[테크톡노트] 쿠팡 유출의 핵심 '인증토큰·서명키'란
3천370만건 유출…토큰·서명키 관리 체계 논란
퇴사 직원 사용 정황…갱신·폐기 절차 쟁점 부상
(서울=연합뉴스) 나확진 기자 = 3천370만건에 이르는 개인정보가 유출된 쿠팡 사태와 관련해 이를 야기한 '인증 토큰'(Access Token)과 '서명키'(Signing Key) 관리에 대해 관심이 쏠리고 있다.
인증 토큰은 사용자가 시스템에 로그인할 때 발행되는 출입증이라고 볼 수 있다. 토큰을 가지고 있으면 별도 로그인 없이도 해당 계정에 접근할 수 있다.
서명키는 토큰을 발행할 권한을 가진 열쇠라고 볼 수 있다.
보안업체 AI스페라의 강병탁 CEO(최고 경영자)는 13일 연합뉴스와 통화에서 인증 토큰과 서명키에 대해 호텔 투숙객에 발급되는 '출입 카드'와 '마스터키'에 비유했다.
각각의 호텔 방에 예약 정보가 일치하는 투숙객은 '출입 카드'를 받게 되는데 이 출입 카드가 있으면 매번 방에 들어갈 때마다 호텔에 자신의 정보를 이야기할 필요가 없이 카드만으로 출입할 수 있다.
만약 투숙객이 출입 카드를 잃어버리는 경우 등을 대비해 프런트 직원은 '마스터키'를 활용해 개별 출입 카드를 다시 발급해 줄 수 있다.
쿠팡 사태는 이 마스터키를 관리했던 전직 직원이 퇴사 후에도 마스터키를 그대로 가지고 있으면서 개개 투숙객의 출입 카드를 전부 다시 발급한 것에 비유할 수 있다는 설명이다.
다른 보안업계 관계자는 인증 토큰을 놀이공원 자유이용권을 대체하는 '팔목띠'에, 서명키를 팔목띠가 진짜가 맞는다는 의미로 찍어주는 직원의 도장에 비유하기도 했다.
퇴사한 쿠팡 직원이 '서명키'를 계속 사용해 고객의 인증 토큰을 발급했고 이를 통해 개개 고객의 개인정보를 누출했다는 것이 지금까지 드러난 정황이다.
통상적이라면 퇴사한 직원이 서명키를 계속 사용할 수는 없어야 할 텐데, 어떤 연유로 해당 직원이 서명키를 계속 사용했는지, 쿠팡의 관리에 문제가 없었는지는 추후 조사와 수사를 통해 밝혀질 부분이다.
지난 2일 국회 과학기술정보방송통신위원회 현안질의에서도 브랫 매티스 쿠팡 최고보안책임자(CISO) 등을 상대로 퇴사한 직원이 접근할 수 있는 서명키가 왜 갱신되거나 폐기되지 않고 유효한 상태로 방치되었는지에 대해 의원들의 질타가 있었다.
염흥열 순천향대 정보보호학과 교수는 "통상 퇴사하면 모든 계정, 모든 접근 권한을 뺏어야 한다"라며 "만약 쿠팡이 이를 살려뒀다면 이러한 관리 방침이 이해되지 않는다"라고 말했다.
수개월째 외부에서 서명키를 활용해 인증토큰이 계속 생성됐는데 왜 조기에 감지되지 못했는지도 밝혀야 할 부분이다.
통상 범위를 넘어서는 인증토큰이 생성되면 관리자가 알 수 있어야 한다는 것이 보안 전문가들의 지적이다.
이와 관련해 한 업계 관계자는 정보를 유출한 직원이 한 번에 다량의 인증 토큰을 만들기보다는, 장기간에 걸쳐 조금씩 인증 토큰 생성량을 늘리며 쿠팡 시스템의 이상 감지 범위를 시험했을 수 있다고 추측했다.
현재 쿠팡의 정보 유출 사태를 놓고 민관합동조사단의 조사가 진행 중인 가운데 경찰은 연일 압수수색을 이어가고 있다.
