조사단은 이번 사고에 대해 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조의4에 따라 정보통신망에 대한 침해 사고의 원인을 분석하고, 유사 사고가 재발하지 않도록 재발 방지 대책을 마련하였습니다.
한편, 개인정보보호위원회는 개인정보보호법에 따른 개인정보 유출 규모 및 법 위반 여부 등을 조사 중에 있으며, 경찰청은 이번 침해 사고와 관련된 증거물 분석 등 수사를 진행하고 있습니다. 여타 관련 부처들도 소관 이슈들에 대해 검토 중임을 말씀드립니다.
과기정통부는 이번 사고가 국내 최대 전자상거래 플랫폼의 침해 사고이며, 대규모 정보가 유출된 중대한 침해 사고로 판단하고, 2025년 11월 30일 민관합동조사단을 구성하여 피해 현황 및 사고 원인 등을 조사하였습니다.
이번 침해 사고와 관련하여 조사단은 법과 원칙에 따라 철저하게 조사를 진행하고 국내외 기업에 대한 차별 없이 공정한 잣대로 동일한 기준을 적용하고 조사 과정에서 사고와 관련된 사실이 확인될 경우 명확한 판단 근거와 구체적인 사실을 토대로 조사 결과를 투명하게 공개한다는 원칙을 가지고 조사에 임했습니다.
쿠팡은 2025년 11월 16일 고객으로부터 개인정보 유출 관련 의심 이메일을 받았다는 내용의 고객의 소리를 접수한 이후, 2025년 11월 19일 4,536개의 계정의 고객명, 이메일 주소 등 정보가 유출되었다는 내용으로 한국인터넷진흥원에 침해 사고를 신고하였습니다.
이후, 한국인터넷진흥원은 현장 조사를 통해 추가 피해 여부를 파악하였으며, 유출 규모가 최초 신고된 4,500여 개가 아닌 3,000만 개 이상임을 확인하였습니다.
조사단은 공격자가 악용한 이용자 인증체계를 정밀 분석하고 공격 범위와 유출 규모를 파악하고자 웹 및 애플리케이션 접속기록 등 관련 자료에 대해 종합적인 분석을 진행하였습니다.
쿠팡으로부터 제출받은 공격자 PC 저장장치 HDD 2대, SSD 2대와 현재 재직 중인 쿠팡의 개발자 노트북에 대한 포렌식 분석도 병행하였습니다.
또한, 쿠팡 전사 차원의 정보보호 관리 체계에 대해서도 점검을 진행하였습니다.
다음으로, 쿠팡 침해 사고 조사 결과 확인된 정보 유출 규모에 대해서 말씀드리겠습니다.
먼저, 공격자는 쿠팡에서 유출된 정보의 일부 내용을 이메일 본문에 기재하여 2025년 11월 26일, 11월 25일 두 차례 쿠팡 측에 보냈습니다.
조사단은 공격자가 유출하였다고 주장하는 이용자 정보들에 대한 진위여부를 검증하고자 쿠팡의 웹 접속기록을 분석하였습니다.
그 결과, 조사단은 내정보 수정 페이지에서 성명, 이메일, 배송지 목록 페이지에서 성명, 전화번호, 주소, 공동현관 비밀번호, 주문목록 페이지에서 이용자가 주문한 상품 정보를 공격자가 유출한 후 이메일에 기재하여 쿠팡 측에 보낸 것을 확인하였습니다.
해당 이메일에는 개인의 사생활을 침해할 수 있는 민감한 상품 정보가 포함되어 있는 것도 확인되었습니다.
조사단은 쿠팡 웹 애플리케이션 접속기록 산출 방법 및 산출 결과에 대한 검증에 있어 개인정보보호위원회와 경찰청과 긴밀하게 협력하면서 주기적인 정보 공유를 통해 신뢰성을 확보하였습니다.
먼저, 내정보 수정 페이지에서 성명, 이메일이 포함된 이용자 정보 33,673,817건이 유출되었음을 확인하였습니다.
성명, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 배송지 목록 페이지를 148,056,502회 조회하여 정보가 유출되었음을 확인하였습니다.
배송지 목록 페이지에는 계정 소유자 본인 외에도 가족, 친구 등 제3자의 성명, 전화번호, 배송지 주소 등 정보가 다수 포함되어 있었습니다.
그리고 성명, 전화번호, 배송지 주소 외에 공동현관 비밀번호가 포함된 배송지 목록의 수정페이지를 50,474회 조회하였음을 확인하였습니다.
또한, 이용자가 최근 주문한 상품 목록이 포함된 주문목록 페이지를 102,682회 조회하였음을 확인하였습니다.
향후 개인정보 유출 규모에 대해서는 개인정보보호위원회에서 확정하여 발표할 예정임을 말씀드리겠습니다.
다음으로, 사고 원인 분석입니다.
조사단은 사고 원인을 정보 유출 경로 분석과 공격자 행위 분석, 두 가지 측면에서 조사하였습니다.
먼저, 유출 경로 분석입니다.
조사단은 공격자가 쿠팡 서버의 인증 취약점을 악용하여 정상적인 로그인 없이 이용자 계정에 비정상 접속하여 정보를 무단 유출하였음을 확인하였습니다.
정상적으로 접속하는 경우 이용자는 로그인 절차를 거쳐 전자 출입증을 발급받게 됩니다. 그리고 쿠팡 관문서버는 발급받은 전자 출입증이 유효한지 여부를 검증하고 이상이 없을 시에 서비스 접속을 허용합니다.
반면, 공격자는 재직 당시 관리하던 이용자 인증시스템의 서명키를 탈취한 후 이를 활용해 전자 출입증을 위·변조하여 쿠팡 인증체계를 통과하였습니다. 그 결과, 정상적인 로그인 절차를 거치지 않고 쿠팡 서비스에 무단 접속할 수 있게 되었습니다.
다음으로, 공격자의 행위 분석입니다.
먼저, 취약점 발견 단계입니다.
공격자는 재직 당시 이용자 인증시스템 설계·개발 업무를 수행하면서 이용자 인증체계의 취약점과 키 관리체계의 취약점을 인지하고 있었습니다.
쿠팡 관문서버는 인증절차를 통해 전자 출입증이 정상적으로 발급된 이용자에 한해 접속을 허용해야 하므로 전자 출입증이 위·변조되었는지에 대해서도 확인을 진행해야 합니다. 하지만 조사단 결과... 조사 결과, 관련 확인 절차가 부재한 상황이었습니다.
