쿠팡 사태 핵심 '유출 경위'…풀리지 않는 쟁점

(서울=뉴스1) 김명신 기자

내부 통제 실패.

김승주 고려대 정보보호대학원 교수는 이번 쿠팡 개인정보 유출 사태와 관련해 "유출 경위에 쓰인 토큰 발행 전자서명 키는 매우 엄격한 통제로 관리해야 하는 것 중 하나"라며 이같이 말했다.

역대 최대 규모의 고객 정보 유출 사고가 발생하면서 해킹 주체와 유출 경로를 둘러싼 의문점이 확산하고 있다. 특히 내부 소행 가능성에 무게가 실리면서 쿠팡의 보안시스템과 접근통제 관리 부실 등 책임론이 대두될 것으로 예상된다.

3일 업계와 정치권에 따르면 전날 열린 국회 과학기술정보방송통신위원회 긴급 현안질의에서 쿠팡의 사전 보안관리/통제 의무 불이행, 사고 후 미숙 대응 등에 대한 질타가 이어졌다.

이번 쿠팡 사태와 관련해 핵심적인 의문점을 짚어보면 크게 '해킹 주체'와 '유출 경위'다. 무엇보다 주체(공격자)가 관건인 이유는 해킹 여부에 대한 수사는 진행 중이지만 '퇴사한 내부 직원'이 유력한 용의자로 제기되면서다.

이날 과학기술정보통신부에 따르면 전수 로그 분석 결과 식별된 공격 기간은 지난 6월 24일부터 11월 8일이다. 쿠팡은 18일 22시 50분 유출 정황 최초 인지 후 19일 21시 35분 유출 사고 신고 최초 접수했다. 이후 조사를 통해 29일 약 3370만 개의 정보가 유출된 것으로 파악했다. 열흘 만이다.

무엇보다 쿠팡 사태 핵심은 '정상적인 로그인 없이 비정상적 접속 유출' 사건으로, 서버 접속 시 이용되는 인증용 토큰을 전자서명하는 프라이빗 암호키(서명키)가 악용된 것으로 추정되면서 보안 관리에 대한 집중 추궁이 이어졌다.

브랫 매티스 쿠팡 정보보안 책임자(CISO)는 "토큰이라는 것은 고객이 정상적인 로그인을 한 이후에 쿠팡 서비스를 사용하기 위해서 고객에게 지급되고 있는 토큰을 매개하는 것으로, 이를 통해 고객이 디바이스에서 접속하게 되면 우리는 고객이 누군지 알 수 있게 하는 기술"이라고 말했다.

유출 과정에서 이 토큰에 프라이빗하게 서명하는 키가 사용된 것이란 추정이다. 그는 "모든 쿠팡의 인증 토큰 같은 경우에는 프라이빗키를 서명함으로써 확인이 되는데 공격자라고 생각되는 사람은 쿠팡 내부에 있는 그 서명키를 취득한 것으로 보인다"면서 "키 인증을 통해 가짜 토큰을 만든 것으로 보고 있다"고 말했다. 문제의 해당 키는 갱신 기간이 도래하지 않은 상태였다.

그러면서 "각기 다른 소스에서 다른 IP 주소를 여러 개를 사용한 것으로 보이며, 그 수량이 저희의 보안관제시스템 자체에서 특정 임계치 밑으로 레코드가 됐기 때문에 알지 못했다"고 했다.

무엇보다 핵심 서명키를 쥔 공격자의 퇴사 시점은 12월로, 최초 접근 시도 6월 24일 이전 최소 6개월간 더 많은 정보의 유출 가능성도 제기되는 상황이다. 여야 의원들은 내부 직원 소행, 특히 '중국인 전 직원'에 대한 질의와 집중 추궁이 이어졌다.

이정헌 더불어민주당 의원은 "그 직원은 12월에 퇴사한 것으로 파악된다. 첫 번째 접근 시도 흔적이 발견된 6월 24일 이후에 5개월 동안 계속해서 정보를 침탈했고, 그 이전 6개월 이상의 기간이 또 늘어난 것"이라고 추가 유출 가능성을 제기했다.

박대준 쿠팡 대표는 "유력한 용의자로 추정되는 인물이라면 정규직 인증시스템 개발자로 근무했으며 퇴직 후 권한을 말소했다"면서도 12월 퇴사 시점엔 "그렇게 알고 있다"고 했다.

무엇보다 쿠팡이 최초 사고를 인지한 것은 지난달 16일 고객이 공격자로부터 협박 메일을 받은 사실을 신고받으면서다. 박 대표는 "쿠팡의 다량 정보를 가지고 있고, 어떻게 입수했으며, 이런 취약점을 쿠팡이 빨리 보완하지 않으면 폭로하겠다는 협박 메일이었다"고 말했다.

특히 2차 피해 관련 박 대표는 "파악된 바 없다"고 고수했지만, 김장겸 의원 등은 현재 중국 타오바오몰에서 쿠팡 계정이 판매되고 있는 점에 대해 맹비판했다.

이정헌 의원은 "퇴직자에 대한 강제적 접근 통제가 반드시 이뤄져야 되는데 쿠팡은 그런 시스템을 갖추지 않았다"면서 "퇴사 처리가 되는 순간 HR 시스템이 IT 보안 시스템으로 바로 연동이 돼야 하고 모든 개정을 즉시 차단했어야 했다"고 지적했다.

박 대표는 최민희 위원장이 "쿠팡이 정보보안 부문에서 무능하다고 보는데 수용하는가"라고 하자 "뼈아프게 수용한다"고 했다.

최 위원장은 "쿠팡을 이용하는 분들이 2차 피해를 막기 위해 지금 당장 해야 할 조치가 무엇인가"라는 질문에 김승주 고대 교수는 "민관합동조사단이 전수조사를 하면 피해 규모가 더 확대될 수 있기 때문에 일단 결제카드를 등록했다면 즉시 삭제하고. 카드 비밀번호 변경과 쿠팡 로그인 비번도 바꾸는 것이 우선해야 한다"고 강조했다.

lila@news1.kr