쿠팡에서 3천370만명에 달하는 고객 개인정보가 유출된 사건과 관련해 인증 토큰과 서명키 관리 부실이 원인으로 지목되고 있다.
1일 정보통신기술(ICT) 업계와 과학기술정보방송통신위원장 최민희 의원실에 따르면 이번 사건은 외부 해킹이 아닌 내부자의 소행으로, 유출에 관여한 직원은 현재 퇴사한 인증 관련 담당자로 알려졌다.
보안업계에서는 개인 정보를 유출한 직원이 인증 관련 담당자가 맞다면, 이 직원이 인증 관련 권한을 갖고 있어 퇴사 이전부터 로그인 없이 취약점에 접근하기 쉬웠을 것으로 보고 있다.
최 의원실 등에 따르면 이 직원은 퇴사 이후 개인 정보를 유출했다고 알려졌는데, 이 과정에서 인증 토큰 서버인증키와 보안 취약점을 악용한 것으로 추정된다.
인증 토큰은 로그인할 때 발행되는 출입증으로, 통상 토큰을 갖고 있으면 시스템에 로그인 없이 접근할 수 있다. 인증 토큰은 생성과 폐기가 빠르면 1시간 이내로 완료되는 등 주기가 짧은데, 이를 생성하기 위해 필요한 게 서명키다.
만약 인증 관련 담당자가 퇴사 후에도 인증토큰을 활용해 시스템에 접근했다면, 쿠팡이 인증 토큰 생성에 필요한 서명키를 충분히 관리하지 않았다는 지적이 나올 수 있다.
염흥열 순천향대 정보보호학과 교수는 이날 연합뉴스에 "퇴사한 직원이 이렇게 대규모로 개인정보를 유출한 건 이번이 처음인 것으로 안다"며 "통상 퇴사하면 모든 계정, 모든 접근 권한을 뺏어야 하는데, 만약 쿠팡이 이를 살려뒀다면 이러한 관리 방침이 이해되지 않는다"고 말했다.
(사진=연합뉴스)
한국경제TV 디지털뉴스부 김현경 기자
khkkim@wowtv.co.kr관련뉴스
