쿠팡 보안 구멍 ‘엑세스토큰서명키’…안랩 "주기적 교체해야"

안랩 위협 분석 보고서
표준화된 시스템 취약점 경고

웹사이트와 모바일 앱에서 주로 사용되는 '엑세스토큰서명키'(JWT) 기반 인증 시스템에 대한 통합 보안 관리 체계를 구축해야 한다는 제언이 나온다. 지난해 말 약 3400만명의 개인정보 유출 사고를 일으킨 쿠팡의 핵심 사고 원인으로 취약한 JWT 운영 관리가 지목됐다.

7일 안랩 시큐리티 인텔리전스 센터(ASEC)의 위협 보고서에 따르면 JWT 인증은 웹 표준으로 자바스크립트객체(JSON)를 통해 두 개체 간 정보를 안전하게 전송하는 일종의 '무상태(stateless) 인증 방식'이다.

기업에서 표준화된 시스템으로 활용하고 있지만, 이를 제대로 관리를 하지 않으면 인증 체계 전체를 붕괴하는 '단일 실패 지점'이 될 수도 있다.

서버에 이용자 상태를 저장하지 않아 자원 효율성이 높은 반면, 관리가 미흡할 경우에는 대형 사고를 야기할 수 있는 것이다.

안랩에 따르면 실제로 지난해 12월 쿠팡에서 JWT 서명키를 부실하게 관리한 탓에 대형 정보유출 사고가 발생했다. 퇴사 이후에도 해당 서명키를 리셋하지 않아 공격자가 고객 개인정보를 제한 없이 조회할 수 있었던 것으로 나타났다. 안랩 측은 "JWT의 강점인 무상태 특성은 운영 설계가 미흡하다면 인증 체계 전체를 파괴시키는 치명적인 약점이 될 수 있다"며 "서명키를 주기적으로 교체하거나 접근 통제를 강화하는 등 통합 관리 방안을 마련해야 한다"고 당부했다.

JWT는 서버에서 세션을 삭제할 때 강제 로그아웃이 즉시 반영되는 전통적인 세션 기반 인증과 다른 특성이 있다. 별도 철회 메커니즘이 없다면 토큰이 만료 시점까지 유효하게 유지될 수 있다. 직원의 권한이 변경되거나 계정이 비활성화되더라도 이전에 발급된 JWT가 만료 전이라면 응용프로그램 인터페이스(API) 접근이 가능하다.

안랩은 "계정 탈취를 탐지해 비밀번호를 재설정하더라도 공격자가 이미 확보한 JWT는 만료 전까지 유효하게 남을 수 있다"고 말했다. 이어 "알고리즘 고정 및 핵심 클레임 검증, 키 참조 입력 방어 등 엄격한 검증 로직을 구현해 공격 시도를 최대한 방어해야 한다"며 "로그 기반 탐지와 이상 징후 자동화를 통합한 보안 체계로 침해 징후를 조기에 식별할 필요도 있다"고 덧붙였다.

임성원 기자 sone@dt.co.kr

지난달 25일 서울 시내 한 주차장에 쿠팡 배달 차량이 주차돼 있다. 연합뉴스