3370만명의 이름·주소·전화번호가 유출된 쿠팡 사태의 핵심은 ‘서버 출입 마스터키’에 해당하는 서명키 접근 구조다. 쿠팡은 탈취당한 서명키가 악용된 사실은 인정했지만, 정작 이 서명키를 그간 어떻게 관리해왔는지는 밝히지 않고 있다. 아무나 손대서는 안 되는 ‘마스터키’가 어떻게 일반 직원 손에 넘어갔는지를 밝혀야 쿠팡의 보안 소홀 책임이 명확해질 것으로 보인다.
3일 정보기술(IT) 업계에 따르면 쿠팡 내부의 ‘서명키’ 보안에 어떻게 구멍이 뚫렸는지가 ‘쿠팡 미스터리’를 풀 실마리 중 하나로 거론되고 있다.
전날부터 이틀간 국회 과학기술방송통신위원회·정무위원회가 연 긴급 현안질의에 출석한 쿠팡 박대준 대표, 브랫 매티스 최고정보보호책임자(CISO)의 말을 종합하면 지금까지 드러난 사실은 이렇다. 유출 사태를 일으킨 것으로 추정되는 직원 A씨는 인증 시스템 개발자였으며, 지난해 12월 퇴직한 뒤 올해 6월부터 ‘고객’으로 가장해 시스템에 접속, 개인정보를 대량 수집했다. 이 과정에서 A씨는 서명키로 가짜 토큰을 생성했는데, 토큰이 있으면 아이디·비밀번호 입력 없이도 로그인이 가능하다. A씨는 퇴사 전 이 서명키를 확보했던 것으로 보인다.
문제는 서명키가 민감한 보안 자산이라는 점이다. 전 고객의 개인정보가 담긴 ‘방’에 자유롭게 드나들게 해주는 ‘마스터키’와 같은 역할을 하기 때문이다. 김승주 고려대 정보보호대학원 교수는 “서명키는 HSM(Hardware Security Module)과 같은 하드웨어 보안장치에 보관해야 하고, 개발자를 포함한 누구도 이 장치 밖으로 키를 추출할 수 없어야 한다”며 “그럼에도 불구하고 어떻게 키 탈취가 가능했는지가 규명돼야 한다”고 말했다.
사태 초기에는 퇴사자 발생 후 서명키를 교체하지 않은 점에 초점이 맞춰졌으나 진짜 문제는 일반 직원이 이 서명키에 접근할 수 있었다는 사실 그 자체에 있다는 얘기다. 쿠팡의 박 대표는 국회 현안질의에서 서명키 입수 경로와 관련해 “어떻게 입수했는지 알 수 없다”고 말했다.
박 대표는 “(서명키 등으로) 고객정보 전체를 볼 수 있는 사람이 몇 사람이냐 되느냐”(강민국 국민의힘 의원)는 질문에는 “예외적으로 승인돼 있고 저도 그런 접근권은 갖고 있지 않다”고 말했다. 법인 대표에게도 없는 ‘마스터키’ 접근 권한이 일반 직원에게 있었다는 얘기가 된다.
5개월간 이어진 대규모 유출을 전혀 탐지하지 못한 것도 문제다. 정보 유출은 올해 6월24일부터 지난달 8일까지 이어졌으나, 쿠팡은 같은 달 18일 “정보가 유출된 것 같다”는 고객 민원을 받고서야 이 사실을 알게 됐다.
쿠팡은 그간 이상징후를 탐지하지 못한 이유에 대해 “공격자가 여러 개의 IP 주소를 사용했다”(매티스 CISO)고 말하지만 이 설명만으로는 납득하기 어렵다는 평가가 나온다. 휴면·탈퇴 계정 정보도 유출됐기 때문에 해당 계정에 대한 대량의 로그인 징후가 이어졌을 가능성이 크기 때문이다.
쿠팡은 정보가 유출된 휴면·탈퇴 계정 규모를 밝히지 않고 있으나 3분기 활성 고객 규모(2470만명)와 유출 규모의 차이(약 900만명)를 고려하면 수백만개에 달할 것으로 추정된다. 김 교수는 “탈퇴 계정에서 계속 접속이 들어오면 이상하게 여겨야 하는데 왜 탐지를 못했는지 의문”이라고 말했다.
이날 정무위 현안질의에서는 쿠팡이 2021년과 지난해 받은 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)를 취소해야 한다는 지적이 잇따랐다. ISMS-P에는 암호키(서명키) 접근 통제, 퇴직자의 정보 접근 제한 등의 내용이 담겨 있다. 한창민 더불어민주당 의원은 “ISMS-P 기준을 지키지 않은 쿠팡은 첫 ‘인증 취소’ 기업이 돼야 한다”며 “아울러 과거 과징금 사례를 보면 ISMS-P 인증을 받았다는 이유로 50%씩 감면을 해주었는데 이러한 제도도 바꿔야 한다”고 말했다.
