[자막뉴스] "퇴사했는데 '만능키'는 주머니에"…중국인 직원에게 활짝 열린 '뒷문'

쿠팡의 고객 개인정보 유출 사태에서 핵심 인물로 지목된 중국인 전 직원 A 씨가 쿠팡 내부에서 인증 업무를 담당했던 걸로 확인됐습니다.

이 직원은 쿠팡 측이 제때 갱신하거나 폐기하지 않은 '엑세스 토큰 서명키'를 통해 퇴사 이후에 범행을 저지른 걸로 파악됐습니다.

쿠팡 측은 지난달 25일 서울경찰청 사이버수사대에 피고소인을 특정하지 못하고 개인정보 유출에 대한 고소장을 제출했는데, 이후 유출 정황을 조사하는 과정에서 중국 국적의 전 직원 A 씨가 특정됐습니다.

A 씨는 쿠팡에서 인증 업무를 담당했던 인물로, 내부에서 특정 정보에 접근하기 위한 사용자 인증이나 권한 부여를 처리했던 역할을 맡았던 것으로 파악됐습니다.

그렇다 보니 시스템 내부 민감한 정보에 접근할 수 있는 높은 권한을 가지고, 시스템의 취약점을 파고들 수 있었던 걸로 보입니다.

특히 A 씨가 퇴사 이후에 범행을 할 수 있었던 건 쿠팡이 내부에서 발급해 둔 '서명된 엑세스 토큰'의 인증키가 A 씨가 퇴사한 후에도 유효한 상태로 장기간 방치됐기 때문인 것으로 파악됐습니다.

액세스 토큰 인증키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호입니다.

내부 특정 시스템에 로그인하려면 일종의 '일회용 출입증'인 토큰이 필요하고, '서명키'는 이 토큰이 위조되지 않았음을 확인해 주는 역할을 해 업계에서 엄격하게 관리하고 있습니다.

쿠팡 측은 "키 종류에 따라 다르지만, 업계에서 5~10년으로 설정하는 사례가 많다는 걸로 알고 있다"고 했습니다.

최민희 국회 과학기술정보방송통신위원회 위원장은 "서명키 갱신이 가장 기본적인 내부 보안 절차인데도 이를 지키지 않았다"며 "단순한 내부 직원의 일탈이 아니라, 인증체계를 방치한 쿠팡의 조직적·구조적 문제의 결과"라고 지적했습니다.

(취재 : 김민정, 영상편집 : 이다인, 제작 : 디지털뉴스부)