쿠팡 대규모 정보 유출 사태와 관련해 브랫 매티스 쿠팡 CISO(최고정보보호보안책임자)는 "공격자로 생각되는 사람이 훔친 서명 키에 서명해서 다른 사용자처럼 가장한 것"이라고 밝혔다.
매티스 CISO는 2일 국회 과학기술정보방송통신위원회 긴급 현안질의에서 '공격자가 어떻게 정보를 습득했나'라는 이준석 개혁신당 의원 질의에 이같이 답했다.
매티스 CISO는 "고객이 정상적으로 로그인을 한 이후 쿠팡 서비스를 이용하기 위해 지급되고 있는 토큰으로 이를 통해 고객이 디바이스에 접속하면 고객이 누구인지 알 수 있게 하는 기술"이라고 설명했다.
매티스 CISO는 "모든 쿠팡 인증 토큰은 프라이빗 키를 서명해서 확인이 되는 데 (공격자가) 쿠팡 내부에 있는 프라이빗 키를 취득한 것으로 보인다"며 "이 키를 인증해 가짜 토큰을 만들어 냈다"고 했다.
그는 "이를 통해 비밀번호를 리셋하거나 재설정하는 데 사용했다는 증거는 찾지 못했다"고 덧붙였다.
매티스 CISO는 "공격자가 쿠팡에 접속할 때 쿠팡 내부에 있는 (API를) 사용한 게 아니라 외부의 API를 조작해서 사용했다"며 "쿠팡 내부 시스템의 로우(가공되지 않은) 데이터베이스에는 접근할 수 없었다"고 답했다.
이어 유출 사고를 일으킨 직원의 동기에 대해서는 "현재 경찰 조사가 진행 중이라 답변할 수 없다"고 선을 그었다.
신용현 한경닷컴 기자 yonghyun@hankyung.com
관련뉴스
