과학기술정보통신부가 쿠팡에서 발생한 대규모 개인정보 유출과 관련해 공격이 이뤄진 기간이 지난해 6월 24일부터 11월 8일까지였다고 공식 확인했다.
2일 국회 과학기술정보방송통신위원회 긴급 현안 질의에서 류제명 과기정통부 2차관은 대응 경과보고를 통해 “전수 로그 분석 결과 3천만 개가 넘는 계정에서 개인정보 유출이 확인됐다”며 이같이 밝혔다.
류 차관은 “지난해 7월부터 올해 11월 사이의 서버 로그를 모두 분석한 결과, 공격자는 정상 로그인 절차 없이 여러 차례 고객 정보에 비정상적으로 접근해 데이터를 빼냈다”고 설명했다.
또 “그 과정에서 쿠팡 서버 접속 시 사용하는 인증용 토큰을 전자서명하는 암호키가 악용된 것으로 파악됐다”고 덧붙였다.
한편 일각에서 제기된 ‘퇴사한 중국인 인증 담당자가 유출에 관여했다’는 의혹과 관련해 그는 “현재 언급되는 공격자의 신원은 경찰 수사로 확인해야 한다”며 “쿠팡 측에 이메일을 보낸 미확인 인물이 이메일·배송지 등 약 3천만 건의 개인정보를 취득했다고 주장한 상황”이라고 말했다.
