장기 유효 인증키 방치해 내부 직원이 악용

[헤럴드경제=신현주 기자] 쿠팡의 대규모 개인정보 유출 사태와 관련해, 장기 유효 인증키가 방치돼 내부 직원에게 악용 빌미를 제공했다는 주장이 나왔다. 피의자로 지목된 인물은 쿠팡에서 인증 관련 업무를 한 것으로 파악됐다.

1일 최민희 국회 과학기술정보방송통신위원회 위원장이 쿠팡으로부터 제출받은 자료에 따르면 담당 직원은 인증 관련 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 퇴사 후에도 이용했다. 장기간 교체되지 않아 3370만 건의 개인정보가 유출됐다고 최 위원장 측은 보고 있다.

쿠팡은 토큰 서명키 유효인증기간에 대해 “5~10년으로 설정하는 사례가 많다는 걸로 알고 있다”며 “로테이션 기간이 길며, 키 종류에 따라 매우 다양”하다는 답변을 최 위원장실에 전달했다.

토큰은 로그인에 필요한 일회용 출입증이며, 서명키는 출입증을 찍어주는 도장이다. 출입증이 있어도 출입을 허가하는 인증 도장이 없다면 출입할 수 없다. 최 위원장실 확인 결과, 쿠팡 로그인 시스템상 토큰은 생성하고 즉시 폐기되는 상황임에도 토큰 생성에 필요한 서명정보를 담당 직원 퇴사 시 삭제하거나 갱신하지 않았다.

앞서 KT 해킹사태 당시 KT 펨토셀의 관리·감독 부실 문제가 수면 위로 드러나면서 펨토셀 인증키 유효기간이 10년으로 밝혀졌다. 쿠팡도 장기 유효 인증키를 방치해 내부 직원이 이를 악용해 3370만 건의 개인정보를 탈취한 것이란 해석이다.

최민희 위원장은 “서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다”며 “장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라 인증체계를 방치한 쿠팡의 조직적·구조적 문제의 결과”라고 지적했다.