<앵커>
3천370만 명의 개인 정보를 빼돌린 것으로 지목된 중국인 전 직원은 퇴사한 뒤에도 별다른 제지 없이 회사 시스템에 접속해온 것으로 보입니다. 직원이 퇴사하면 고객 정보에 대한 접근 권한을 부여하는 '서명키'도 폐기했어야 하는데, 쿠팡이 이것을 그냥 방치한 것입니다.
백운 기자입니다.
<기자>
이번 유출 사태의 핵심 인물로 지목된 쿠팡 전직 직원은 퇴사 이후 내부 시스템에 접속해 개인 정보를 유출한 것으로 알려졌습니다.
전문가들은 이 직원이 부실하게 관리된 서명키를 악용한 것으로 추정하고 있습니다.
회원들의 개인정보가 담긴 내부 시스템에 짧은 시간 접근할 수 있게 하는 임시 출입증을 인증 토큰이라고 하는데, 이 토큰이 유효한 출입증이 되도록 승인하는 도장 역할을 하는 게 서명키입니다.
퇴사한 직원이 유효기간이 남은 서명키로 여러 개의 인증 토큰을 만들어 시스템에 접근해 온 것으로 전문가들은 보고 있습니다.
쿠팡은 고객이 협박 메일까지 받고 나서야 서명키를 폐기했는데, 개인정보 유출이 시작된 지 이미 5개월이 지난 시점입니다.
서명키는 보안의 핵심 요소이기 때문에 권한을 가진 직원이 퇴사하면 폐기하는 게 기본인데, 지켜지지 않았습니다.
[김승주/고려대 정보보호대학원 교수 : (인증 토큰은) 비정상 접근이 아니라 합법적인 접근으로 확인되기 때문에 아주 엄격히 내부 통제를 했다면 잡을 수도 있겠으나, 그게 그렇게 쉽지가 않다. 퇴사자가 발생하면 그 퇴사자가 관리하던 키는 전부 다 리셋시키는 게 정상이죠.]
쿠팡 측은 서명키의 유효 기간이 얼마인지, 해외에서도 인증 토큰 생성이 가능한지 등에 대해 수사 중인 상황이라 자세한 언급을 할 수 없다고만 밝혔습니다.
(영상편집 : 최진화, 디자인 : 강경림·장예은)
동영상 기사
동영상 기사
동영상 기사
동영상 기사
동영상 기사