또한, 쿠팡이 관리하고 있는 서명키는 전자 출입증을 발급하기 위해 사용하는 도구인 만큼 체계적이고 엄격한 관리 체계를 갖추고 있어야 합니다. 이에 업무 담당자가 퇴사할 경우에 해당 서명키를 더 이상 사용하지 못하도록 갱신 절차가 진행되어야 함에도 관련 체계 및 절차가 미비하였습니다.
다음으로, 취약점을 악용한 공격 테스트입니다.
공격자는 퇴사 후 재직 당시 탈취한 서명키와 내부 정보를 활용하여 전자 출입증에 대한 위·변조를 진행하였습니다. 그 후 이를 악용해 정상적인 로그인 절차 없이 쿠팡 인증체계를 통과하면서 본격적인 공격을 위한 사전 테스트를 진행하였습니다.
조사단은 이와 관련하여 현재 재직 중인 개발자 노트북 포렌식 결과, 서명키를 키 관리시스템에서만 저장해야 함에도 개발자 노트북에서도 저장한 사실을 확인하였으며, 공격자 PC 저장장치 HDD 2대, SSD 2대 포렌식 결과, 쿠팡에서 사용하고 있는 이용자 고유식별번호와 위·변조한 전자 출입증을 확인할 수 있었습니다.
또한, 2025년 4월 14일부터 11월 8일까지 공격적인 공격을 진행하기 이전에 2025년 1월경 공격 흔적을 확인하였습니다.
다음으로, 대규모 정보 유출 단계입니다.
공격자는 사전 테스트를 통해 이용자 계정 접근이 가능한 사실을 확인한 이후 자동화된 웹크롤링 공격 도구를 이용하여 대규모 정보를 유출하였습니다. 이 과정에서 공격자는 총 2,313개 IP를 이용하였습니다.
조사단은 공격자 PC 저장장치 HDD 2대, SSD 2대 포렌식 결과, 공격자가 정보 수집 및 외부 서버 전송이 가능한 공격 스크립트를 작성한 것을 확인하였습니다.
특히, 위·변조 전자 출입증을 이용해 타인의 계정으로 무단 접속한 후 유출한 정보를 해외 클라우드 서버로 전송할 수 있는 기능이 포함되어 있는 것을 확인하였습니다.
다만, 실제 전송이 이루어졌는지 여부에 대해서는 기록이 남아있지 않아 확인할 수 없었습니다.
조사단은 조사를 통해 쿠팡의 이용자 인증체계, 키 관리체계 및 정보보호 관리체계 등의 문제점을 발견하고 재발방지 대책을 마련하였습니다.
먼저, 이용자 인증체계 문제점입니다.
조사단은 공격자가 위·변조한 전자 출입증을 사용하여 쿠팡 서비스에 무단으로 접속한 것을 확인하였고, 정상적인 발급 절차를 거친 전자 출입증인지 여부를 검증하는 체계가 부재한 사실을 확인하였습니다.
또한, 쿠팡은 모의해킹을 통해 이용자 인증체계의 취약점 발굴·개선을 추진하였으나, 발견된 문제점에 한하여 해결책을 모색하고 쿠팡 관문서버의 이용자 인증체계 개선 등 전반적인 문제점 검토는 이루어지지 않았습니다.
이에 대해 재발방지 대책으로 쿠팡은 정상 발급 절차를 거치지 않은 전자 출입증에 대한 탐지 및 차단 체계를 도입하는 한편, 모의해킹에서 발견된 취약점에 대한 근본적인 문제 개선 방안을 마련하여야 합니다.
다음으로, 키 관리체계 문제점입니다.
쿠팡은 자체 규정에 따라 서명키를 키 관리시스템에서만 보관하고 개발자 PC에 저장하지 않도록 해야 한다고 명시하고 있습니다. 그러나 조사단은 현재 재직 중인 쿠팡 개발자가 노트북에 서명키를 저장하고 있어 키 유출 및 오남용 위험이 있음을 발견하였습니다.
또한, 쿠팡은 서명키를 체계적으로 관리할 수 있도록 발급 내용을 기록·관리하도록 규정하고 있으나, 조사단은 키 이력 관리체계가 부재하여 목적 외 사용을 파악하는 것이 불가능함을 확인하였습니다.
그리고 쿠팡은 내부자로 인하여 서명키와 같은 주요 정보가 탈취될 수 있는 위협에 대한 대응 체계가 부재하였습니다.
이와 함께 조사단은 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)에 대해서도 점검을 진행하였습니다. 그 결과, 접근 권한별 직무 분리와 암호정책 수립이 미흡한 점을 확인하였습니다.
쿠팡은 개발과 운영을 분리하지 않고 개발자에게 실제 운영 중인 키 관리시스템에 접근하도록 권한을 부여하고 있었습니다. 그리고 내부 규정에서 키의 수명만 3년으로 정의하였고 사용자의 정보 변경에 따른 교체 등 세부적인 운영절차 수립이 미흡하였습니다.
이에 대한 재발방지 대책으로 쿠팡은 키 관리·통제 체계관리 강화 및 운영관리 기준을 명확히 하고 상시 점검을 실시해야 합니다.
다음으로, 정보보호 관리체계 미흡입니다.
쿠팡은 이번 침해사고가 동일한 서버 사용자 식별번호를 반복적으로 사용했으며, 위·변조된 전자 출입증을 활용한 비정상 접속행위가 발생했음에도 해당 공격 행위를 통한 정보 유출을 탐지·차단하지 못하였습니다.
또한, 접속기록을 일관된 기준 없이 저장·관리하여 피해 이용자 식별과 정보유출 규모 산정에 어려움이 발생하였습니다.
이에 대한 재발방지 대책으로 쿠팡은 비정상 접속행위 탐지 모니터링을 강화하고, 사고원인 분석 및 피해 이용자 식별 등 목적에 맞는 로그 저장관리 정책을 수립하고 정비해야 합니다.
또한, 자체 보안규정 준수에 대한 정기 점검을 실시하고 미준수 사항 발생 시 즉시 개선하는 관리체계를 구축하여야 합니다.
이번 쿠팡 침해 사고와 관련하여 법 위반사항에 대해 말씀드리겠습니다.
