쿠팡 용의자, 고객 특정 리스트는 어떻게?…보안 민낯 드러나

[앵커]

쿠팡 해킹 사태로 거의 전국민의 개인정보가 털리다시피 했는데 이유가 있었습니다. 쿠팡이 보안 설계의 기본도 지키지 않았던 겁니다. 사용자 식별번호가 1234 수준이었습니다.

임지수 기자입니다.

[기자]

어제 국회 과방위 현안질의에선 퇴사한 쿠팡 개발자가 3370만 사용자의 식별값을 어떻게 확보한 건지에 대한 추궁이 쏟아졌습니다.

빼돌린 서명키로 토큰을 위조해 내부자인척 위장하더라도, 쿠팡 데이터베이스에서 사용자 개개인을 식별해놓은 아이디를 모르면 정보를 불러올 수 없기 때문입니다.

[이준석/국회 과학기술정보방송통신위원회 위원 : 처음에 씨드(발단)가 된 리스트가 어떻게 유출된 건지에 대해선 왜 아무 말도 못 합니까.]

거듭된 추궁에 쿠팡 정보보안책임자는 새로운 보안 취약점을 털어놨습니다.

[브랫 매티스/쿠팡 최고정보보안책임자 : 사용자 식별 번호를 1씩 증가시키면서 새로운 토큰을 만들고, 그 고객을 나타내는 새로운 토큰을 이용해 반복적으로 정보 조회 요청(API 콜) 한 것으로 판단됩니다.]

보통 사용자 식별값은 공격자들이 예측 불가능하도록 난수 기반 방식으로 설계됩니다.

그런데 쿠팡은 사용자1, 사용자2, 사용자3과 같이 1씩 정수 증가하는 방식을 적용해 대량의 사용자 식별값을 손쉽게 수집할 수 있었던 겁니다.

[김승주/고려대 정보보호대학원 교수 : 내부 통제가 엄격하게 된 것 같진 않다. (서명키 탈취는) 재택 근무나 이런 것도 원인이 되지 않았나…]

지난해 12월 퇴사한 인증 시스템 개발자가 지난 6월부터 5달 동안 서버를 들락날락하며 수천만 유저 정보를 빼낼 수 있었던 또다른 이유입니다.

쿠팡은 이번 사고를 고객들에게 알리는 문자에서 정보 유출이 아닌 '노출'이란 단어로 사안을 왜곡한단 비판을 받았는데, 이를 수정하란 정부의 권고를 두 차례나 무시한 사실도 드러났습니다.

[최민희/국회 과학기술정보방송통신위원회 위원장 : (쿠팡이) 정부 민관합동조사단 우습게 보는 거예요, 장관님.]

오늘 열린 국회 정무위 현안질의에선 개인정보보호위원장이 쿠팡에게 현행법상 6조원까지 징벌적 손해배상을 청구할 규정이 있다고 밝혔습니다.

[영상취재 신승규 이지수 영상편집 오원석 영상디자인 김현주 조성혜]