠팡 대표이사(왼쪽)가 2일 오전 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 쿠팡 침해사고 관련 현안 질의에 출석해 의원질의에 답하고 있다. 2025.12.02[사진=유대길 기자 dbeorlf123@ajunews.com ]


정부가 쿠팡 개인정보 유출 사고와 관련해 민관 합동조사단을 구성하고, 징벌적 손해배상 제도 확대와 영업정지 검토 등 강력한 대응책을 추진한다.  

과학기술정보통신부는 2일 국회 과학기술정보방송통신위원회는 쿠팡 해킹 관련 현안질의에서 지난 6월 24일부터 11월 8일까지 공격이 이어지며, 전수 로그 분석 결과 3000만 개 이상 계정에서 개인정보가 유출됐다고 보고했다.  

류제명 과기정통부 2차관은 “공격자가 정상 로그인 없이 고객 정보에 여러 차례 비정상 접속했으며, 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 사용됐다”며 스미싱 등 2차 피해 우려에 모니터링을 강화하겠다고 밝혔다. 퇴사한 중국인 인증 담당자 연루 의혹에 대해서는 “공격자의 신상은 경찰 수사로 확인해야 한다”며 미상자가 쿠팡에 3000만 건 유출을 주장하는 메일을 보낸 사실을 언급했다.

이번 사고는 3000만 개가 넘는 계정에서 개인정보가 대거 유출된 중대 사건으로, 정부는 국민 피해 최소화와 재발 방지를 위해 조사를 면밀히 하고 엄중 대처하겠다고 거듭 강조했다.  

이재명 대통령은 2일 국무회의에서 “쿠팡 때문에 국민들 걱정이 많다"며 “과징금을 강화하고 징벌적 손해배상을 현실화하는 등 실질적이고 실효성 있는 대책을 마련해달라”고 지시했다.

배경훈 부총리 겸 과기정통부 장관도 이날 오후 질의에 참석해 “국민 피해를 최소화하고 불안을 해소하기 위해 민관 합동조사를 신속히 진행하고 엄정한 조치를 취하겠다”며 징벌적 손해배상을 통해 재발 방지가 중요하다고 강조했다.  

그는 카드 삭제·비밀번호 변경 등 피해 확산 방지 조치를 개별 보안 기관과 협의해 즉시 시행하고, 지난 10월 발표한 종합 대책에 이어 연내 2차 발표안을 마련해 강화된 대응책을 내놓겠다고 밝혔다.  

정치권의 압박에 쿠팡의 천문학적인 과징금과 함께 영업정지도 거론된다.  

전자상거래법상 통신판매로 재산상 피해 발생 시 영업정지가 가능하다는 국회의 지적에 대해 류 차관은 "유관기관과 협의해보겠다"고 답했다.

개인정보보호위원회는 쿠팡의 접근통제·접근권한 관리·암호화 등 안전조치 의무 위반 여부를 조사 중이며, 개인정보보호법에 따라 전체 매출의 최대 3%에 달하는 과징금(쿠팡 작년 매출 기준 약 1조4000억원 규모)을 부과할 수 있는 엄정 제재를 살펴보고 있다.  

올해 상반기 SK텔레콤 해킹 사건을 시작으로 사이버 침해가 계속 이어지고 있지만 정부 대응 조직 인력이 부족하다는 지적도 제기됐다.  

이와 관련해 배 장관은 "사이버 침해 대응 인력 부족을 인정하며 행정안전부와 별도 사이버 침해 대응국 신설을 논의 중이다"고 밝혔다. 현재 정보보호 부서가 3개 과로 분산돼 효율적 대응이 어렵다는 지적에 국가 차원 총괄 체계 강화를 약속했다.

퇴사자의 소행으로 밝혀진 이번 해킹 사태와 관련해 해커가 프라이빗 서명 키를 탈취해 가짜 인증토큰을 생성하고 이를 통해 로그인한 것으로 분석된다.  

브랫 매티스 CISO는 “현재 확인된 바로는 공격자가 탈취한 프라이빗 서명키를 활용해 다른 사용자로 위장했고, 그 가짜 토큰을 이용해 서버 접근을 시도한 것으로 보인다”며 “쿠팡의 모든 인증토큰은 프라이빗 키로 서명돼 검증되는데, 제3자가 해당 키를 이용해 동일한 형태의 토큰을 생성한 것”이라고 설명했다.

또 CISO는 “지금까지 조사된 로그에 따르면 공격자는 제한적인 정보에만 접근할 수 있는 일부 API만 조작해 사용했다”며 “사용자 패스워드를 재설정하거나 더 민감한 시스템에 접근한 흔적은 없다”고 말했다. 이어 “공격자가 외부 API만 활용했기 때문에 쿠팡 내부 서버의 로우 데이터에는 접근하지 못한 것으로 본다”고 덧붙였다.

다만 그는 “이 사람이 실제 사건과 연계된 인물이라면 쿠팡 재직 당시 프리빌리지드 엑세스(Privileged access), 즉 중요한 시스템과 데이터에 접근할 수 있는 높은 권한을 갖고 있었던 것으로 추정된다”고 밝혔다.

쿠팡의 해킹 사태 원인은 내부 통제 관리 부실로 분석된다. 김승주 고려대학교 교수는 "내부 직원 통제 실패가 근본적인 원인이다"면서 "인증토큰 발행에 전자성명 키가 쓰였는데 보통 전자성명 키는 통제를 엄격히 관리해야 한다"고 짚었다.  

용의자가 재직 시 고권한 프리빌리지드 액세스를 가졌을 가능성을 인정해 내부 통제 부실 논란이 제기됐다.  김승주 고려대학교 교수는 "내부 직원 통제 실패가 근본적인 원인이다"면서 "인증토큰 발행에 전자성명 키가 쓰였는데 보통 전자성명 키는 통제를 엄격히 관리해야 한다"고 짚었다.  

 
아주경제=최연재 기자 ch0221@ajunews.com