3370만명 유출 조사 중…가짜 인증 토큰 생성해 고객 사칭
"비밀번호·해시값 노출 증거 없어"…API 외부 조작 방식 사용
"내부 DB 접근은 불가"…서명키 탈취 경위는 경찰 수사 중
[서울=뉴스핌] 조민교 기자 = 브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 3370만 명 규모의 고객 개인정보 유출 사고와 관련해 "현재 조사에 따르면 공격자는 훔친 서명키를 사용해 다른 사용자인 것처럼 가장했다"고 밝혔다.
매티스 CISO는 2일 국회 과학기술정보방송통신위원회 긴급 현안질의에서 이준석 개혁신당 의원이 "공격자가 어떻게 데이터베이스에 접근해 정보를 취득했나"라고 묻자 이같이 답했다. 그는 "정상적인 고객에게 발급되는 인증 토큰을 매개하는 서명 키를 탈취해 실제 고객인 것처럼 가장한 것이 핵심"이라며, 해당 서명키가 "사용자의 신원을 확인하는 기반 기술"이라고 설명했다.
이어 "공격자는 이 서명키로 가짜 토큰을 생성해 인증 절차를 통과했다"며 "이 과정이 고객 비밀번호나 해시값, 크레덴셜(인증 정보)의 유출을 의미하는 것은 아니다"고 선을 그었다. 또한 "비밀번호 초기화나 재설정에 악용된 정황도 발견되지 않았다"고 말했다.
매티스 CISO는 공격 방식이 내부 시스템 침투가 아니라 "외부에서 API를 조작해 접근한 것"이라며 "쿠팡 내부 데이터베이스 원본(DB)에는 접근하지 못했다"고 강조했다.
공격자의 동기나 내부 서명키가 탈취된 경위에 대해서는 "경찰 조사가 진행 중이라 답변할 수 없다"고 밝혔다.
mkyo@newspim.com