쿠팡은 정보통신망법에 따라 침해 사고를 인지한 후 24시간 이내에 과기정통부 또는 KISA에 신고하여야 합니다. 그러나 정보보호 책임자(CISO)에게 보고한 시점인 2025년 11월 17일 16시로부터 24시간이 지난 후 2025년 11월 19일 21시 35분에 신고하였습니다.
이에 따라 과기정통부는 정보통신망법에 따른 3,000만 원 이하 과태료를 부과할 예정입니다.
또한, 과기정통부는 이번 침해사고 원인 분석을 위해 2025년 11월 19일 자료보전 명령을 하였습니다. 그러나 쿠팡은 자료보전 명령에도 불구하고 자사 접속기록의 자동 로그 저장 정책을 조정하지 않아, 2024년 7월부터 11월까지 약 5개월의 분량의 웹 접속기록이 삭제되었습니다. 그리고 애플리케이션 접속기록도 2025년 5월 23일부터 6월 2일간의 데이터가 삭제되었습니다.
이에 따라 자료보전 명령 위반과 관련하여 수사기관에 수사를 의뢰하였습니다.
과기정통부는 이번 조사단의 조사 결과를 토대로 쿠팡에 재발방지 대책에 따른 이행계획을 제출토록 하고 쿠팡의 이행 여부를 점검할 계획입니다. 이행점검 결과, 보완이 필요한 사항에 대해서는 정보통신망법에 따른 시정조치를 명령할 계획임을 말씀드립니다.
이상으로 쿠팡 침해 사고에 대한 조사 결과 발표를 마치도록 하겠습니다. 추가로 설명이 필요한 부분은 질의응답을 통해 상세히 설명해 드리도록 하겠습니다. 감사합니다.
[질문·답변] ※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.
<질문> 안녕하세요? 쿠팡이 먼저 자체조사 결과를 발표했었는데 지금 그거에 비하면 결과를 발표가 좀 늦게 나온 편이라고 생각을 하는데 그것 좀 오래 걸린 이유가 궁금하거든요. 쿠팡이 협조 안 된 부분이 있는 건지, 조사하는 그런 범위가 달랐던 것인지 그게 첫 번째 궁금하고요.
조사 과정에서 어쨌든 직간접적으로 지금 지목되고 있는 중국인에 대한 조사가 이루어졌는지도 궁금하고요.
마지막으로는 쿠팡 관련해서 국정원 지시 여부 계속 얘기가 나오고 있는데 이것 관련해서 조금 말씀 주실 부분 있는지도 궁금합니다.
<답변> 이게 시간이 왜 많이 걸렸냐, 쿠팡이 협조를 안 했냐? 쿠팡 처음에 자료 협조가 조금 미진한 부분 있었는데 이후에 자료는 계속해서 조사하는 데 자료는 충분히 신속하게 대응을 해왔고요. 시간이 걸린 거는 데이터가 방대합니다. 그래서 숫자에서도 저희가 조회, 유출, 숫자를 보셨지만 그걸 갖다가 기초 데이터들의 숫자량이 많았기 때문에 조사하는 데 어려움이 있었고요.
중국인 조사 여부는 저희의 영역이 아닙니다. 그거는 경찰이나, 공격자에 대한 부분은 경찰의 수사 영역이어서 저희는 거기에 대한 조사는 진행하지 않고요.
국정원과 관련된 사항은 좀 국정원에다가 문의를 하시든지 해주시는 게 맞는 것 같습니다. 이상입니다.
<질문> 안녕하세요? 맨 처음에 보면 정부가 유출과 조회, 단어를 두 가지로 크게 나눴어요. 그래서 유출은 3,367만 건이고 조회 숫자가 더해 보면 나머지가 나오는데 이렇게 나눈 거는 혹시 법적인 책임을 구분하기 위해서일까요? 그러면 유출에 한해서만 법적으로 책임이 더 커지고 조회 건은 처벌이 낮아질 가능성이 큰지 궁금하고요.
그리고 지금 쿠팡이 전체 회원 수는 공개하지 않았는데 이걸 사실상 지금 전 회원이 다 피해를 입은 거로 봐도 되는지도 궁금합니다.
<답변> 유출, 조회에 대한 부분은 법적으로 차이가 있는 게 아니고 조회가 유출을 의미합니다, 조회한 것으로 개보법 지침에 따르면. 그런데 그 부분에 대해서 저희가 해석하기는 조금 어려운 것 같습니다, 그건 개보위의 소관이기 때문에. 어쨌든 조회라고 해서 책임이 가벼워지고 이런 부분은 아닙니다. 저희 법상으로는 조회와 유출에 대한 부분, 유출로 보고 있습니다. 그래서 조회에서 유출로 보고 있고요.
그다음에 두 번째 질문하신 게 쿠팡 가입자 수에 대해서는 저희도 확인이 불가능하기 때문에 그거에 대해서 전체 가입자다, 아니다, 저희가 판단해서 설명드리기는 어려울 것 같습니다.
<질문> 안녕하세요? 이번 조사 발표 보니까 계정 소유자 외 제3자 정보도 조회되거나 유출됐다고 하셨는데 지금 현재 회원과 비회원 피해 비중이 나온 게 있는지 궁금하고요.
그리고 어쨌든 최근에 쿠팡이 16만 계정 유출을 확인했다고도 추가 발표를 했습니다. 그래서 쿠팡 측에서 얘기하는 유출 규모나 조사단 측 규모가 여전히 상이한 것 같아서 조사단 측에서는 쿠팡이 얘기하는 추가 유출에 대해서 어떻게 공식적으로 생각하시는지 궁금하고, 이것도 쿠팡 측 자체조사 성격으로 보고 있는지 설명 부탁드립니다.
<답변> 먼저, 앞에서도 한번 설명을 드렸는데 과기정통부의 민관합동조사단, 그다음에 개인정보보호위원회의 개인정보와 관련된 법 조사, 그다음에 경찰청의 수사 이거는 조금 구분을 해주셔야 됩니다. 무슨 이야기냐 하면 지금 회원, 비회원 개인정보 이런 부분에 대해서는 개인정보보호법상 개인정보보호위원회가 최종적으로 판단을 하는 부분이고요.
저희는 원인을 갖다가 분석, 침해 사고에 대한 원인분석, 그다음에 거기에서 이루어진 유출 정보에 대한 포괄적인 유출 정보 범위에 대한 부분, 그다음에 재발 방지 대책을 내는 기관입니다. 그래서 저희가 회원, 비회원 유출된 개인정보의 범위에 대한 부분은 SKT 때 사례를 보셨듯이 저희가 작년 7월 4일에 결과를 발표하고 SKT가 제 기억에 9월 20... 며칠이죠?
