(서울=뉴스1) 조윤형 기자 = 쿠팡에서 전 국민 70%에 육박하는 고객 3370만 명의 정보가 유출된 가운데, 그 배경으로 장기 유효 인증키 관리 부실이 있었다는 지적이 제기됐습니다.
1일 국회 과학기술정보방송통신위원회 소속 최민희 더불어민주당 의원실이 쿠팡으로부터 제출받은 자료에 따르면 쿠팡은 ‘토큰 서명키’ 유효 인증 기간과 관련해 “5~10년으로 설정하는 사례가 많다는 걸로 알고 있다. 로테이션 기간이 길며, 키 종류에 따라 매우 다양하다”고 답변했는데요.
로그인에 필요한 ‘토큰’은 문을 열어주는 일회용 출입증에 해당하며, ‘서명키’는 출입증을 찍어주는 일종의 ‘도장’ 역할을 합니다.
의원실은 쿠팡 로그인 시스템상 토큰을 생성하고 즉시 폐기되는 상황임에도, 토큰 생성에 필요한 서명 정보를 담당자 퇴사 시 삭제하거나 갱신하지 않고 장기간 방치해 내부 직원이 악용한 것이라고 분석했는데요.
즉 인증 담당자에게 발급되는 서명키를 갱신하지 않아 퇴사 직원이 계속 접속할 수 있는 구조가 유지됐고, 이 허점이 이번 대규모 유출로 이어졌다는 분석입니다.
쿠팡에서 5개월 간 근무하던 중국인 A 씨는 재직 당시 확보한 토큰(데이터 접근 열쇠)을 이용해 147일간 3370만 명의 정보를 마련한 것으로 보이는데요.
자세한 내용은 영상을 통해 확인할 수 있습니다.
#쿠팡 #중국인 #개인정보
1일 국회 과학기술정보방송통신위원회 소속 최민희 더불어민주당 의원실이 쿠팡으로부터 제출받은 자료에 따르면 쿠팡은 ‘토큰 서명키’ 유효 인증 기간과 관련해 “5~10년으로 설정하는 사례가 많다는 걸로 알고 있다. 로테이션 기간이 길며, 키 종류에 따라 매우 다양하다”고 답변했는데요.
로그인에 필요한 ‘토큰’은 문을 열어주는 일회용 출입증에 해당하며, ‘서명키’는 출입증을 찍어주는 일종의 ‘도장’ 역할을 합니다.
의원실은 쿠팡 로그인 시스템상 토큰을 생성하고 즉시 폐기되는 상황임에도, 토큰 생성에 필요한 서명 정보를 담당자 퇴사 시 삭제하거나 갱신하지 않고 장기간 방치해 내부 직원이 악용한 것이라고 분석했는데요.
즉 인증 담당자에게 발급되는 서명키를 갱신하지 않아 퇴사 직원이 계속 접속할 수 있는 구조가 유지됐고, 이 허점이 이번 대규모 유출로 이어졌다는 분석입니다.
쿠팡에서 5개월 간 근무하던 중국인 A 씨는 재직 당시 확보한 토큰(데이터 접근 열쇠)을 이용해 147일간 3370만 명의 정보를 마련한 것으로 보이는데요.
자세한 내용은 영상을 통해 확인할 수 있습니다.
#쿠팡 #중국인 #개인정보
