최민희 의원 "쿠팡 인증체계 방치가 3370만건 유출 불러"

토큰 서명키 유효인증기간 5~10년 설정해

직원 퇴사 시 서명 정보 삭제·갱신 안해…내부 직원 악용

[사진=연합뉴스]

쿠팡에서 발생한 3370만 건의 개인정보 유출은 장기간 방치된 유효 인증키가 해킹을 가능하게 한 핵심 원인이라는 지적이 나오고 있다.

1일 국회 과학기술정보방송통신위원회(과방위) 최민의 의원실이 30일 쿠팡으로부터 받은 자료에 다르면 쿠팡이 토큰 서명키 유효인증기간에 대해 "5~10년으로 설정하는 사례가 많다는 걸로 알고 있다"며 "로테이션 기간이 길며, 키 종류에 따라 매우 다양하다"는 답변을 보냈다. 

이번 쿠팡 해킹사태에서 로그인에 필요한 '토큰'은 문을 열어주는 일회용 출입증이라 볼 수 있다. 서명키는 출입증을 찍어주는 '도장'이라고 할 수 있다. 출입증이 있어도 출입을 허가하는 인증 도장이 없다면 출입할 수 없지만 서명키를 오래 방치한다면 문제는 달라질 수 있다는 이야기다. 

최 의원실 설명에 따르면, 쿠팡 로그인 시스템은 토큰을 생성하자마자 바로 폐기되는 구조다. 그러나 토큰 생성에 필요한 서명정보를 담당 직원이 퇴사할 때 삭제하거나 갱신하지 않고 그대로 남겨두면서, 이 정보가 내부 직원에 의해 악용됐다는 것이다.

최 의원은 "서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다"며 "장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증체계를 방치한 쿠팡의 조직적 · 구조적 문제의 결과"라고 질책했다.

또 "KT 펨토셀 사태에서 드러난 장기 인증키 방치 문제가 쿠팡에서도 동일하게 재현된 것은 우리 기업들의 낮은 보안 책임 의식을 보여준다"며 "IT, 테크기업들은 인증키 로테이션을 포함해 전반적인 보안체계를 긴급히 재정비해야 한다"고 촉구했다.