최민희 "쿠팡 정보유출, 유효 인증키 장기간 방치가 원인"

쿠팡에서 3370만명의 개인정보가 유출된 원인으로 인증 토큰·서명키 관리 부실이 지목됐다는 주장이 제기됐다. 

인증 담당자의 서명된 액세스 토큰이 장기간 갱신되지 않은 채 방치되면서 퇴사 직원이 이를 악용할 수 있었던 구조라는 설명이다.

1일 국회 과학기술정보방송통신위원회 소속 최민희 의원이 쿠팡에서 제출받은 자료에 따르면이번 대규모 유출은 "담당자에게 발급된 서명된 액세스 토큰의 유효 인증키가 장기간 유지돼 퇴사 이후에도 사용 가능했다"는 분석이 담겼다.

의원실은 쿠팡에 인증키 유효기간을 질의했으나 "수사 중인 사안"이라며 구체적인 기간은 밝히지 않았다고 전했다. 

다만 "서명키의 유효기간은 통상 5~10년으로 설정하는 사례가 많다"는 답변을 받았다며 "키 종류에 따라 로테이션 주기가 다양하다"고 덧붙였다.

인증 토큰은 로그인 없이 시스템에 접근할 수 있는 일종의 디지털 출입증이다. 생성과 폐기 주기가 짧아 보통 1시간 이내에 갱신되며, 이를 발급하기 위해 필요한 것이 서명키다. 

의원실은 "쿠팡 로그인 시스템 특성상 토큰은 즉시 폐기되는 구조임에도 발급에 필요한 서명정보를 직원 퇴사 시 삭제하거나 갱신하지 않았다”며 내부 통제 부실을 지적했다.

최 의원은 "서명키 갱신은 가장 기본적인 보안 절차임에도 쿠팡은 이를 이행하지 않았다"며 "장기 유효 인증키를 방치한 건 개인 일탈이 아닌 인증체계 전반의 구조적 문제"라고 꼬집었다.

다만 쿠팡은 "5~10년간 방치됐다는 주장은 사실이 아니다"라는 입장이다.