<앵커>
용의자로 지목된 직원은 퇴사한 뒤에도, 서명키를 통해 개인정보를 유출한 것으로 알려졌습니다. 내부 시스템에 접근할 수 있는 이렇게 중요한 권한을, 쿠팡이 부실하게 관리했다는 비판은 피하긴 어려워 보이는데요.
그렇다면 서명키가 무엇이고, 어떻게 쿠팡은 몇 달 동안이나 유출 사실을 몰랐는지, 백운 기자가 설명하겠습니다.
<기자>
이번 유출 사태의 핵심 인물로 지목된 쿠팡 전직 직원은 퇴사 이후 내부 시스템에 접속해 개인 정보를 유출한 것으로 알려졌습니다.
전문가들은 이 직원이 부실하게 관리된 서명키를 악용한 것으로 추정하고 있습니다.
회원들의 개인정보가 담긴 내부 시스템에 짧은 시간 접근할 수 있게 하는 임시 출입증을 인증 토큰이라고 하는데, 이 토큰이 유효한 출입증이 되도록 승인하는 도장 역할을 하는 게 서명키입니다.
퇴사한 직원이 유효기간이 남은 서명키로 여러 개의 인증 토큰을 만들어 시스템에 접근해 온 것으로 전문가들은 보고 있습니다.
쿠팡은 고객이 협박 메일까지 받고 나서야 서명키를 폐기했는데, 개인정보 유출이 시작된 지 이미 5개월이 지난 시점입니다.
서명키는 보안의 핵심 요소이기 때문에 권한을 가진 직원이 퇴사하면 폐기하는 게 기본인데, 지켜지지 않았습니다.
[김승주/고려대 정보보호대학원 교수 : (인증 토큰은) 비정상 접근이 아니라 합법적인 접근으로 확인되기 때문에 아주 엄격히 내부 통제를 했다면 잡을 수도 있겠으나, 그게 그렇게 쉽지가 않다. 퇴사자가 발생하면 그 퇴사자가 관리하던 키는 전부 다 리셋시키는 게 정상이죠.]
해당 직원이 3천370만 명의 정보를 여러 달에 걸쳐 조금씩 유출해 내부 감시를 피했을 가능성도 거론되고 있습니다.
쿠팡은 지난해 889억 원을 정보보호 부문에 투자하고, 선제적 보안을 실시하고 있다고 대대적으로 홍보해 왔는데, 정작 내부 직원 권한 관리에 구멍이 있었단 지적을 피하긴 어려워 보입니다.
쿠팡 측은 서명키의 유효 기간이 얼마인지, 해외에서도 인증 토큰 생성이 가능한지 등에 대해 수사 중인 상황이라 자세한 언급을 할 수 없다고만 밝혔습니다.
(영상편집 : 전민규, 디자인 : 강경림·장예은)
동영상 기사
동영상 기사
동영상 기사
동영상 기사
동영상 기사
