내부 정보에 어떻게 접근했나? “인증키 부실 관리가 결정타”

[앵커]

용의자로 지목된 중국인은 쿠팡에 근무할 때 내부 전산망 출입을 관리하는 열쇠지기 역할을 했다고 합니다.

이 직원이 퇴사한 다음엔 당연히 열쇠를 바꿔야 했지만, 쿠팡은 그러지 않았습니다.

이사 간 사람이 원래 살던 집에 마음대로 들락거릴 수 있도록 놔둔 셈입니다.

강푸른 기자입니다.

[리포트]

유력 용의자는 쿠팡 내부 전산망을 관리하는 중국 국적 전직 직원입니다.

'서명키'를 가지고, 다른 사용자에게 접근 권한을 부여해 주는 접속 인증 업무 등을 담당했습니다.

내부 시스템에 접속하려면 일회용 '출입증' 역할을 하는 '인증 토큰'과 출입증이 진짜인지 확인해 주는 '도장' 격인 '서명키'가 필요합니다.

해당 용의자는 거대한 쿠팡 내부 시스템의 출입을 관리하는 '열쇠지기'였던 셈입니다.

문제는 퇴사 후였습니다.

쿠팡은 이 직원이 퇴사한 뒤에도 서명키를 갱신하지 않고 그대로 둔 것으로 확인됐습니다.

담당자가 퇴사하면 서명키를 폐기하고 새로 만드는 가장 기본적인 보안 절차가 지켜지지 않은 것입니다.

[김승주/고려대 정보보호대학원 교수 : "해당 직원이 퇴사할 때는, 또는 그 직원한테 퇴사한다는 통보가 갔을 때는 그 시점 이후부터 그 직원이 갖고 있던 마스터 키는 전부 다 폐기시켜야 되는 게 정상이거든요."]

특히 쿠팡이 토큰 서명키 유효 인증 기간을 5년에서 10년으로 설정해 장기간 방치해 뒀다는 의혹까지 나온 상황, 쿠팡 측은 그러나 "방치 주장은 사실이 아니"라면서도 수사 중인 상황이라 자세한 내용은 확인해 줄 수 없다는 입장만 되풀이하고 있습니다.

KBS 뉴스 강푸른입니다.

영상편집:김철/그래픽:채상우

■ 제보하기
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : kbs1234@kbs.co.kr
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 카카오 '마이뷰', 유튜브에서 KBS뉴스를 구독해주세요!

강푸른 기자 (strongblue@kbs.co.kr)