쿠팡 정보보안 책임자 "공격자, 훔친 서명으로 다른 사용자처럼 가장"

"쿠팡 내부에 있는 서명 키 취득해 가짜 토큰 만들어"
"비밀번호 리셋하거나 로우 데이터 접근하지 않아"

류제명 과학기술정보통신부 제2차관이 2일 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 쿠팡 침해사고 관련 현안 질의에서 박대준 쿠팡 대표이사, 브랫 매티스 쿠팡 최고정보보안책임자와 인사하고 있다. 2025.12.2/뉴스1 ⓒ News1 신웅수 기자

(서울=뉴스1) 윤수희 박기현 기자 = 브랫 매티스 쿠팡 CISO(최고 정보보호보안 책임자)는 "공격자로 생각되는 사람이 훔친 서명 키를 사용해 실제 키에 서명을 해서 다른 사용자차럼 가장한 것"이라고 밝혔다.

매티스 CISO는 2일 국회 과학기술정보방송통신위원회 긴급 현안질의에서 이준석 개혁신당 의원의 질의에 "공격자가 어떻게 데이터베이스에 접근해 정보를 습득했나"라는 질문에 이같이 답했다.

매티스 CISO는 공격자로 추정되는 인물이 사용했다는 토큰의 암호키는 "정상적인 로그인을 한 고객이 서비스를 사용하기 위해 고객에게 지급되고 있는 토큰을 매개하는 것"이라며 "고객이 디바이스에 접속하면 고객이 누군지 알 수 있게 하는 기술"이라고 설명했다.

매티스 CISO는 "조사에 따르면 고객들의 크레덴셜(인증 키 등)이나 해시밸류, 비밀번호 등의 정보들이 노출됐다고 보지 않는다"며 "공격자라고 생각되는 사람은 훔친 서명 키를 사용해 실제로 키에다가 서명을 해 다른 사용자인 것처럼 가장했다"고 설명했다.

이어 "쿠팡의 인증 토큰은 개인적인(프라이빗) 서명을 해서 확인이 되는데 (공격자는) 쿠팡 내부에 있는 서명키를 취득한 것으로 보인다"며 "이 키를 인증해서 가짜 토큰을 만든 것"이라고 했다.

즉 프라이빗 키에 서명을 한 가짜 토큰을 갖고 인증에 성공을 해서 고객을 사칭하는 행위가 벌어졌다는 게 매티스 CISO의 설명이다.

다만 매티스 CISO는 "이런 행위를 통해 비밀번호를 리셋하거나 재설정하는 데 사용했다는 증거는 찾지 못했다"고 답했다.

또한 "공격자가 쿠팡에 접속할 때 쿠팡 내부에 있는 (API를) 사용한 게 아니라 외부의 API를 조작해서 사용을 했다"며 "쿠팡 내부시스템의 로우(가공되지 않은) 데이터베이스에는 접근할 수 없었다"고 답했다.

한편 매티스 CISO는 유출 사고를 일으킨 직원의 동기에 대해 "경찰 조사가 진행 중이라 제가 답변드릴 수 없다"고 선을 그었다.

ysh@news1.kr