최민희 “쿠팡 정보유출, 장기 유효 인증키 방치가 원인” 작성일 12-01 34 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">서명된 액세스 토큰 인증유효기간 5~10년으로 추정<br>장기 유효 인증키 방치로 직원 퇴사 후에도 유출 통로</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="VfUQk971wb"> <p contents-hash="ccb23b8ffcba604f90c4e2bba184f873fc82c5e80bcb1941c9db0b0febeb9d70" dmcf-pid="fmgh0DNdmB" dmcf-ptype="general"> [이데일리 권하영 기자] 쿠팡에서 발생한 3370만건의 개인정보유출 해킹이 가능했던 이유는, 인증관련 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키가 장기간 방치됐기 때문이란 분석이 나왔다.</p> <table align="CENTER" bgcolor="ffffff" border="0" cellpadding="0" cellspacing="5" contents-hash="8f27f2a6707fe6b437c0177876deb34f6beeeb2141c67d650e35b3aac2f4332b" dmcf-pid="4salpwjJDq" dmcf-ptype="general"> <tbody> <tr> <td bgcolor="ffffff"> <table bgcolor="ffffff" border="0" cellpadding="0" cellspacing="5"> <tbody> <tr> <td> <figure class="figure_frm origin_fig"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/01/Edaily/20251201092749264doyl.jpg" data-org-width="670" dmcf-mid="2Uqer4b0sK" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/01/Edaily/20251201092749264doyl.jpg" width="658"></p> </figure> </td> </tr> <tr> <td>[이데일리 이영훈 기자] 국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3천만건이 넘는 대규모 정보 유출 사고가 발생한 가운데 30일 서울 시내 쿠팡 차량 차고지로 한 시민이 지나가고 있다. <br>쿠팡은 현재까지 고객 계정 약 3천370만개가 유출된 것을 확인했다. 이는 국내 성인 네 명 중 세 명의 정보에 해당하며, 사실상 쿠팡 전체 계정에 맞먹을 것으로 추정된다.</td> </tr> </tbody> </table> </td> </tr> </tbody> </table> <div contents-hash="779434ad017e65377f182d8f6ee6c3b214a9ec344839c46771c3510815f79f11" dmcf-pid="8ONSUrAisz" dmcf-ptype="general"> 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당)이 30일 쿠팡으로부터 받은 자료에 따르면, 쿠팡은 이번 해킹에 악용된 인증키 유효기간에 대해 경찰 수사를 핑계로 대답을 회피했지만, 토큰 서명키 유효인증기간은 “5~10년으로 설정하는 사례가 많다는 걸로 알고 있다”며 “로테이션 기간이 길며, 키 종류에 따라 매우 다양”하다는 답변을 보내왔다. </div> <p contents-hash="80a899f4e2a0fb4420e9a9419905f7587defa8f0263079e1d947ff2ed0b77536" dmcf-pid="6IjvumcnD7" dmcf-ptype="general">이번 쿠팡 해킹사태에서 로그인에 필요한 ‘토큰’은 문을 열어주는 일회용 출입증이라고 한다면, ‘서명키’는 출입증을 찍어주는 ‘도장’이라 할 수 있다. 출입증이 있어도 출입을 허가하는 인증 도장이 없다면 출입할 수 없다. 하지만 서명키를 오래 방치해서 누가 계속해서 도장인 서명키를 몰래 찍어서 쓴 것과 같다. </p> <p contents-hash="6bf4ceb985f2874aa623f02f10498bcca38800905a5d3543cc31e475a63e4383" dmcf-pid="PCAT7skLOu" dmcf-ptype="general">쿠팡 로그인 시스템상 토큰은 생성하고 즉시 폐기되는 상황임에도, 토큰 생성에 필요한 서명정보를 담당직원 퇴사 시 삭제하거나 갱신하지 않고 이를 방치하여 내부직원이 악용한 것으로 의원실은 보고 있다.</p> <p contents-hash="1ee1e277f32744f81dccb483abb68dc131d956c59e2d0e32a6440b05893d0234" dmcf-pid="QhcyzOEomU" dmcf-ptype="general">이는 올해 KT 해킹 사태와도 유사하다고 의원실은 지적했다. KT 역시 펨토셀의 관리·감독 부실 문제가 수면 위로 드러나면서 펨토셀 인증키 유효기간이 10년으로 밝혀진 바 있다.</p> <p contents-hash="712a048b7a09f21577560e691dc0b2ab5c98b646be4e1ec643ce65db2e53f68a" dmcf-pid="xlkWqIDgOp" dmcf-ptype="general">최민희 위원장은 “서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다”며 “장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증체계를 방치한 쿠팡의 조직적·구조적 문제의 결과”라고 질책했다.</p> <p contents-hash="b7b286cd85cbca308d5e7072ca5392be659457adeceeb428a625d40a0d51118b" dmcf-pid="yPqer4b0E0" dmcf-ptype="general">또 “KT 펨토셀 사태에서 드러난 장기 인증키 방치 문제가 쿠팡에서도 동일하게 재현된 것은 우리 기업들의 낮은 보안 책임 의식을 보여준다”며 “IT, 테크기업들은 인증키 로테이션을 포함해 전반적인 보안체계를 긴급히 재정비해야 한다”고 촉구했다.</p> <p contents-hash="2f0da26f6b317f7dcbbe71019d3cd16048489fba848835cb625e12671d76d085" dmcf-pid="WQBdm8KpO3" dmcf-ptype="general">권하영 (kwonhy@edaily.co.kr) </p> </section> </div> <p class="" data-translation="true">Copyright © 이데일리. 무단전재 및 재배포 금지.</p> 관련자료 이전 윤승아♥김무열 결혼 10주년에도 신혼 같아…로맨틱 무드 [화보] 12-01 다음 카페24, 검색엔진 최적화 덕에 쇼핑몰 노출 112%↑ 12-01 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
