[단독] 쿠팡 유출 직원은 '인증 업무 담당자'...'액세스 토큰 서명키' 장기 방치가 화근

쿠팡 〈사진=연합뉴스〉

쿠팡 고객 개인정보 유출 사태의 핵심 인물로 퇴사한 중국인 직원 A씨가 지목된 가운데, 해당 직원이 쿠팡 내부에서 인증 업무를 담당했던 것으로 확인됐습니다. 이 직원은 쿠팡 측이 제때 갱신하거나 폐기하지 않은 '액세스 토큰 서명키'를 통해 퇴사 후 범행을 저지른 것으로 파악됐습니다.

쿠팡 측은 지난달 25일 서울경찰청 사이버수사대에 고소장을 제출했습니다. 고소장에서 피고소인은 '성명불상자'로 기재됐지만, 유출 정황 조사 과정에서 중국 국적의 전 직원 A씨를 특정한 것으로 파악됩니다.

A씨는 쿠팡에서 인증 업무를 담당했던 인물로, 내부에서 특정 정보에 접근하기 위한 사용자 인증이나 권한 부여를 처리했던 역할을 맡았던 것으로 전해집니다. 시스템 내부 민감한 정보에 접근할 수 있는 높은 권한을 가지고, 시스템 취약점을 파고들 수 있었던 것으로 보입니다.

문제는 A씨 범행 시점이 퇴사 이후 시점이었단 것입니다. 이게 가능했던 이유는 쿠팡이 내부에서 발급해둔 '서명된 액세스 토큰'의 서명키가 A씨 퇴사 후에도 유효한 상태로 장기간 방치됐기 때문입니다.

최민희 국회 과학기술정보방송통신위원회 위원장이 쿠팡으로부터 제출받은 자료에 따르면, 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키가 직원 퇴사 이후에도 폐기되거나 갱신되지 않고 방치된 것으로 나타났습니다. 액세스 토큰 인증키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 뜻합니다. 내부 특정 시스템 로그인에 필요한 '토큰'이 문을 열어주는 일회용 출입증이라면, '서명키'는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 해 업계에선 엄격하게 관리하고 있습니다.

쿠팡 측은 "현재 수사 중인 상황이라 자세한 언급은 할 수 없다"는 입장입니다.

최민희 위원장은 "서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다"며 "장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증체계를 방치한 쿠팡의 조직적·구조적 문제의 결과"라고 지적했습니다.