<답변> (관계자) ***
<답변> 두 달 뒤에 개인정보보호위원회가 최종적으로 개인정보 유출 규모, 그다음에 과징금을 산출한 바가 있습니다. KT 같은 경우는 저희가 작년에 12월 26일에 발표를 했는데 아직 그 부분에 대해서 개보위가 발표하지 않았습니다. 이거는 구체적으로 보시려면 개보위 발표를 기다려 주셔야 될 것 같습니다.
<질문> 안녕하세요? 두 가지 질문 있고요. 일단 숫자 확인을 정확히 하고 싶은데 이번에 발표했던 3,367만 건이 당초 정부가 발표했던 3,370만 건 그 범위 그대로 이해하면 될지, 그리고 쿠팡이 지금 중간에 3,000여 건만 저장됐다가 삭제됐다는 발표를 했었는데 이 주장에 대한 진위 여부는 어떻게 되는 건지, 그리고 추가 유출 16만 5,000여 건은 이 3,367만 건에 포함되지 않는 건지 한 번 더 확실히 정리를 부탁드리고요.
그리고 전반적으로는 조사 결과 발표가 늦어졌지만 사실 불과 지난 금요일에 쿠팡 관련 국회 좌담회에서는 정부가 인력도 부족하고 조사가 방대해서 시일이 그때 좀 더 오래 걸릴 거라는 취지로 말씀하셨어요.
그래서 그 뒤로 나흘 만에 최종 브리핑이 나와서 놀랐는데, 아무래도 최근에 미 의회를 중심으로 제기되는 쿠팡 차별론, 디지털 무역 장벽 논란 이런 것들이 좀 의식될 수밖에 없으셨던 건지 한번 여쭤보겠습니다.
<답변> 질문이 좀 많으셔서 그런데 간단하게 저희가 조사하는 방식을 먼저 한번 설명을 드리겠습니다. 조사와 피조사기관이 있습니다. 피조사기관은 자기의 주장들을 하게 됩니다. 본인들의 자료를 내놓게 되고, 조사기관은 그러한 자료도 참고를 하지만 저희가 모든 자료를 갖다가 다시 한번 검증의 검증과 다른 자료들을 확인하는 과정이 있습니다.
그래서 쿠팡이 3,000건에 대해서 이야기한 거는 쿠팡이 이야기한 것입니다. 그거에 대해서 저희도 관련 자료들을 보지만 그거는 저희 참고 요소일 뿐입니다. 저희는 쿠팡의 서버를 갖다 다 뒤져서 지금 거기에서 외부 공격자에서 얼마만큼 확인이 되고 얼마만큼 유출이 됐는지를 갖다가 조회·유출이 일어났는지를 확인하고 오늘 말씀드린 겁니다.
그다음에 16.5만 건에 대해서는 지금 3,367만 건 이외인 걸로 쿠팡이 밝혔고요. 이 부분에 대해서는 아까도 말씀드렸지만 저희도 인지는 하고 있었던 부분이고 그거는 개보위에서 최종적으로 얼마만큼 개인정보의 유출에 대한 부분으로 정리가 될 것 같습니다. 그거는 조금 더 개보위의 시간을 기다려주시면 좋겠고요.
처음에 3,370만 건에서 3,367만 건은 처음에 그냥 초창기에 어렴풋이 본 숫자가 3,370만 정도였고요. 디테일하게 하나하나씩 다 뒤져보고서 3,367만 건으로, 그거는 초창기에 그냥 발표한 거하고 최종적으로 저희가 확인해 드릴 거는 3,367로 이해해 주시면 될 것 같습니다.
그런데 이거는 아까도 말씀드렸듯이 16.5만이 됐든 다 묶여서 아마 개보위에서 발표가 이루어질 것 같습니다.
그리고 조사는 SKT부터 KT, 제가 지금 세 번째 얘기했었지만 한 번 더 조사는 엄격하게 자기 일정을 갈 뿐입니다. 자기 일정을 갈 뿐이고, 현장에 있는 조사단원들이 포렌식 내지든지 숫자가 끝나면 그걸 갖다가 저희한테 보고가 올라오면 확인을 하고 발표가 가능한 겁니다. 저희가 조사단장이 임의적으로 뭐 '오늘까지' 이런 게 없기 때문에 그거는 외부의 변수하고는 아무런 상관이 없다고 이해해 주시면 감사하겠습니다.
<질문> 안녕하세요? 여기 IP가 지금 2,000개 정도 사용됐다고 했는데 이 공격 과정에서 IP가 어떻게 구체적으로 사용됐는지 여쭤보고 싶습니다.
<답변> 네? IP?
<질문> IP, IP가 2,000개 정도 사용했다고 했는데 이게 공격 과정에서 구체적으로 어떻게 사용된 건지 여쭤보고 싶습니다.
<답변> (이동근 민관합동조사단 부단장) 저희 보도자료에 2,313개 IP 말씀하시는 것 같은데요. 그게 저희가, 민관합동조사단 부단장을 맡고 있는 한국인터넷진흥원 이동근 본부장입니다. 질문하신 그 IP는 저희가 지금 많은 숫자들을 말씀드렸지 않습니까? 그 숫자들을 쿠팡에서 공격자가 유출할 때 사용했던 IP가 로그에 남아 있는 것들을 저희가 뽑은 것들입니다.
그러다 보니까 숫자가 여러 개가 나오는데 저희가 추정하기로는 해커가 하나의 IP만 쓴 게 아니라 굉장히 다양한 IP를 써서 정보를 유출했다, 그렇게 저희가 증적을 찾았다고 보시면 될 것 같습니다.
<질문> 안녕하세요? 아까 조회를 유출로 보신다고 했는데 그럼 굳이 나눈 이유는 뭐고 차이를 좀 더 명확하게 설명해 주셨으면 좋을 것 같고요.
그리고 공격자 수법이 전자 출입증을 생성해서 이용자들의 개인 페이지를 하나하나 들어가서 그거를 다 웹크롤링을 한 건가요? 그러니까 뭔가 쿠팡 내부망에서 그런 정보를 빼낸 게 아니라 이런 키를 이용해서 하나씩 들어가서 다 웹크롤링으로 긁은 건지 그것 좀 명확히 설명 부탁드립니다.
<답변> 이거는 좀 기술적인 부분이어서 우리 부단장이 좀 더.