17일에는 국회 과방위에서 창업자 김범석 쿠팡Inc 이사회 의장 등을 증인으로 채택해 청문회를 열어 이번 사태 발생 경위와 쿠팡의 대응 등에 대해 들을 예정이다.
rao@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
3천370만건 유출…토큰·서명키 관리 체계 논란
퇴사 직원 사용 정황…갱신·폐기 절차 쟁점 부상
(서울=연합뉴스) 나확진 기자 = 3천370만건에 이르는 개인정보가 유출된 쿠팡 사태와 관련해 이를 야기한 '인증 토큰'(Access Token)과 '서명키'(Signing Key) 관리에 대해 관심이 쏠리고 있다.
인증 토큰은 사용자가 시스템에 로그인할 때 발행되는 출입증이라고 볼 수 있다. 토큰을 가지고 있으면 별도 로그인 없이도 해당 계정에 접근할 수 있다.
서명키는 토큰을 발행할 권한을 가진 열쇠라고 볼 수 있다.
보안업체 AI스페라의 강병탁 CEO(최고 경영자)는 13일 연합뉴스와 통화에서 인증 토큰과 서명키에 대해 호텔 투숙객에 발급되는 '출입 카드'와 '마스터키'에 비유했다.
각각의 호텔 방에 예약 정보가 일치하는 투숙객은 '출입 카드'를 받게 되는데 이 출입 카드가 있으면 매번 방에 들어갈 때마다 호텔에 자신의 정보를 이야기할 필요가 없이 카드만으로 출입할 수 있다.
만약 투숙객이 출입 카드를 잃어버리는 경우 등을 대비해 프런트 직원은 '마스터키'를 활용해 개별 출입 카드를 다시 발급해 줄 수 있다.
쿠팡 사태는 이 마스터키를 관리했던 전직 직원이 퇴사 후에도 마스터키를 그대로 가지고 있으면서 개개 투숙객의 출입 카드를 전부 다시 발급한 것에 비유할 수 있다는 설명이다.
다른 보안업계 관계자는 인증 토큰을 놀이공원 자유이용권을 대체하는 '팔목띠'에, 서명키를 팔목띠가 진짜가 맞는다는 의미로 찍어주는 직원의 도장에 비유하기도 했다.
퇴사한 쿠팡 직원이 '서명키'를 계속 사용해 고객의 인증 토큰을 발급했고 이를 통해 개개 고객의 개인정보를 누출했다는 것이 지금까지 드러난 정황이다.
통상적이라면 퇴사한 직원이 서명키를 계속 사용할 수는 없어야 할 텐데, 어떤 연유로 해당 직원이 서명키를 계속 사용했는지, 쿠팡의 관리에 문제가 없었는지는 추후 조사와 수사를 통해 밝혀질 부분이다.
지난 2일 국회 과학기술정보방송통신위원회 현안질의에서도 브랫 매티스 쿠팡 최고보안책임자(CISO) 등을 상대로 퇴사한 직원이 접근할 수 있는 서명키가 왜 갱신되거나 폐기되지 않고 유효한 상태로 방치되었는지에 대해 의원들의 질타가 있었다.
염흥열 순천향대 정보보호학과 교수는 "통상 퇴사하면 모든 계정, 모든 접근 권한을 뺏어야 한다"라며 "만약 쿠팡이 이를 살려뒀다면 이러한 관리 방침이 이해되지 않는다"라고 말했다.
수개월째 외부에서 서명키를 활용해 인증토큰이 계속 생성됐는데 왜 조기에 감지되지 못했는지도 밝혀야 할 부분이다.
통상 범위를 넘어서는 인증토큰이 생성되면 관리자가 알 수 있어야 한다는 것이 보안 전문가들의 지적이다.
이와 관련해 한 업계 관계자는 정보를 유출한 직원이 한 번에 다량의 인증 토큰을 만들기보다는, 장기간에 걸쳐 조금씩 인증 토큰 생성량을 늘리며 쿠팡 시스템의 이상 감지 범위를 시험했을 수 있다고 추측했다.
현재 쿠팡의 정보 유출 사태를 놓고 민관합동조사단의 조사가 진행 중인 가운데 경찰은 연일 압수수색을 이어가고 있다.
17일에는 국회 과방위에서 창업자 김범석 쿠팡Inc 이사회 의장 등을 증인으로 채택해 청문회를 열어 이번 사태 발생 경위와 쿠팡의 대응 등에 대해 들을 예정이다.
rao@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
관련뉴스
