고객정보 대문 열어뒀던 쿠팡…서서히 드러나는 유출 사고 실체

(서울=뉴스1) 김민수 박응진 기자 = 쿠팡에서 발생한 대규모 정보유출 사태의 실체가 조금씩 드러나는 모습이다.

쿠팡의 공식적인 부인에도 내부 인증정보(서명키)를 최대 10년간 방치해서 이같은 사고가 발생한 것 아니냐는 의혹이 제기된다.

서명키는 서버 접속에서 사용자를 정상 인식하는 기능을 한다. 의혹대로 서명키 관리 부실에 따른 사고라면 쿠팡이 고객 정보에 접근할 수 있는 문을 열어놓고 누구든 사용하도록 방치한 사태가 된다.

다만 쿠팡이 이 의혹을 공식적으로 부인하고 있어 실제 사고 경위는 조사가 어느 정도 이뤄진 후에 가늠할 수 있을 것으로 보인다.

1일 최민희 더불어민주당 의원은 쿠팡이 로그인 토큰 생성에 쓰이는 서명키 유효기간을 5~10년으로 설정하는 사례가 많다고 지적했다.

퇴사자 등이 발생했을 때 서명키 갱신 혹은 삭제 등 기초적인 관리가 필요한데 긴 유효기간을 그대로 둔 결과 이번 사고가 발생했다는 의혹으로 볼 수 있다.

인증키 관리 부실이라는 점에서 KT 펨토셀 사고와 비교되기도 하지만 성격은 완전히 다르다.

KT의 경우 전파 사각지대 커버를 위해 운영하던 장비 관리가 부실했다. 소액결제에 필요한 정보는 외부 침입을 통한 고난도 해킹으로 유출된 것으로 파악된다.

중요 데이터 서버 자체에 접속하는 서명키 방치는 KT 사례와는 무게감에서부터 차이가 난다.

만약 서명키를 방치해 데이터를 탈취당했다면 보안투자에 소홀한 기업에서도 일어나기 어려운 사고가 쿠팡에서 터졌다는 얘기다.

서명키는 토큰 발급의 최종 서명 도장으로, 서버가 해당 키를 신뢰하는 구조다. 이 때문에 서명키가 살아 있는 한, 회사 시스템은 퇴사자까지 '정상 사용자'로 인식한다. 이번 사건에서는 해당 직원이 퇴사했음에도 서명키가 로테이션되지 않고 남아 있어, 토큰 생성과 데이터 접근 경로가 그대로 유지됐다는 의혹이 나온다.

다시 말해 막힌 문을 뚫고 들어온 해킹이 아니라, 문을 열어둔 채 10년간 누구든 사용하도록 방치한 사고일 수 있다는 것이다.

이같은 지적에 쿠팡 관계자는 "5~10년간 방치되었다는 것은 사실이 아니다"며 "현재 수사 중인 상황이라 자세한 언급은 할 수 없다"고 말했다.

한편 경찰은 이번 사건과 관련한 협박 이메일 계정 2개를 추적 중이다. 서울경찰청 관계자는 "지난달 16일 쿠팡 고객들에게, 25일 쿠팡 고객센터 이메일 계정으로 (협박) 메일이 보내졌다"며 발신 이메일의 계정은 각각 다른 2개로 확인했으며, 이메일을 보낸 사람이 동일인인지 여부를 확인 중이라고 했다.

kxmxs4104@news1.kr