[한겨레] "쿠팡, 퇴사자 인증키 방치…3370만명 정보 유출 원인 됐다"

최민희 "기본적인 내부 보안 절차도 안 지켜"

쿠팡 이용자 3370만여명의 이름과 전화번호, 주소 등 개인정보가 유출된 가운데, 이번 사건이 발생한 것은 인증 관련 직원이 퇴사했는데도 그에게 발급한 인증키를 쿠팡이 장기간 방치했기 때문이라는 분석이 나왔다.

국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당)은 1일 "쿠팡 로그인 시스템상 토큰을 생성하고 즉시 폐기해야 하는 상황임에도 토큰 생성에 필요한 서명 정보를 담당 직원 퇴사 시, 삭제하거나 갱신하지 않고 이를 방치하여 (퇴사한) 내부직원이 악용한 것"이라고 밝혔다. 인증 관련 담당자에게는 데이터에 접근할 수 있는 접근 토큰의 유효 인증키가 발급되는데, 담당 직원이 퇴사했는데도 필요한 조처를 하지 않아 3370만건의 개인정보가 유출됐다는 뜻이다.

의원실 설명을 종합하면, 로그인에 필요한 '토큰'은 문을 열어주는 일회용 출입증, '서명키'는 출입증을 찍어주는 도장에 비유할 수 있다. 출입증이 있더라도 출입을 허가하는 인증 도장이 없다면 출입할 수 없지만, 이번 개인정보 유출 사태는 서명키를 오래 방치한 탓에 권한이 없는 사람이 도장인 서명키를 몰래 찍어서 쓴 셈이다.

최민희 의원은 "서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다"며 "장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증체계를 방치한 쿠팡의 조직적 구조적 문제의 결과"라고 지적했다.

의원실은 쿠팡의 인증키 유효 기간에 대해 질의했지만, 쿠팡은 인증키 유효 기간에 대해 경찰 수사를 핑계로 대답을 회피했다고 밝혔다. 다만 쿠팡은 유효기간에 대해 "5~10년으로 설정하는 사례가 많은 것으로 알고 있다"며 "로테이션 기간이 길며, 키 종류에 따라 매우 다양하다"고 답변했다.


---

📰 출처: 한겨레
🔗 원문 보기: https://www.hani.co.kr/arti/economy/economy_general/1232134.html