시스템 실무 담당 중국인 의혹
토큰·서명키 관리 부실 도마에

서울 시내 한 쿠팡 물류센터 인근에 차량이 주차돼 있다. 연합뉴스

쿠팡에서 3370만 명의 개인정보가 대규모로 유출된 원인으로 인증 토큰과 서명키 관리 부실 의혹이 도마 위에 오르고 있다. 이번 사태가 퇴사한 직원의 인증 토큰을 제때 폐기하지 않아 벌어졌을 가능성이 유력하게 점쳐진다.

1일 정보통신기술(ICT) 업계와 과학기술정보방송통신위원장 최민희 의원실에 따르면 쿠팡 고객 정보를 빼돌린 중국계 직원은 현재는 퇴사한 인증 관련 담당자로 알려졌다. 이 직원은 퇴사 이후 개인 정보를 유출했다고 알려졌는데, 이 과정에서 인증 토큰 서버 인증키와 보안 취약점을 악용한 것으로 추정되고 있다. 인증 토큰은 로그인할 때 발행되는 출입증으로, 통상 토큰을 갖고 있으면 시스템에 로그인 없이 접근할 수 있다.

인증 관련 담당자가 퇴사 후에도 인증 토큰을 활용해 시스템에 접근했다면, 그 배경으로는 쿠팡이 인증 토큰 생성에 필요한 서명키를 부실하게 관리했을 가능성이 점쳐진다. 쿠팡이 해당 직원 퇴사 후에도 서명키를 삭제하거나 갱신하지 않았다면 해당 직원이 인증 토큰을 악용해 데이터베이스(DB) 접속할 수 있게 되는 것이다.

특히 쿠팡이 유출 사실을 알게 된 후로도 용의자가 쿠팡 측에 협박성 메일을 보냈지만 이에 대해 무반응으로 일관한 것으로 알려져 안일한 대처로 사태를 더 키웠다는 비판도 나온다.

염흥열 순천향대 정보보호학과 교수는 “통상 퇴사하면 모든 계정, 모든 접근 권한을 뺏어야 한다”라며 “만약 쿠팡이 이를 살려뒀다면 이러한 관리 방침이 이해되지 않는다”고 말했다. 염 교수는 “퇴사한 직원이 이렇게 대규모로 개인정보를 유출한 건 이번이 처음인 것으로 안다”고 사태의 심각성을 전했다.

박지훈 기자 lionking@busan.com