<답변> (이동근 민관합동조사단 부단장) 조회·유출 관련해서는 저희가 보도자료에도 보시면 '조회하여 유출'로 되어 있고요. 저희가 조회라고 표현한 이유는 보도자료에도 공격자가 들어간 페이지들을 저희가 샘플로 다 올려드렸지 않습니까? 거기를 들어가는 거를 조회라고 했습니다. 들어가는 순간 보시는 것처럼 고객의 정보들이 다 그걸 본 시스템, 그러니까 예를 들어서 공격자의 PC라든지 노트북이라든지 서버라든지 그런 쪽으로 다 전송되기 때문에 그렇게 표현했고요.
그리고 조회하고 유출을 그렇게 명확하게 저희가 설명을 드리기 위해서 한 겁니다. 이게 그냥 기술적으로 조회하여 정확하게 유출했다, 라는 걸 표현하기 위해서 그렇게 나눈 거고요.
그리고 또 물어보신 게, 아까 두 번째 질문이?
<질문> ***
<답변> (이동근 민관합동조사단 부단장) 예. 이거를 지금 기자님도 보셨겠지만 1억 건 되는 거를 다 사람이 들어가서 할 수는 없습니다. 그래서 보도자료에도 보면 웹크롤링이라고 해서 자동화된 기법을 사용했습니다. 그래서 공격자는 스트립트 형태로 프로그램 같은 거를 짜고 정해진 유출, 어떤 주소를 입력하면 그 주소에 가서 웹페이지 통째로 긁어와서 거기서 개인정보나 기타 정보들을 추출할 수 있는 방식을 사용했다고 보시면 될 것 같습니다.
<질문> 이번에 그럼 사고 발생이 전직자가 소행인데 그러면 어떤 분석하셨을 때 아까 전에 얘기하신 것처럼 2,200개의 어떤 IP라든지 구체적으로 나왔는데, 이게 그 관리 소홀이라고 보는 시각이 맞는지, 아니면 관리 소홀로 보는 게 맞는지 아니면 많이 지능화된 해킹이었는지 이게 첫 번째 궁금하고요.
그리고 조회·유출 방금도 얘기해주셨는데 이해가 안 되는 게 그럼 조회라고 카운팅된 거는 유출은 안 됐다, 라고 봐야 되는 건가요?
<답변> 자꾸 반복된 이야기들이어서 지금 제가 보기에 그거 하는 것 같은데요. 조회 및 유출입니다. 자꾸 질문 안 해주시면 좋을 것 같은데요. 조회 및 유출이라고 지금 세 번째 이야기를 드렸는데, 그거는 조금 그렇게 이해를 해주시면 좋을 것 같고요.
저희가 지금 인증체계 관리상의 문제점도 강하게 질타를 하고 지적했습니다. 그다음에 키 관리시스템도 지금도 제대로 안 되고 있다는 부분도 정확하게 지적했습니다. 이거는 분명히 관리의 문제입니다. 지능화된 공격으로 보기는 어려울 것 같습니다.
<질문> 이게 횟수로 계속 표현이 돼서 기자분들께서 계속 질문 주시는 것 같은데, 그러면 1.4억 회로 표현된 게 일단은 횟수로 확인이 된 것만 해서 발표를 하신 건지, 그래서 건수 같은 것도 최종으로 개보위 판단 거쳐서 나올 전망으로 보면 될지 아니면 판단하기가 어려운 상황으로 보이시는지가 첫 번째 궁금하고요.
두 번째, 미디어 로그 분석하... 웹 로그 분석하셨다고 해서 이거를 접속기록 같은 걸 확인하셨는데 그럼 접속한 위치 같은 것도 확인이 되시는지 여쭙고 싶습니다.
<답변> 1.4억 건을 조회했습니다. 그리고 그 조회된 정보는 유출된 것으로 보고 있습니다, 그게 명확하게. 그다음에 3,367만 건 내지는 개인정보에 대한 부분은 최종적으로 그 부분들을 지금 개보위나 경찰청도 저희와 숫자를 동일하게 보고 있습니다. 지금 보여드린 것 그대로 보고 있습니다, 같이 협업해서 했기 때문에. 그래서 그거는 제가 거듭 말씀드렸듯이 개보위 발표를 기다려주시는 게 맞는 것 같습니다. 그래서 지금 부분에 대해서, 1.48억 건에 대해서 조회 및 유출로 저희는 명확하게 말씀드립니다.
그다음에 웹 로그.
<답변> (이동근 민관합동조사단 부단장) 질문하신 접속 위치라는 게 공격자의 접속 위치를 말씀하시는?
<질문> 예. 국가라든지 이런 것들.
<답변> (이동근 민관합동조사단 부단장) 그게 2,300여 개 저희가 IP를 말씀드렸는데 거기에 포함되지만 그게 수사와 관련된 건이라서 정확하게 어떤 국가라든지 이런 건 말씀드리기가 어려운 점 양해 부탁드리겠습니다.
그리고 1.4억 회 관련해서는 저희 보도자료에도 보시면 배송... 배송지 주소 페이지 샘플을 저희가 넣어놨습니다. 거기 보시면 본인이 등록한 주소들이 쭉 등록돼 있는데 저도 저 말고 부모님이라든지 친구들 다 등록돼 있다 보니 저희는 그 페이지를 1.4억 회 들어간 거거든요.
그런데 그 안에 보시면 굉장히 많지 않습니까? 이 정보들을 다 추려내고 발라내는 작업이 필요합니다. 그러다 보니 저희가 그 페이지에 정확한 접속한 유출 규모를 말씀드린 거고, 세세 건들은 지금 상황에서는 숫자가 안 나오다 보니까 그거는 개보위에서 발표할 예정이라고 보시면 될 것 같습니다.
<답변> 참고로 지금 화면에 못 띄워드렸는데 보도자료 5페이지 하단을 보시면 그 샘플이 있습니다. 그림을 보시면 그거를 1.4억 건 조회 및 유출로 보시면 됩니다.
<질문> ***
<답변> 조금만 크게 해주시면.
<질문> 저는 쿠팡이 유출됐다고 주장한 개인정보 3,000만 건에, 3,000건에 대해서 질문 살짝 드리고 싶은데, 쿠팡이 주장한 3,000건에 대해서 약간 이게 좀 차이가 많이 있었던 걸로 보이는데 이러한 행위가 침해사고 범위를 축소하려는 시도로 해석될 여지가 있는지가 궁금하고요. 또 이게 법적으로 문제가 될 소지는 없는지에 대해서도 여쭙고 싶습니다.
