쿠팡에서 인증 관련 담당자에게 발급되는 데이터 접근 열쇠가 장기간 방치되며 3370만명의 개인 정보 유출이 이뤄졌다는 분석이 나왔다. 쿠팡이 퇴사 후에도 이 열쇠를 곧바로 삭제하거나 갱신하지 않는다는 점을 용의자로 지목된 중국 국적 개발자가 악용했다는 것이다.
1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면, 쿠팡은 토큰 서명키 유효 인증 기간에 대해 “5~10년으로 설정하는 사례가 많다는 걸로 알고 있다. 로테이션 기간이 길며, 키 종류에 따라 매우 다양하다”고 했다. 쿠팡 측은 이번 해킹에 악용된 인증키 유효 기간에 대해서는 경찰 수사를 이유로 대답을 하지 않았다.
로그인에 필요한 토큰이 데이터에 접근하는 문을 열어주는 ‘일회용 출입증’이라면, 서명키는 출입증을 찍어주는 ‘도장’의 개념이다. 최민희 의원실은 “출입증이 있어도 출입을 허가하는 인증 도장이 없다면 출입할 수 없다. 하지만 서명 키를 오래 방치해서 누가 계속해서 도장인 서명 키를 몰래 찍어서 쓴 것과 다름없다”고 했다.
이번 정보 유출은 쿠팡의 중국 국적 개발자가 퇴직 후 중국에서 쿠팡 고객들의 개인 정보를 빼돌리며 일어난 것으로 전해졌다. 재직 당시 확보한 것으로 보이는 토큰을 이용해 147일간 3370만명의 데이터를 긁어모은 것으로 파악된다. 쿠팡 측이 데이터에 접근할 수 있는 열쇠를 장기간 방치하면서 이런 대규모 유출이 가능했다는 지적이다.
최민희 위원장은 “서명 키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다”며 “장기 유효 인증 키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증 체계를 방치한 쿠팡의 조직적·구조적 문제의 결과”라고 했다.