최민희 의원 “쿠팡 3370만건 개인정보유출, 인증키 방치가 불러온 예고된 인재”

[일요신문] 최민희 국회 과학기술정보방송통신위원회 위원장(더불어민주당·남양주갑)은 1일 쿠팡의 3,370만건 개인정보유출 사고와 관련해 "서명된 액세스 토큰의 장기 유효 인증키를 방치해 발생한 예고된 인재"라고 비판했다.

지난달 30일 최 의원이 쿠팡으로부터 제출받은 자료에 따르면, 이번 해킹은 인증 담당자에게 발급되는 '서명키'가 장기간 갱신되지 않아 담당 직원이 퇴사한 뒤에도 이를 악용할 수 있었던 점이 핵심 원인으로 분석된다. 쿠팡은 서명키 유효기간에 대해 경찰 수사를 이유로 직접적인 답변을 피했지만, "업계에서는 5~10년으로 설정하는 사례가 많다"며 로테이션 기간이 길고 키 종류에 따라 매우 다양하다는 취지의 설명을 내놓았다.

쿠팡 해킹사태에서 로그인에 필요한 '토큰' 은 문을 열어주는 일회용 출입증이라고 한다면, '서명키' 는 출입증을 찍어주는 '도장' 이라 할 수 있다. 출입증이 있어도 출입을 허가하는 인증 도장이 없다면 출입할 수 없다. 하지만 서명키를 오래 방치해서 누가 계속해서 도장인 서명키를 몰래 찍어서 쓴 것과 다름없다.

최 의원실은 "쿠팡 로그인 시스템상 토큰은 생성하고 즉시 폐기되는 상황임에도 토큰 생성에 필요한 서명정보를 담당직원 퇴사 시, 삭제하거나 갱신하지 않고 이를 방치하여 내부직원이 악용한 것"이라고 밝혔다.

앞서 올해 KT 해킹사태로 KT 펨토셀의 관리 · 감독 부실 문제가 수면 위로 드러나면서 펨토셀 인증키 유효기간이 10 년으로 밝혀진 바 있다 . 마찬가지로 쿠팡도 장기 유효 인증키를 방치해 내부 직원이 이를 악용하여 3,370 만건의 개인정보를 탈취한 셈이다 .

최민희 위원장은 "서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다" 며 "장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라 , 인증체계를 방치한 쿠팡의 조직적 · 구조적 문제의 결과" 라고 질책했다 .

이어 "KT 펨토셀 사태에서 드러난 장기 인증키 방치 문제가 쿠팡에서도 동일하게 재현된 것은 우리 기업들의 낮은 보안 책임 의식을 보여준다"며 "IT, 테크기업들은 인증키 로테이션을 포함해 전반적인 보안체계를 긴급히 재정비해야 한다"고 말했다.

김영식 경인본부 기자 ilyo22@ilyo.co.kr