퇴사했는데 인증키 유효…정상 사용자로 위장해 크롤링해도 몰랐다
최민희 더불어민주당 의원실에 쿠팡이 답변
쿠팡이 직원이 퇴사했는데도 그가 사용했던 인증키를 폐기하지 않고 방치해 장기간 보안 위험에 노출된 것으로 밝혀졌다. 이에 따라 이번 3370만 계정 개인정보 유출 사고와 관련해 쿠팡 측 책임 회피가 어려워 보인다.
1일 국회 과학기술정보방송통신위원회 위원장인 최민희 의원(더불어민주당, 남양주갑)은 전날 쿠팡에서 받은 자료를 토대로, 3370만건의 개인정보유출 해킹이 가능했던 이유는 인증 관련 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키가 장기간 방치돼 담당 직원이 퇴사 후에도 이를 악용했기 때문이라고 분석했다.
의원실은 쿠팡이 '토큰 서명키 유효인증기간'과 관련해 "5~10년으로 설정하는 사례가 많다는 걸로 알고 있다"며 "로테이션 기간이 길며, 키 종류에 따라 매우 다양"하다는 답변을 보내왔다고 밝혔다. 쿠팡은 이번 해킹에 악용된 인증키 유효기간에 대해서는 대답을 회피했다.
쿠팡 로그인에 필요한 '토큰'이 문을 열어주는 일회용 출입증이라면, '서명키'는 출입증을 찍어주는 '도장'이라 할 수 있다. 출입증이 있어도 출입을 허가하는 인증 도장이 없다면 출입할 수 없다. 하지만 동일한 서명키를 오래 방치할 경우 누군가 서명키(도장)를 몰래 찍어서 쓸 가능성이 높다.
의원실이 확인한 결과, 쿠팡은 로그인에 쓰이는 토큰 생성에 필요한 서명 정보를 담당 직원 퇴사에도 불구하고 삭제하거나 갱신하지 않고 방치했다. 이에 직원이 악용한 것으로 드러났다.
최 위원장은 "서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다"며 "장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라 인증체계를 방치한 쿠팡의 조직적·구조적 문제의 결과"라고 질책했다.
이어 "KT 펨토셀 사태에서 드러난 장기 인증키 방치 문제가 쿠팡에서도 동일하게 재현된 것은 우리 기업들의 낮은 보안 책임 의식을 보여준다"며 "IT· 테크기업들은 인증키 로테이션을 포함해 전반적인 보안체계를 긴급히 재정비해야 한다"고 촉구했다.
한편 올해 KT 해킹사태로 KT 펨토셀의 관리·감독 부실 문제가 수면 위로 드러났다. 이 과정에서 펨토셀 인증키 유효기간이 10년이라는 점이 밝혀졌다. 쿠팡도 KT처럼 장기 유효 인증키를 방치해 내부 직원이 이를 악용하여 3370만건의 개인정보를 탈취한 셈이다.
