과학기술정보통신부가 2일 "쿠팡의 3370만 개인정보 유출 사고 공격 기간은 지난 6월 24일부터 11월 8일까지"라고 밝혔다.
유출 용의자인 중국 국적 전 직원은 지난해 12월 퇴사한 것으로 확인됐다.
류제명 과기정통부 2차관은 이날 국회 과학기술정보방송통신위원회(과방위) 쿠팡 개인정보 유출 사고 관련 긴급 현안 질의에서 대응 경과보고를 통해 이같이 말했다.
류제명 과학기술정보통신부 제2차관이 2일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회의 쿠팡 개인정보 유출 사고 관련 현안질의에 출석해 보고를 하고 있다. 국회방송
류 차관은 “지난해 7월부터 올해 11월까지 전수 로그 분석을 한 결과 3천만 개 이상 계정에서 개인 정보가 유출됐다. 공격 식별 기간은 지난해 6월 24일부터 11월 8일까지”라며 “스미싱 등 2차 피해 우려가 있어 모니터링을 강화하겠다”고 설명했다.
이어 “공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했다”며 “이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 사용됐다”고 덧붙였다.
중국인 인증 담당자가 개인 정보를 유출했다는 의혹에 대해선 “현재 언급되는 공격자의 신상에 대한 정보는 경찰 수사로 확인이 필요하다”며 “확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3천만 건의 개인정보 유출을 주장했다”고 전했다.
류 차관은 “(KT의 펨토셀 관리 부실과) 기술적으로 차별성이 있지만 관리 부실 문제점이 공통으로 보였다”고 지적했다.