쿠팡, 최민희 의원실 관련 자료 제출
쿠팡에서 발생한 3370만건 규모 개인정보 유출이 로그인 인증에 사용되는 서명된 액세스 토큰의 유효 인증키가 장기간 방치된 탓에 발생한 것이라는 주장이 나왔다.
1일 더불어민주당 국회의원인 최민희 국회 과학기술정보방송통신위원장이 쿠팡에서 제출받은 자료에 따르면 쿠팡은 토큰 서명키 유효 인증 기간에 대해 "5~10년으로 설정하는 사례가 많다는 걸로 알고 있다"며 "로테이션 기간이 길며, 키 종류에 따라 매우 다양하다"고 밝혔다. 다만 이번 해킹에 악용된 인증키 유효 기간에 대해서는 경찰 수사를 이유로 대답하지 않았다.
로그인에 필요한 토큰이 데이터에 접근하는 문을 열어주는 '일회용 출입증'이라면, 서명키는 출입증을 찍어주는 '도장'의 개념이다. 최 의원실은 "출입증이 있어도 출입을 허가하는 인증 도장이 없다면 출입할 수 없다"면서 "하지만 서명 키를 오래 방치해서 누가 계속해서 도장인 서명 키를 몰래 찍어 쓴 것과 다름없다"고 비판했다.
올해 KT 해킹사태로 KT 펨토셀의 관리·감독 부실 문제가 수면 위로 드러나면서 펨토셀 인증키 유효기간이 10년으로 밝혀진 바 있다. 마찬가지로 쿠팡도 장기 유효 인증키를 방치해 내부 직원이 이를 악용한 뒤 3370만건의 개인정보를 탈취한 셈이라고 의원실은 강조했다.
최 위원장은 "서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다"며 "장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증체계를 방치한 쿠팡의 조직적·구조적 문제의 결과"라고 지적했다. 그러면서 "KT 펨토셀 사태에서 드러난 장기 인증키 방치 문제가 쿠팡에서도 동일하게 재현된 것은 우리 기업들의 낮은 보안 책임 의식을 보여준다"면서 "IT·테크기업들은 인증키 로테이션을 포함해 전반적인 보안체계를 긴급히 재정비해야 한다"고 촉구했다.
이에 대해 쿠팡 관계자는 "5~10년간 방치됐다는 것은 사실이 아니다"라면서도 "현재 수사 중인 상황이라 자세한 언급은 할 수 없다"고 말했다.
