【STV 박란희 기자】쿠팡에서 3천370만명의 개인정보가 유출된 사건을 둘러싸고 인증 토큰과 서명키 관리가 부실했다는 의혹이 제기되고 있다. 1일 ICT(정보통신기술) 업계와 국회 과학기술정보방송통신위원장 최민희 의원실에 따르면, 고객 정보를 빼낸 인물은 현재는 퇴사한 인증 관련 담당자로 알려졌다.

보안업계에서는 이 인물이 실제 인증 업무를 담당했다면, 재직 시점부터 로그인 없이도 취약 지점에 접근할 수 있는 권한 구조가 있었을 가능성에 주목하고 있다. 최 의원실 등에 따르면 해당 직원은 퇴사 이후 개인정보를 유출한 것으로 전해지는데, 이 과정에서 “인증 토큰 서버인증키와 보안 취약점을 악용한 것으로 추정되고 있다”는 분석이 나온다. 인증 토큰은 로그인 시 발급되는 일종의 출입증으로, 토큰만 확보하면 별도 로그인 없이 시스템에 접근할 수 있는 구조다.

논란의 핵심은 퇴사 이후에도 이 직원이 인증 토큰을 생성·활용할 수 있었던 배경이다. 업계에선 “쿠팡이 인증 토큰 생성에 필요한 서명키를 제때 폐기하거나 갱신하지 않은 것 아니냐”는 지적이 나온다. 인증 토큰은 “생성과 폐기가 빠르면 1시간 이내로 완료되는 등 주기가 짧은데, 이를 생성하기 위해 필요한 게 서명키”다. 서명키를 유지한 채 계정·권한 회수만으로 조치를 끝냈다면, 퇴사 후에도 토큰을 찍어내 DB(데이터베이스)에 접근할 수 있는 구조가 됐다는 것이다.

한 보안 전문가는 “인증토큰과 서명키를 악용하면 외부에서 접근해서 자신의 인증 권한을 행사할 수 있었을 것”이라며 “로그인 없이 DB를 빼냈다는 건 인증토큰을 활용했다는 가능성이 높다는 의미”라고 말했다. 염흥열 순천향대 정보보호학과 교수도 “통상 퇴사하면 모든 계정, 모든 접근 권한을 뺏어야 한다”라며 “만약 쿠팡이 이를 살려뒀다면 이러한 관리 방침이 이해되지 않는다”라고 비판했다.

이번 사고는 외부 해커의 침입으로 시작된 기존 대형 유출 사건과 달리 ‘퇴사한 내부자’가 직접 대규모 정보를 빼냈다는 점에서 성격이 다르다. 2011년 3천500만명 개인정보가 새나간 싸이월드·네이트 사건은 중국 해커의 알집 업데이트 서버 해킹이 출발점이었고, 지난 4월 2천300만명 정보가 유출된 SK텔레콤 사례도 외부 해킹이 원인이었다. 염 교수는 “퇴사한 직원이 이렇게 대규모로 개인정보를 유출한 건 이번이 처음인 것으로 안다”고 말했다.