쿠팡에서 최대 3370만건 규모의 고객 정보가 유출된 배경에 장기 유효 인증키 관리 부실이 있었다는 지적이 제기됐다. 인증 담당자에게 발급되는 서명키를 갱신하지 않아 퇴사 직원이 계속 접속할 수 있는 구조가 유지됐고, 이 허점이 이번 대규모 유출로 이어졌다는 분석이다.

1일 국회 과학기술정보방송통신위원회 소속 최민희 더불어민주당 의원실이 쿠팡으로부터 제출받은 자료에 따르면 쿠팡은 "토큰 서명키 유효 인증 기간 관련해 "5~10년으로 설정하는 사례가 많다는 걸로 알고 있다. 로테이션 기간이 길며, 키 종류에 따라 매우 다양하다"고 답변했다.

로그인에 필요한 '토큰'은 문을 열어주는 일회용 출입증에 해당하며, '서명키'는 출입증을 찍어주는 일종의 '도장' 역할을 한다.

의원실은 쿠팡 로그인 시스템상 토큰을 생성하고 즉시 폐기되는 상황임에도 토큰 생성에 필요한 서명 정보를 담당 직원 퇴사 시 삭제하거나 갱신하지 않아 내부 직원이 악용한 것이라고 분석했다.

이 같은 구조적 허점은 올해 논란이 된 KT 펨토셀 해킹 사태와도 유사하다는 지적이다. 당시 KT 펨토셀 인증키의 유효기간이 10년으로 드러나며 관리·감독 부실이 집중 비판을 받았다. 의원실은 "쿠팡도 장기 유효 인증키를 방치해 내부 직원이 이를 악용해 3370만건의 개인정보를 탈취한 셈"이라고 지적했다.

최 의원은 "서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다"며 "장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증 체계를 방치한 쿠팡의 조직적·구조적 문제의 결과"라고 말했다.

최 위원장은 "쿠팡 역시 장기 유효 인증키를 방치하며 KT와 같은 문제를 반복했다"며 "이는 단순한 내부자 일탈이 아니라 인증 체계를 방치한 조직적·구조적 문제"라고 말했다.

이어 "KT 펨토셀 사태에서 드러난 장기 인증키 방치 문제가 쿠팡에서도 동일하게 재현된 것은 우리 기업들의 낮은 보안 책임 의식을 보여준다"며 "IT, 테크기업들은 인증키 로테이션을 포함해 전반적인 보안 체계를 긴급히 재정비해야 한다"고 촉구했다.

kxmxs4104@news1.kr