허프포스트코리아

최민희 더불어민주당 의원이 쿠팡의 개인정보유출 사태의 원인을 짚었다. ⓒ뉴스1

최민희 더불어민주당 의원이 쿠팡에서 발생한 3379만 건의 개인정보유출 사고 원인으로 쿠팡 내부 보안 담당자에게 지급되는 ‘엑세스 토큰’ 유효 인증키의 허술한 관리를 지목했다.

엑세스 토큰(Access Token)은 애플리케이션 데이터에 접근할 수 있는 권한을 부여하는 보안 자격 증명이다.

쿠팡은 서버의 데이터에 접근할 수 있는 권한을 부여하는 엑세스 토큰 인증키를 제때 갱신하거나 폐기하지 않아 담당 직원이 퇴사 이후에도 이를 악용할 수 있었다는 것이다.

최민희 민주당 의원은 1일 쿠팡 쪽에 질의해 “토큰 서명키 유효인증기간을 5~10년으로 설정하는 사례가 많다”며 “로테이션 기간이 길며, 키 종류에 따라 매우 다양하다”는 답변을 받았다고 밝혔다.

다만 쿠팡은 이번 해킹에 악용된 인증키 유효기간에 대해서는 경찰 수사를 이유로 대답을 회피했다.

이번 쿠팡의 개인정보유출 사태의 핵심인물로 지목된 직원 A씨는 쿠팡 내부에서 인증업무를 담당했었던 것으로 알려졌다.

최민희 의원은 쿠팡 로그인 시스템상 토큰은 생성하고 즉시 폐기해야 함에도 담당직원이 퇴사할 때 곧바로 삭제하거나 갱신하지 않고 이를 방치했기 때문에 내부직원이 이를 악용한 것으로 바라봤다.

최 의원은 “이번 쿠팡 해킹사태에서 로그인에 필요한 ‘토큰’은 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증을 찍어주는 ‘도장’이라 할 수 있다”며 “출입증이 있어도 출입을 허가하는 인증 ‘도장’이 없다면 출입할 수 없는데 서명키를 오래 방치해 누가 계속해서 도장인 서명키를 몰래 찍어서 쓴 것과 다름없다”고 주장했다.

앞서 KT 해킹사태로 KT 펨토셀의 관리·감독 부실 문제가 수면 위로 드러나면서 펨토셀 인증키 유효기간이 10년으로 밝혀진 바 있다. 마찬가지로 쿠팡도 장기 유효 인증키를 방치해 내부 직원이 이를 악용해 3370만 건의 개인정보를 탈취한 셈이다.

최 의원은 “서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다”며 “장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증체계를 방치한 쿠팡의 조직적·구조적 문제의 결과”라고 지적했다.

그는 이어 “KT 펨토셀 사태에서 드러난 장기 인증키 방치 문제가 쿠팡에서도 동일하게 재현된 것은 우리 기업들의 낮은 보안 책임 의식을 보여준다”며 “IT, 테크기업들은 인증키 로테이션을 포함해 전반적인 보안체계를 긴급히 재정비해야 한다”고 촉구했다.