경찰이 고객 3370만명의 개인정보가 유출된 쿠팡에 대해 강제 수사에 나섰다. 9일 서울 송파구 쿠팡 본사 사무실을 압수수색했다. 13일 오전 9시 30분께 경찰은 다시 수사관 6명을 동원해 본사 사무실을 압수수색했다. 이는 9일부터 닷새째 압수수색을 이어가고 있다.
쿠팡의 인증 토큰과 서명키 관리 체계가 문제로 지적됐다. 인증 토큰은 사용자가 로그인할 때 발행되는 출입증이다. 토큰을 가진 상태에서 별도 로그인 없이 계정에 접근할 수 있다. 서명키는 토큰을 발행할 권한을 가진 열쇠다. 퇴사한 직원이 서명키를 계속 사용해 고객의 인증 토큰을 발급했고, 이를 통해 개인정보가 유출됐다.
통상 퇴사하면 모든 접근 권한이 제거되어야 한다. 그러나 해당 직원이 퇴사 후에도 서명키를 사용한 것으로 확인됐다. 갱신 또는 폐기 절차가 이루어지지 않았다는 점이 문제로 지적됐다. 인증 토큰이 장기간에 걸쳐 점차 증가했고, 이는 시스템의 이상 감지 범위를 넘어서는 것으로 보인다.
국회 과방위에서 최민희 위원장이 현안질의를 진행했고, 브랫 매티스 쿠팡 최고보안책임자 등을 상대로 퇴사 직원이 접근할 수 있는 서명키가 방치됐는지에 대해 질타했다. 정보보호학과 교수는 “퇴사하면 모든 계정 권한을 뺏어야 한다”고 말했다.
경찰은 압수수색을 통해 쿠팡 내부 관리시스템의 기술적 취약성과, 중국 국적 전직 직원의 행방을 조사하고 있다. 민관합동조사단이 조사 중이며, 17일에는 창업자 김범석 쿠팡Inc 이사회 의장 등을 증인으로 채택해 청문회를 열 예정이다.
@Meerae AI 빅데이터 연구소 meerae.info@gmail.com