“일회용 출입증 도장 방치한 꼴”…쿠팡, ‘토큰 서명키’ 장기 방치했나

쿠팡에서 3370만 명의 개인정보가 유출되는 초대형 사고가 터진 이유는 쿠팡이 인증절차 보안을 사실상 방치했기 때문이라는 지적이 나왔다. 정보를 탈취해 빼돌린 중국인 전 직원 A는 인증관련 담당자였는데, 퇴사 이후에도 ‘엑세스 토큰 서명키’를 이용해 쿠팡 내부 시스템에 접근할 수 있었다는 것이다.

1일 국회 과학기술정보방송통신위원회 위원장 최민희 더불어민주당 의원에 따르면 쿠팡은 이번 유출에서 악용된 토큰 서명키 유효기간과 관련해 경찰 수사를 이유로 대답을 피하면서도 “유효기간을 5~10년으로 설정하는 사례가 많은 것으로 알고 있다”며 “키 종류에 따라 다양하다”고 밝혔다.

엑세스 토큰 인증키란 내부 시스템 정보 접근 권한 증명서를 만드는 암호다. ‘토큰’이 내부 시스템에 접근하기 위해 필요한 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 인증 도장과 같다. 쿠팡 시스템상 토큰은 생성 이후 즉시 폐기되는데 막상 토큰 생성에 필요한 정보를 담당 직원 퇴사 후에도 삭제하거나 갱신하지 않는 등 방치했다는 것이다.

범행 피의자로 지목된 중국인 전 직원 A는 쿠팡 재직 당시 내부 전산망 접속 프로세스(인증) 개발 업무를 담당한 실무자였던 것으로 전해졌다. 실무를 맡으며 사용자 인증 관련 개발 업무에 깊게 관여하고 토큰 서명키에 접근할 수 있었을 가능성이 높다. 즉 서명키의 유효기간이 장기간 방치되면서 퇴사 후에도 일회용 출입증을 계속 생성해 쿠팡 내부 시스템에 접근할 수 있었다는 얘기다.

사실이라면 A의 최초 범행 시도 시점이 6월이지만 10월 퇴사 이후에도 이어질 수 있었던 이유가 설명된다. 쿠팡이 제때 서명키를 삭제하거나 갱신하는 등 보안 조치를 취했다면 이번 유출사고가 발생하지 않았을 가능성이 높다는 뜻이다. 이에 이번 유출사고와 관련해 쿠팡이 책임을 피하기 어려울 것이라는 관측이 힘을 얻고 있다.

한편 올해 KT 해킹사태로 KT의 초소형기지국(펨토셀)의 관리·감독 부실 문제가 수면 위로 드러나면서 펨토셀 인증키 유효기간이 10년으로 밝혀진 바 있다. 이번 쿠팡 사태도 장기 유효한 서명키를 방치해 대규모 유출사태가 발생했다는 점에서 예견된 ‘인재’라는 지적도 나온다. 최 위원장은 “서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다”며 “장기 유효 서명키를 방치한 것은 단순한 내부 직원 일탈이 아니라 인증체계를 방치한 쿠팡의 조직적·구조적 문제”라고 지적했다.

구혁 기자