쿠팡에서 3천370만명의 개인정보가 대규모로 유출된 원인으로 인증 토큰과 서명키 관리 부실 의혹이 도마 위에 오르고 있다. 

1일 정보통신기술(ICT) 업계와 과학기술정보방송통신위원장 최민희 의원실에 따르면 쿠팡 고객 정보를 빼돌린 건 현재는 퇴사한 인증 관련 담당자로 알려졌다.

보안업계에서는 개인 정보를 유출한 직원이 인증 관련 담당자가 맞다면, 이 직원이 인증 관련 권한을 갖고 있어 퇴사 이전부터 로그인 없이 취약점에 접근하기 쉬웠을 것으로 보고 있다. 

최 의원실 등에 따르면 이 직원은 퇴사 이후 개인 정보를 유출했다고 알려졌는데, 이 과정에서 인증 토큰 서버인증키와 보안 취약점을 악용한 것으로 추정되고 있다.

인증 토큰은 로그인할 때 발행되는 출입증으로, 통상 토큰을 갖고 있으면 시스템에 로그인 없이 접근할 수 있다. 

이렇듯 인증 관련 담당자가 퇴사 후에도 인증토큰을 활용해 시스템에 접근했다면, 그 배경으로는 쿠팡이 인증 토큰 생성에 필요한 서명키를 부실하게 관리한 점이 지목되고 있다.

발언하는 박대준 쿠팡 대표

인증 토큰은 생성과 폐기가 빠르면 1시간 이내로 완료되는 등 주기가 짧은데, 이를 생성하기 위해 필요한 게 서명키다. 

쿠팡이 해당 직원 퇴사 후에도 서명키를 삭제하거나 갱신하지 않았다면 해당 직원이 인증 토큰을 악용해 데이터베이스(DB) 접속할 수 있게 되는 것이다.

보안 전문가는 "(인증토큰과 서명키를 악용하면) 외부에서 접근해서 자신의 (인증) 권한을 행사할 수 있었을 것"이라며 "로그인 없이 데이터베이스(DB)를 빼냈다는 건 인증토큰을 활용했다는 가능성이 높다는 의미"라고 말했다. 

염흥열 순천향대 정보보호학과 교수는 "통상 퇴사하면 모든 계정, 모든 접근 권한을 뺏어야 한다"라며 "만약 쿠팡이 이를 살려뒀다면 이러한 관리 방침이 이해되지 않는다"라고 말했다. 

특히 쿠팡의 개인정보 유출 사고는 해커 등 외부 사이버 공격에 이뤄졌던 여타 개인정보 유출 사고와 달리 내부자의 소행이라는 점에서 차별점이 있다. 

지난 2011년 3천500만명의 개인정보가 유출된 싸이월드-네이트의 경우 중국 해커가 이스트소프트[047560] 알집 업데이트 서버를 해킹하면서 시작됐고, 지난 4월 2천300만명의 개인정보가 유출된 SK텔레콤[017670]도 외부 해커의 개인정보 유출이 발단이 됐다. 

염 교수는 "퇴사한 직원이 이렇게 대규모로 개인정보를 유출한 건 이번이 처음인 것으로 안다"라고 말했다.