<답변> 피조사기관이 하는 거는 하나의 주장일 뿐이라고 말씀드렸지 않습니까? 그 주장에 대해서 조사를 하고 검증을 하고 체크를 해서 국민들한테, 국민들께 투명하게 그 조사 결과를 발표하는 게 조사단의 의무고, 그래서 그들이 이야기하는 부분에 대해서 저희가 평가를 하는 게 아니고 저희는 그걸 엄정하고 투명하게 조사를 할 뿐입니다.
그리고 법적으로 그게 예를 들어서 적게 숫자가 들어가 있다고 해서 저희가 처벌하고 이런 규정은 없습니다.
<질문> 저는 공격자 관련해서 조금 여쭤보고 싶은데 지금까지 저희가 알고 있는 걸로는 1명의 재직자에 의해서인 건데 이거는 지금까지 확인하신 바로는 1명이 맞는지, 그러니까 1명에 의해서 이것이 벌어진 것이 맞고 배후에 다른 조직이 있거나 이런 것은 없는지, 그리고 이렇게 1명한테 이렇게 큰 규모의 개인정보가 이렇게 유출이 되었다는 것 자체도 크게 심각한 문제인 것 같은데 이 부분에 대해서는 어떻게 보시는지 궁금합니다.
<답변> 이거는 조금 죄송하지만 수사의 영역입니다. 그래서 저희가 공격자가 지금 1명이다, 여러 명이다, 이렇게 말씀드릴 수 있는 정보가 저희가 있지는 않습니다. 그래서 그거는 나중에 경찰의 결과를 봐주셔야 될 것 같습니다.
<질문> 최근까지 서명키가 개발자의 개인 노트북에 저장된 사실을 적발하셨다고 했는데 그 확인 시점이 언제고, 그래서 지금까지 부적절하게 보관해 온 개발자라든지 직원 규모가 몇 명 정도로 보시는지 궁금하고요. 이거 하나하고요.
또 모의해킹에서 쿠팡 측이 인지한 인증체계의 구조적 결함 같은 거는 임시방편으로 일부만 막았다고 보신 것 같은데 구체적으로 그게 어떤 내용이었고, 그러니까 쿠팡이 인지한 게 어떤 내용이었고 어떻게 했어야 되는데 뭘 안 했는지 설명 부탁드립니다. 그리고 그게 내부에서, 쿠팡 내부에서 어디까지 공유된 걸로 보시는지도.
<답변> (이동근 민관합동조사단 부단장) 첫 번째 질문해 주신 서명키 관련 부분 말씀드리겠습니다. 일단 이번에 재직자, 전 재직자분은 실제 이번에 문제가 됐던 키가 포함된 시스템을 직접 개발할 때 참여했던 분이고요.
그리고 그 팀에 여러 명이 있었던, 숫자를 저희가 말씀드리기 조금 어렵지만 그 팀에 있는 멤버들이 업무를 하는 행태를 저희가 확인을 했습니다. 그러니까 지금 그분이, 그 사람이 재직할 당시를 저희가 조사할 수 없다 보니까 이미 퇴사를 해버렸기 때문에, 현재 있는 직원들도 그렇게 업무를 하고 있는지를 확인을 저희가 조사기간 동안 했을 때 직접 그분, 재직자의 노트북을 가지고 가서 저희가 포렌식을 했더니 키를 저장하고 있는 걸 확인을 했고요.
그러면 과거에도 퇴사한 그 공격자가 동일한 행태의 업무를 했기 때문에 키를 저장할 수도 있었고 실제 어떻게 보면 그 부분이 아까 저희가 지적했던 키 관리가 제대로 전반적으로 이루어지지 않았다는 부분이고, 몇 명이 그거를 가지고 가고 이 부분은 저희가 말씀드리기가 어려운 부분이 있고 지적사항에도 있지만 이력관리가 잘 안 되는 부분이 있었습니다.
그리고 모의해킹 관련해서는 저희가 지적한 부분이 모의해킹도 여러 가... 굉장히 많은 모의해킹을 해왔습니다. 해온 것 중에 이번에 문제가 됐던 토큰과 관련돼서도 여러 모의해킹을 시도해서 문제점을 찾아가는 과정들이 있었습니다.
그런데 케이스를 다 설명드리기는 어렵지만 그런 문제를 해결하는 과정 중에 저희가 봤을 때는 근본적으로 이 토큰을 가지고 공격자가 할 수 있는 경로상에 있는 문제점들을 진단하고 제거를 했어야 되는데 딱 그 모의해킹한 그 부분에 대해서만 집중해서 관리하다 보니까 이번에 보도자료에도 있듯이 관문에서 토큰을 검증하는 체계에 대해서는 전혀 검토가 이루어지지 않다 보니 이번에 사고와 연결됐다, 그렇게 말씀드릴 수 있을 것 같습니다.
<질문> 그래서 얼마나 파악이 *** 올라갔는지 이런 거 혹시 파악된 바가 있으신지요.
<답변> (이동은 민관합동조사단 부단장) 모의해킹 건은 CISO까지 다 보고가 됩니다.
<질문> 약간 계속 유출과 조회가 헷갈리는 게 보통은 그냥 유출이잖아요. '조회를 해서 정보를 들고 가서 몇 건이 유출되었다'인데 이번에는 조회를 했다는 게 저희에게 혼란을 주는 것 같은데요. 그래서 1.4억 건을 조회했다는 게 보면 특정인의 배송지목록 페이지인데 여기에 보면 그 목록에는 여러 명이 있잖아요. 그러면 1.4억 건의 그 페이지 곱하기 여러 명이 돼 있으면 훨씬 유출 정보는 되게 많을 것 같은데 정보 유출을 3,367만 건이라고 이야기하는 게 저희로서는 ***
<답변> (이동근 민관합동조사단 부단장) 3,367만 건 유출이라고 저희가 명시한 부분은 '내정보 수정하기' 페이지의 성명과 이메일 쌍으로, 보도자료에도 있지만 정보 수정하는 페이지에 딱 접속하게 되면, 조회하게 되면 그 정보가 나옵니다. 그 쌍으로 돼 있는 것을 3,367만 건을 가져갔고 그 숫자에 대해서는 웹 접속 기록상 정확하게 식별해서 구분할 수 있는 데이터들이 있고 저희가 카운트를 할 수 있었습니다.
