쿠팡, 보안 핵심 ‘프라이빗 키’ 관리 어땠기에…“공격자가 키 획득해 악용”

국내 이커머스 1위 업체 쿠팡에서 약 3천400만건에 이르는 대규모 개인정보가 유출돼 논란이 커지고 있는 가운데 2일 서울 시내 한 아파트 복도에 쿠팡 로켓프레시 가방이 놓여있다. 연합뉴스

3300만명의 개인정보가 유출된 쿠팡에서 고객 인증에 사용되는 ‘서명키(프라이빗 키)’를 탈취당한 정황이 드러났다. 강도 높은 보안이 요구되는 서명키를 내부 개발자가 획득했을 가능성이 제기되면서 시스템 관리 부실에 대한 비판이 더욱 커질 것으로 보인다.

2일 국회 과학기술정보방송통신위원회가 개최한 쿠팡 개인정보 유출사고 관련 긴급 현안질의에서 브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 “(공격자는) 쿠팡 내부의 서명키를 사용해서 사용자(고객)인 것처럼 가장했다”고 설명했다.

매티스 CISO는 이번 사태에서 문제가 된 ‘암호키’가 무엇이며 고객 비밀번호까지 유출됐을 가능성 등을 묻는 이준석 개혁신당 의원의 질의에 이같이 답했다.

매티스 CISO는 “저희가 말씀드리는 토큰은 고객이 정상 로그인을 하면 지급되는 것으로 쿠팡의 프라이빗 키로 서명돼 (진위) 확인을 하게 된다”면서 “공격자는 쿠팡 내부 서명키를 획득해 (진짜처럼 보이는) 가짜 토큰을 만들었다”고 말했다.

매티스 CISO는 이어 퇴사 직원이 공격자로 거론되는 것과 관련해 “그 사람(전 직원)이 정말 이 사건과 연계된 사람이 맞다면, 그는 고급권한(Privileged Access)을 갖고 있었다는 얘기고 그말인 즉 (서명)키에 대한 접근권이 있었다는 것”이라고 설명했다.

현재 경찰은 쿠팡 개인정보 유출사태의 용의자로 퇴사 직원를 좇고 있다. 수사선상에 오른 직원에 대해 박대준 대표는 “인증 시스템을 만드는 개발자였다”고 말했다.

박 대표와 매티스 CISO의 발언을 종합하면, 고도의 보안이 요구되는 서명키가 개발자에게 노출될 정도로 관련 체계가 허술했다는 얘기다.

이와 관련해 이해민 조국혁신당 의원은 “열쇠(서명키)를 들고 있는 사람이 하루든 한달이든 접근이 가능할 때 (데이터를) 가져가면 되는 것”이라면서 키 접근 권한을 소홀히 한 점을 질타 했다.

이 의원은 “쿠팡이 받은 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증에는 접근 권한 통제 내용이 있고 정보보안팀이 아니면 (키 접근은) 허용될 수 없다”면서 “키를 암호화할 방법이 충분히 많은데 이렇게까지 풀려서 돌아다닌 것도 이해가 되지 않는다”고 말했다.

송윤경 기자 kyung@kyunghyang.com