<앵커>
퇴사한 직원이 개인정보를 대규모로 유출한 것으로 추정되면서, 쿠팡이 서명키와 같은 내부 시스템 접근 권한을 부실하게 관리했다는 지적이 나오고 있습니다.
서명키가 무엇이고 쿠팡은 어떻게 수개월 동안 유출 사실을 몰랐는지, 백운 기자가 취재했습니다.
<기자>
이번 유출 사태의 핵심 인물로 지목된 쿠팡 전직 직원은 퇴사 이후 내부 시스템에 접속해 개인 정보를 유출한 것으로 알려졌습니다.
전문가들은 이 직원이 부실하게 관리된 서명키를 악용한 것으로 추정하고 있습니다.
회원들의 개인정보가 담긴 내부 시스템에 짧은 시간 접근할 수 있게 하는 임시 출입증을 인증 토큰이라고 하는데, 이 토큰이 유효한 출입증이 되도록 승인하는 도장 역할을 하는 게 서명키입니다.
퇴사한 직원이 유효기간이 남은 서명키로 여러 개의 인증 토큰을 만들어 시스템에 접근해 온 것으로 전문가들은 보고 있습니다.
쿠팡은 고객이 협박 메일까지 받고 나서야 서명키를 폐기했는데, 개인정보 유출이 시작된 지 이미 5개월이 지난 시점입니다.
서명키는 보안의 핵심 요소이기 때문에 권한을 가진 직원이 퇴사하면 폐기하는 게 기본인데, 지켜지지 않았습니다.
[김승주/고려대 정보보호대학원 교수 : (인증 토큰은) 비정상 접근이 아니라 합법적인 접근으로 확인되기 때문에 아주 엄격히 내부 통제를 했다면 잡을 수도 있겠으나, 그게 그렇게 쉽지가 않다. 퇴사자가 발생하면 그 퇴사자가 관리하던 키는 전부 다 리셋시키는 게 정상이죠.]
쿠팡 측은 서명키의 유효 기간이 얼마인지, 해외에서도 인증 토큰 생성이 가능한지 등에 대해 수사 중인 상황이라 자세한 언급을 할 수 없다고만 밝혔습니다.
(영상편집 : 최진화, 디자인 : 강경림·장예은)
동영상 기사
동영상 기사
동영상 기사
동영상 기사
동영상 기사
