▲쿠팡 로켓배송 차량 ⓒ 연합뉴스
쿠팡에서 발생한 3379만 건의 개인정보유출 해킹이 인증 관련 담당자에게 발급되는 서명된 '액세스 토큰'의 유효 인증키가 장기간 방치됐기 때문이라는 지적이 나왔다. 이 액세스 토큰 서명키를 회사 측이 제때 갱신하거나 폐기하지 않아 담당 직원이 퇴사 이후에도 이를 악용했다는 것이다.
현재 이번 사태의 핵심 인물로 퇴사한 중국인 직원 A씨가 지목된 상태이며, 그는 쿠팡 내부에서 인증 업무를 담당했던 것으로 알려졌다. 쿠팡 측은 지난달 25일 서울경찰청 사이버수사대에 고소장을 제출했다. 고소장에서 피고소인은 '성명불상자'로 기재됐지만, 유출 정황 조사 과정에서 중국 국적의 전 직원 A씨를 특정한 것으로 전해졌다.
1일 국회 과학기술정보방송통신위원회 위원장인 최민희 더불어민주당 의원이 전날 쿠팡으로부터 받은 자료에 따르면 쿠팡은 토큰 서명키 유효인증기간에 대해 "5~10년으로 설정하는 사례가 많다는 걸로 알고 있다"며 "로테이션 기간이 길며, 키 종류에 따라 매우 다양"하다는 답변을 보내왔다. 하지만 이번 해킹에 악용된 인증키 유효기간에 대해서는 경찰 수사를 핑계로 대답을 회피했다고 한다.
또 이번 쿠팡 사태에서 로그인에 필요한 '토큰'이 문을 열어주는 일회용 출입증이라고 한다면, '서명키'는 출입증을 찍어주는 '도장'이란 것. 때문에 출입증이 있어도 출입을 허가하는 인증 도장이 없다면 출입할 수 없지만, 서명키를 오래 방치해서 누가 계속해서 도장인 서명키를 몰래 찍어서 쓴 것과 다름없다는 것이 최 의원실의 설명이다.
이에 최 의원실이 확인한 결과 쿠팡 로그인 시스템상 토큰은 생성하고 즉시 폐기되는 상황임에도 토큰 생성에 필요한 서명정보를 담당직원 퇴사 시, 삭제하거나 갱신하지 않고 이를 방치했다. 이를 내부직원이 악용한 것이란 분석이다.
올해 케이티(KT) 해킹사태로 KT 펨토셀의 관리·감독 부실 문제가 수면 위로 드러나면서 펨토셀 인증키 유효기간이 10년으로 밝혀진 바 있다.
최 의원은 "서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다"며 "장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증체계를 방치한 쿠팡의 조직적·구조적 문제의 결과"라고 지적했다.
이어 "KT 펨토셀 사태에서 드러난 장기 인증키 방치 문제가 쿠팡에서도 동일하게 재현된 것은 우리 기업들의 낮은 보안 책임 의식을 보여준다"며 "IT(정보통신), 테크기업들은 인증키 로테이션을 포함해 전반적인 보안체계를 긴급히 재정비해야 한다"고 주장했다.
정부, 쿠팡 서버 인증 취약점 악용한 공격 확인
▲배경훈 부총리 겸 과학기술정보통신부 장관이 11월 30일 오후 서울 종로구 정부서울청사에서 열린 '쿠팡 침해사고 및 개인정보 유출 관련 관계부처 긴급 대책회의' 에서 발언하고 있다. ⓒ 과학기술정보통신부 대변인실 이영규
정부는 전날(30일) 오후 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 긴급회의를 열고 철저한 사고 조사를 약속했다. 과학기술정보통신부는 이번 사태와 관련해 민관 합동조사단을 꾸려 사고 원인 분석과 재발 방지 대책 마련에 나섰다.
배 부총리는 "국민들이 많이 이용하는 플랫폼사까지 침해사고 및 개인정보유출이 발생하게 돼 송구하다"고 밝혔다. 이어 "정부는 지난 11월 19일 쿠팡으로부터 침해 사고 신고를 받았고, 지난 20일 개인정보유출을 신고받은 이후 현장 조사를 진행 중"이라며 "조사 과정에서 공격자가 쿠팡 서버의 인증 취약점을 악용하여 정상적인 로그인 없이 3000만 개 이상 고객 계정의 고객명, 이메일, 배송지 전화번호 및 주소를 유출한 것으로 확인했다"고 설명했다.
또한 그는 "정부는 면밀한 사고 조사 및 피해 확산 방지를 위해 30일부터 민관 합동조사단을 가동하고 있다"면서 "특히 개인정보위는 쿠팡이 개인정보 보호와 관련한 안전조치 의무(접근통제, 접근권한 관리, 암호화 등)를 위반했는지 여부도 집중 조사 중"이라고 강조했다.
덧붙여 "이번 사고를 악용해 피싱, 스미싱 공격을 통해 개인정보 및 금전 탈취 등 2차 피해가 발생하지 않도록 대국민 보안공지를 진행했고, 오늘부터 3개월간 '인터넷상 개인정보 노출 및 불법유통 모니터링(감시) 강화 기간'으로 운영한다"고 했다.
정부는 쿠팡 측 신고를 받고 현장 조사에 나서 유출 규모가 쿠팡이 최초 신고 당시(11월 19일) 밝힌 계정 4500여 개가 아닌 3379만 개임을 확인했다. 다만 서버 해킹을 통한 정보 유출인지 다른 공격 방식을 통한 범행인지는 아직 단정하기 이르다는 입장이다.
최우혁 과기정통부 네트워크정책실장은 "공격 방식이 다양하기 때문에 유출이다 해킹이다 단정적으로 말하긴 어렵다"며 "과거 특정 사례에서 내부자가 정보를 들고 나가는 케이스도 있었고 (인증) 계정을 가지고 하는 경우도 있었다"고 말했다.
또 정부는 쿠팡이 '금융 정보가 유출되지 않았다'며 정보 변경 필요가 없다고 밝힌 것과 관련해 조사 결과를 더 지켜봐야 하는 상황이라고 했다. 이외에도 국가 배후 해킹 공격 등 다양한 가능성을 모두 열어놓고 접근 중이라고 전했다.
이날 회의에는 배 부총리와 윤창렬 국무조정실장, 송경희 개인정보보호위원장, 유재성 경찰청장 직무대행, 김창섭 국가정보원 3차장, 최우혁 과기정통부 네트워크정책실장 등이 참석했다. 박대준 쿠팡 대표도 비공개 회의 때 참석해 회사 측이 파악한 사고 경위 등을 정부에 보고했다.
▲배경훈 부총리 겸 과학기술정보통신부 장관이 11월 30일 오후 서울 종로구 정부서울청사에서 열린 '쿠팡 침해사고 및 개인정보 유출 관련 관계부처 긴급 대책회의' 에서 발언하고 있다. ⓒ 과학기술정보통신부 대변인실 이영규