[the300]
이준석 개혁신당 대표가 3370만명의 고객 개인정보를 유출한 쿠팡에 대해 "대학교 2학년 수준의 수업에서 알려주는 설계 원칙을 간과했다"고 지적했다.
이 대표는 2일 국회 과학기술정보방송통신위원회 전체회의 후 소셜미디어(SNS)를 통해 "오늘 과방위 질의를 통해 쿠팡의 인증 키 유출이 왜 수천만명 규모의 대규모 개인정보 유출로 이어졌는지 규명해냈다"며 이같이 밝혔다.
그는 "시작은 키 탈취였지만 그 키를 만능키로 만들어준 것은 잘못된 유저-인증 시스템 설계였다"며 "쿠팡 측은 처음에 '인증 토큰을 만드는 키(Key)가 탈취된 것이 문제'라고 해명했지만 저는 그 설명을 듣고 강한 의문이 들었다"고 했다.
이어 "아무리 키가 털렸다 한들, 해커가 수천만명의 사용자 계정을 뚫으려면 각 사용자의 이메일 주소를 다 알고 있어야 대입해 볼 수 있는 것 아닌가, 그 방대한 이메일 리스트는 애초에 어떻게 확보했는가 등 의문을 풀기 위해 질의를 이어갔다"고 했다.
이 대표는 이 의문을 풀기 위해 질의를 이어간 끝에 쿠팡 보안 시스템의 치명적인 구조적 결함 두 가지를 확인했다고 설명했다.
그는 "이메일이 아니라 숫자만 알면 됐다"면서 "쿠팡은 내부 데이터베이스의 사용자 식별값을 암호화된 난수나 랜덤 값이 아닌 순서대로 1씩 늘어나는 정수로 설정해두고 있었다"고 지적했다. 이어 "해커는 굳이 이메일을 알아낼 필요가 없었다"고 했다.
또 "내부에서만 써야 할 문이 밖으로 열려 있었다"면서 "신뢰하는 내부 서버끼리만 쓰고 닫아뒀어야 할 API가 황당하게도 일반 인터넷에서 누구나 접근 가능한 상태로 열려 있었다"고도 했다.
이 대표는 "결국 이번 사태는 단순한 '관리자 키 분실' 사고가 아니다"면서 "'누구나 예측 가능한 번호표를 달아놓고, 직원 전용 출입구를 활짝 열어둔 것'과 다름없는 안일한 보안 아키텍처가 불러온 예견된 인재임이 오늘 질의를 통해 명확히 드러났다"고 강조했다.
앞서 쿠팡은 지난달 29일 약 3370만명의 고객 개인정보가 유출됐다고 발표했다. 이에 고객들에게 문자 메시지를 보내 "현재까지 조사된 결과에 따르면 노출된 정보는 고객님의 이름, 이메일 주소, 배송지 주소록(전화번호 등) 그리고 주문정보"라며 "심려를 끼쳐 드린 점 다시 한번 진심으로 사과 말씀드린다"고 했다.
독자들의 PICK!
황정아 더불어민주당 의원은 이날 과방위 전체회의에서 "대한민국 국민을 얼마나 우습게 알면 눈을 씻고 찾아봐도 (사과문이) 안 보인다"며 "사과문 어디로 갔느냐"고 물었다. 박태준 쿠팡 대표는 "이메일을 통해 개별적으로 사과문과 함께 내용을 다시 보내도록 하겠다"며 "다각적인 방법으로 소비자들 불안을 덜어드릴 수 있도록 노력하겠다"고 했다.
