“쿠팡, 인증 토큰·서명키 부실 관리…직원 퇴사해도 안 바꾸고 방치”

3,370만 명의 고객 개인정보가 유출된 쿠팡이 평소 인증 토큰과 서명키를 부실하게 관리해 온 것으로 드러났습니다.

과학기술정보방송통신위원장 최민희 의원실은 오늘(1일) 자료를 내고 "쿠팡 해킹이 가능했던 이유는 인증 관련 담당자에게 발급되는 유효 인증키(서명키)가 장기간 방치됐기 때문"이라며 담당 직원이 퇴사 후 이를 악용한 것으로 분석된다고 밝혔습니다.

최 의원실 자료를 보면, 쿠팡은 내부에서 사용하는 토큰 서명키 유효 인증 기간을 5~10년으로 설정하는 사례가 많고, 회전 기간이 길며, 키 종류에 따라 매우 다양한 것으로 나타났습니다.

인증 토큰은 시스템에 로그인할 때 발행되는 출입증으로, 통상 토큰을 갖고 있으면 시스템에 로그인 없이 접근할 수 있습니다.

인증 토큰의 경우, 보통은 생성과 폐기가 빠르면 1시간 이내로 주기가 짧으며, 이를 생성하기 위해 필요한 게 서명키입니다.

쉽게 말해 로그인에 필요한 '토큰'이 문을 열어주는 일회용 출입증이라면, '서명키'는 출입증을 찍어주는 '도장' 역할을 하는 것입니다.

최민희 의원실은 이에 대해 "(쿠팡이) 서명키를 오래 방치해, 누가 계속해서 '도장'을 몰래 찍어서 쓴 것과 다름없다"고 설명했습니다.

쿠팡 로그인 시스템상 토큰은 생성 이후 즉시 폐기되는데, 토큰 생성에 필요한 서명 정보를 담당 직원이 퇴사하더라도 삭제하거나 갱신하지 않고 방치해 범행에 악용됐다고 최 의원실은 덧붙였습니다.

현재 쿠팡의 대규모 고객 정보는 퇴사한 인증 관련 담당자가 퇴사 이후 유출한 것으로 알려졌습니다.

쿠팡이 해당 직원 퇴사 후에도 서명키를 삭제하거나 갱신하지 않았다면 해당 직원이 인증 토큰을 악용해 데이터베이스(DB)에 접속할 수 있었다는 얘기입니다.

보안 업계에서는 개인 정보를 유출한 직원이 인증 관련 담당자라면, 퇴사 이전부터 로그인 없이 사내 취약점에 접근하기 쉬웠을 것으로 분석했습니다.

한편, 쿠팡 측은 "서명키가 5~10년간 방치되었다는 것은 사실이 아니다"라며 "현재 수사 중인 상황이라 자세한 언급은 할 수 없다"고 밝혔습니다.

[사진 출처 : 연합뉴스]

■ 제보하기
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : kbs1234@kbs.co.kr
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 카카오 '마이뷰', 유튜브에서 KBS뉴스를 구독해주세요!

강푸른 기자 (strongblue@kbs.co.kr)