[뉴스턴=고인영 기자] 국내 최대 이커머스 쿠팡에서 발생한 3370만 건 규모의 개인정보 유출 사건의 핵심 인물이 인증 업무를 담당했던 중국인 전직 직원으로 확인됐다. 이 직원은 퇴사 후에도 쿠팡이 제때 폐기하지 않은 ‘액세스 토큰 서명키’를 악용해 범행을 저지른 것으로 드러났다.
유출범은 ‘인증 업무 담당 전직 직원’
1일 JTBC 보도에 따르면, 쿠팡은 지난달 25일 서울경찰청 사이버수사대에 제출한 고소장에서 피고소인을 ‘성명불상자’로 기재했지만, 유출 정황 조사 과정에서 중국 국적의 전 직원 A씨를 특정한 것으로 파악됐다.
A씨는 쿠팡에서 인증 업무를 담당했던 인물로, 내부에서 특정 정보에 접근하기 위한 사용자 인증이나 권한 부여를 처리하는 역할을 맡았다. 시스템 내부의 민감한 정보에 접근할 수 있는 높은 권한을 보유하고 있어 시스템 취약점을 파고들 수 있었던 것으로 보인다.
문제는 A씨의 범행 시점이 퇴사 이후였다는 점이다. 이것이 가능했던 이유는 쿠팡이 내부에서 발급한 ‘서명된 액세스 토큰’의 서명키가 A씨 퇴사 후에도 유효한 상태로 장기간 방치됐기 때문이다.
5~10년 유효한 인증키, 퇴사 후에도 ‘방치’
최민희 국회 과학기술정보방송통신위원회 위원장이 쿠팡으로부터 제출받은 자료에 따르면, 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키가 직원 퇴사 이후에도 폐기되거나 갱신되지 않고 방치된 것으로 나타났다.
액세스 토큰 인증키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 뜻한다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면, ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 한다. 업계에서는 이를 엄격하게 관리하는 것이 원칙이다.
그러나 쿠팡은 토큰 서명키 유효 인증 기간과 관련해 “5~10년으로 설정하는 사례가 많다는 걸로 알고 있다. 로테이션 기간이 길며, 키 종류에 따라 매우 다양하다”고 답변했다.
의원실은 쿠팡 로그인 시스템상 토큰은 생성되고 즉시 폐기되는 상황임에도, 토큰 생성에 필요한 서명 정보를 담당 직원 퇴사 시 삭제하거나 갱신하지 않아 내부 직원이 악용할 수 있었다고 분석했다.
KT 펨토셀 사태와 ‘똑같은 실수’
이 같은 구조적 허점은 올해 논란이 된 KT 펨토셀 해킹 사태와 동일한 문제점을 드러낸다. 당시 KT 펨토셀 인증키의 유효기간이 10년으로 드러나며 관리·감독 부실이 집중 비판을 받았다.
최민희 위원장은 “서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다”며 “장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증 체계를 방치한 쿠팡의 조직적·구조적 문제의 결과”라고 지적했다.
5개월간 감지 못한 보안 시스템
이번 유출은 지난 6월 24일부터 약 5개월간 지속된 것으로 파악됐다. 쿠팡은 지난 18일에야 약 4500개 계정에서 비정상 접근을 포착했고, 후속 조사에서 유출 규모가 3370만 건으로 확대됐다.
유출된 정보는 이름, 이메일 주소, 배송지 주소록, 일부 주문정보 등이며, 결제 정보나 신용카드 번호, 패스워드는 포함되지 않았다고 쿠팡 측은 밝혔다. 현재까지 2차 피해는 보고되지 않았다.
역대급 제재 예고
이번 사건으로 쿠팡이 받게 될 제재 수위에 관심이 쏠린다. 유출 규모가 지난해 2324만 명의 정보 유출로 1347억 원의 과징금을 받은 SK텔레콤을 넘어섰기 때문이다.
개인정보보호법상 과징금은 관련 매출의 최대 3%까지 부과할 수 있다. 쿠팡의 지난해 매출이 41조 원, 올해 3분기 누적 매출도 36조 원을 넘긴 만큼 최대 1조 원대의 과징금이 부과될 수 있다는 전망도 나온다.
쿠팡은 2020년부터 2021년까지 쿠팡이츠 배달원 13만5000명의 정보 유출, 2022년 약 16억 원의 과징금 부과 등 반복적으로 개인정보 유출 사고를 겪어왔다.
최 위원장은 “KT 펨토셀 사태에서 드러난 장기 인증키 방치 문제가 쿠팡에서도 동일하게 재현된 것은 우리 기업들의 낮은 보안 책임 의식을 보여준다”며 “IT, 테크 기업들은 인증키 로테이션을 포함해 전반적인 보안 체계를 긴급히 재정비해야 한다”고 촉구했다.
박대준 쿠팡 대표는 30일 사과문을 통해 “국민께 큰 불편을 끼쳐 죄송하다”며 “민관합동조사단과 협력해 추가 피해를 막고 시스템 전반을 재점검하겠다”고 밝혔으나, 구체적인 보상 계획은 아직 제시되지 않았다.
