쿠팡 직원, 개인정보 어떻게 빼냈나…'인증토큰·서명키' 의심

국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3000만건이 넘는 대규모 정보 유출 사고가 발생했다. 쿠팡은 현재까지 고객 계정 약 3370만개가 유출된 것을 확인했다. 이는 국내 성인 네 명 중 세 명의 정보에 해당하며, 사실상 쿠팡 전체 계정에 맞먹을 것으로 추정된다. 연합뉴스

최근 쿠팡의 대규모 개인정보 유출 사고와 관련해 내부 직원이 인증 토큰과 서명키를 악용했을 가능성이 제기되고 있다. 퇴사한 인증 관련 담당자가 접근 권한을 유지한 채 시스템에 접속했을 수 있다는 관측이다.

정보통신기술(ICT) 업계와 국회 과학기술정보방송통신위원장인 최민희 의원실에 따르면 개인정보를 빼돌린 인물은 현재는 퇴사한 인증 담당자로 알려졌다. 보안 업계는 해당 직원이 인증 시스템 관련 권한을 보유했다면, 퇴사 이전부터 로그인 없이 내부 취약 지점에 접근하기 쉬웠을 것으로 보고 있다.

최 의원실 등에 따르면 이 직원은 퇴사 이후 인증 토큰과 서버 인증키 등 보안 요소를 악용해 개인정보를 유출한 것으로 추정된다. 인증 토큰은 로그인 시 발급되는 일종의 '출입증'으로 토큰이 있으면 시스템에 별도 로그인 없이 접근이 가능하다.

관건은 서명키 관리다. 인증 토큰은 생성 및 폐기 주기가 짧지만, 이를 만들기 위해 필요한 서명키가 남아 있으면 토큰을 위조하거나 장시간 사용할 수 있다.

해당 직원이 퇴사 이후에도 서명키를 삭제하거나 갱신하지 않았다면 인증 토큰을 재생산해 데이터베이스(DB)에 접근할 여지가 생긴다는 설명이다.

염흥열 순천향대 정보보호학과 교수는 "통상 퇴사 시 모든 계정, 모든 접근 권한을 회수해야 한다"며 "만약 쿠팡이 권한을 남겨뒀다면 이러한 관리 방침이 이해되지 않는다"고 지적했다.

이번 사건은 해커 등 외부 공격이 아닌 내부자 소행으로 의심된다는 점에서 기존 대형 유출과 차이가 있다.

앞서 2011년 3500만 명의 정보가 유출된 싸이월드-네이트 사건은 외부 해킹이 발단이었고, SK텔레콤 유심 정보 유출 역시 외부 공격에 기인했다.