그런데 지금 배송지 주소는 지금 기자님도 말씀하셨지만 상당히 복잡하게 되어 있습니다. 안에 있는 주소들이 등록되어 있는 개수들도 굉장히 많고, 지금처럼 1.4억 회 조회를 했지만 그중에 최대 한 20개까지 주소를 등록할 수 있습니다.
그러다 보니 그 숫자를 저희가 지금 다 산정해서 만약에, 개보위가 그 숫자를 끝내서 만약에 발표한다 그러면 굉장히 시간이 많이 걸릴 수도 있다 보니까 저희는 실제, 조회도 유출입니다. 말씀드렸지만 조회하는 순간 정보가 다 바깥으로, 통제권 밖으로 나가기 때문에 그래서 1.4억 건을 조회해서 유출했다, 라는 걸 말씀드리고, 정확한 개개 건들은 향후 개보위가 발표할 숫자다 보니까 그 부분은 조금 저희가 표기를 못 했다는 그 점이 있을 것 같습니다.
<질문> ***
<답변> (이동근 민관합동조사단 부단장) 1.4억...
<답변> (임정규 민관합동조사단장) 민관합동조사단장입니다. 정보보호네트워크정책관이고 이름은 임정규입니다. 왜냐하면 처음 '내정보 수정' 페이지를 보시면 그 한 페이지에 이름이 하나, 그다음에 이메일이 하나만 나옵니다. 그러니까 이 한 페이지에 딱 들어갔으면 여기는 1개라고, 어떻게 보면 각각을 카운팅하면 2개고요. 하나라는 게 명시적으로 바로 나옵니다.
그런데 지금 배송지 목록의 주소에 들어가 보시면 1개 페이지에 어떤 페이지는 주소를 하나만 넣은 사람도 있고요. 주소를 20개 넣은 사람도 있습니다. 그리고 그 페이지 안에는 성명, 전화번호, 주소, 그다음에 마스... 그러니까 마스킹 된 공동현관 비밀번호까지 다 들어가 있는 겁니다.
그래서 이 숫자들이 어떻게 보면 하나부터 20개까지 분류를 할 수가 있고요. 그래서 저희는 이 페이지에 조회한 이 한 페이지를 하나로 본 겁니다. 그래서 한 번 이거를 1억 4,800만 번을 조회를 했다, 라고 저희가 발표한 겁니다, 조회 수치를 일단.
이 정확한 숫자는 사실은 개인정보보호위원회에서 첫 번째 페이지와 두 번째 페이지가, 첫 번째 페이지는 주소, 두 번째 페이지는 제가 친구의 주소로 이렇게 또 등록이 돼 있을 수도 있습니다. 이런 부분들을 다 사실은 개인정보보호위원회에서 확인해서 발표해야 되기 때문에 저희는 이 페이지에 조회했다, 라고 이렇게 발표를 드린 겁니다. 이상입니다.
<질문> 지금 ISMS-P 접근 권한별 직무 분리와 암호 정책 수립이 미흡한 걸 확인했다고 하셨는데 그러면 인증 취소도 검토하시는지 궁금합니다.
<답변> (임정규 민관합동조사단장) 다시 말씀드리겠습니다. 이번에 저희가 본 부분이 ISMS 인증 기준에 미달되는 부분이 있었느냐, 이 인증 기준에 미달되는 부분이 있었습니다. 그래서 저희가 특히 직무 분리가 미흡하고 암호키 관리 부분의 인증체계에 미흡한 부분이 있다고 저희가 분명히 보도자료에 얘기했고요.
그런데 저희가 인증 기준에 미달했다고 하는 사실 확인하고 저희 통상적인 절차는 인증 기준 미달에 대해서 일단은 보완조치를 저희가 요청합니다. 그리고 보완조치 이후에도 개선이 안 되면 그다음에 시정명령을 하고 그래도 안 하면 사실은 취소하는 절차를 저희가 진행하고 있고요.
실제 ISMS는 사실은 기업에 어떻게 보면 정보보호를 사전적으로 잘 대비하라는 그 체계를 갖추는 거기 때문에 바로 이렇게 취약점, 미달 기준이 나왔을 때 그것을 보완하는 것을 가장 우선으로 하고 있다는 것을 추가적으로 말씀드리겠습니다.
<질문> 쿠팡이 계속 3,000건 유출 얘기를 하는데 그렇다면 이 쿠팡의 중간 발표가 잘못된, 틀린 수치라고 보시는 건지 궁금하고요.
그리고 2차 피해가 없었다는 입장 얘기를 하고 있는데 혹시 조사 과정에서 정말 유출된 정황이나 사례는 없었는지 궁금하고요.
IP 조회도 하셨으니까 조회한 장소가 혹시 해외, 그 전 직원이 중국으로 갔다고 했으니까 중국일 가능성도 있는지 궁금합니다.
<답변> 그 3,000개에 대해서 말씀드린 거와 같이 저희가 확인도 하고, 자료도 제출받고 확인도 하지만 그거는 저희가 조사하는 과정의 하나일 뿐입니다. 그래서 거기에 대해서 지금 수치가 맞다, 틀리다 말하는 거는 저희는 불필요해 보이고요. 조사단은 저희가 꼼꼼하게 관련된 서버들을 다 뒤져보고서 피해 규모에 대한 부분, 정보 유출에 대한 부분을 갖다가 산정할 뿐입니다.
두 번째, 2차 피해에 대한 부분은 현재까지 저희가 확인한 바로는 다크웹이라든지 다른 데서 지금 확인하지 못했습니다.
세 번째, IP 조회 장소나 이런 부분들은 아까 수사와 연계 부분이 있어서 저희가 경찰하고도 정보 공유를 한 상황이고요. 이 부분에 대해서는 서울지방경찰청으로 문의를 해주시면 감사하겠습니다.
<질문> 안녕하세요? 일단 유출자가 외부 서버 전송이 가능한 공격 스크립트를 작성한 것으로 확인됐다고 발표하셨잖아요. 이거 관련돼서 유출자가 의도적으로 외부 서버 전송 기능을 포함시켰다고 봐야 하는 건지 아니면 자동 기능인 건지 궁금하고요.
조사단은 실제 데이터 외부 전송이 있었는지 기록이 남아 있지 않아 확인할 수 없다, 이렇게 되어 있는데 기록이 남지, 남아 있지 않은 이유가 무엇인지, 유출자나 쿠팡 측이 기록을 삭제한 건지 궁금하고요.
마지막으로, 이용자들의 전자 출입증을 일대일로 위·변조해서 접속한 게 맞는지까지 부탁드립니다.
<답변> (이동근 민관합동조사단 부단장) 스크립트 말씀하신 부분은 저희가 쿠팡으로부터 제출받은 공격자의 하드디스크하고 SSD에 있는 내용을 포렌식을 했습니다. 거기서 공격자가 제작한 것으로 보이는 스크립트를 확인했고, 그 스크립트에 해외... 외부 클라우드, 클라우드 연동하는 기능이 있었습니다. 그 기능 자체가 정보를 가지고 오면 그쪽으로 보내는 기능이었기 때문에 기능상으로 봤을 때는 클라우드를 이용하는 걸로 보입니다.
그런데 아까 말씀드린 것처럼 저희가 제출받은 하드디스크상에서 직접적으로 통신한 기록들이 남아 있지는 않았었고요. 남아 있지 않은 이유는 일단 로그가 일부 삭제되었을 수도 있습니다. 저희가 봤을 때는 삭제의 흔적도 있는데 그게 정확하게 그 로그다, 라고 판단할 수 있는 것까지는 안 남아 있다 보니까 저희가 보도자료에 그렇게 말씀드렸던 부분이고요.
그리고 또 말씀해 주신 게, 마지막에 질문해 주신 게 기록?
<질문> 전자 출입증을 일대일로 위·변조해서 접속한 게 맞는지.
<답변> (이동근 민관합동조사단 부단장) 토큰을 위·변조했을 때 매번 접속할 때마다 새로 생성해서 사용했습니다. 토큰의 구조상 안에 고유번호가 들어가야 됩니다. 그 번호를 넣을 때마다 새로 서명키, 일종의 도장을 찍고 만들어야 되기 때문에 접속할 때마다 그런 형태의 토큰을 생성했다고 보시면 될 것 같습니다.
<질문> 아까 조회와 유출에 대해서 한 번만 더 마지막으로 여쭤보고 싶은데 이게 3,367만 건의 계정을 1억 4,000건을 조회했다는 거는 중복 조회가 있었다는 걸로 이해가 되는데 그게 맞는지 확인을 부탁드리고요.
그리고 또 하나 여쭤보고 싶은 게 개보위의 과징금이 남아 있긴 하지만 이게 지금 유출 규모나 보안 관리 부실에 비해서 조금 처벌이 적다, 라는 느낌이 있거든요. 그래서 정보통신망법상 신고 지연 외에 관리 부실 등으로 조금 더 처벌을 할 수 있는 법적 근거는 없는지 여쭙습니다.
<답변> (이동근 민관합동조사단 부단장) 조회·유출 제가 다시 한번 말씀드리면 보도자료에 저희가 있는 것처럼 3,367만여 건은 '내정보 수정하기' 페이지에서 저희가 정확하게 이름과 이메일 쌍으로 나간 숫자 그거를 카운팅해서 말씀드리는 부분이고요.
그리고,
<질문> ***
<답변> (이동근 민관합동조사단 부단장) 저희가 개인정보 유출이라고 할 때 유출이라는 게 통제권을 벗어나면 유출입니다. 그러니까 쿠팡이라는 어떤 시스템이 있지 않습니까? 쿠팡이 소유주고 쿠팡이 관리하는 시스템인데 거기에 저장돼 있는 개인정보가 밖으로 나간 거지 않습니까? 그리고 또 본인이, 제가 조회한 게 아니라 타인이 조회해서 가져간 거기 때문에 이건 통제권을 벗어난 겁니다. 그래서 이거는,
<질문> ***
<답변> (이동근 민관합동조사단 부단장) 예, 맞습니다. 그래서 유출이라고,
<질문> ***
<답변> (이동근 민관합동조사단 부단장) 그러니까 일단은 저장이라는 거는 가서 어떻게 관리되는지의 부분이다 보니까 그거는 좀 해석이 다른 부분이고, 일단 저희가 유출이라고 하는 거는 저장이고, 저장이든지 뭐든지 떠나서 일단 통제권 밖으로, 바깥으로 나간 겁니다, 시스템 밖으로. 그렇기 때문에 이거는 법적으로도 저희가 유출로 해석을 하고 있습니다.
<답변> 두 번째 질문하신 개보위의 SKT 사례에 보시면 과징금이 있듯이 과징금에 대한 부분은 개보위의 영역이고요.
망법에서는 지연 신고, 그다음에 재발 방지 대책에 대한 이행에 대해서 적절하지 않다, 문제가 있다, 라고 하면 과태료 처분 이런 부분에 대해서만 지금 조치를 할 수가 있고요.
그런데 SKT 때, KT 때 저희가 조치하신 걸 보시면 동일한 수준까지밖에 안 되고, 앞으로 지금 망법 개정에 따라서 망법에서도 침해 사고에 대해서 과징금을 물릴 수 있도록 입법이 진행되고 있습니다. 국회에서 입법이 되고 나면 침해 사고에 대해서 나중에는 과징금도 물릴 수 있는 제도가 만들어질 것 같습니다.
<질문> 마지막으로, 결제 정보는 그럼 유출된 게 확인된 게 없나요?
<답변> 저희가 조사한 사항으로는 없는 것으로 알고 있습니다.
마지막으로 제가 한 말씀만 조금 더 드리면 아까 조금 말씀드렸지만 조사단을 제가 SKT, KT, 지금 이번에 쿠팡은 우리 임정규 국장님께서 조사단을 이끄셨는데요. 모두에 말씀드렸지만 조사단은 한 번도 법과 원칙에 벗어난 적이 없습니다.
그리고 아까도 말씀드렸듯이 어떤 기업도 차별한 적이 없습니다, 지난번에도 밝혀드렸듯이. 그리고 그 결과는 나오는 대로 신속하게 투명하게 공개하겠다는 원칙을 SKT 조사 때부터 분명히 밝히고 거기에 대해서 실천해 오고 있습니다. 이런 부분은 잘 이해를 해주셔서 기사 쓰시는 데 참고해 주시면 감사하겠습니다.
<답변> (사회자) 더 이상 질문이 없으신 것 같습니다. 이상으로 브리핑을 마치겠습니다. 수고하셨습니다.
이 누리집은 대한민국 공식 전자정부 누리집입니다.
속기자료.hwp
속기자료.pdf
