"쿠팡의 방치된 인증키, 3370만건 개인정보 유출 불렀다" 작성일 12-01 7 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">"인증키 로테이션 포함한 전반적인 보안체계 긴급히 재정비해야"</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="V4ChhM4qSv"> <p contents-hash="358606b4c98ec1857410f302969be25872a632e5a7e7029a130504b4db3395c1" dmcf-pid="f8hllR8BvS" dmcf-ptype="general">[아이뉴스24 안세준 기자] 쿠팡에서 발생한 3370만건 규모 개인정보 유출은 로그인 인증에 사용되는 서명된 액세스 토큰의 유효 인증키가 장기간 방치된 탓에 발생한 것이라는 주장이 제기됐다.</p> <figure class="figure_frm origin_fig" contents-hash="be4b044e40f7c91611ca3bbdce11a9c91a4741347a22149062f63ab32a965e6a" dmcf-pid="4BDwwfB3Tl" dmcf-ptype="figure"> <p class="link_figure"><img alt="최민희 국회 과학기술정보방송통신위원장. [사진=최민희 의원실]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/01/inews24/20251201100426653zylb.jpg" data-org-width="580" dmcf-mid="pSlSSe6bht" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/01/inews24/20251201100426653zylb.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 최민희 국회 과학기술정보방송통신위원장. [사진=최민희 의원실] </figcaption> </figure> <p contents-hash="a5f9bc0c80177e28453fb7aba04a1c1f2620dcc5d841d0882cc7851eafb76176" dmcf-pid="8bwrr4b0yh" dmcf-ptype="general">1일 최민희 국회 과학기술정보방송통신위원장이 쿠팡으로부터 제출받은 자료에 따르면 쿠팡은 해킹에 악용된 인증키의 구체적 유효기간에 대해 경찰 수사 중이라며 말을 아끼면서도, 토큰 서명키 유효인증기간에 대해 "5~10년으로 설정하는 사례가 많다는 걸로 알고 있다", "로테이션 기간이 길며 키 종류에 따라 매우 다양하다"고 답했다.</p> <p contents-hash="f07703222ab5e572436b9db93631931f9a335a681bc69dbb5a9f9af63a67233d" dmcf-pid="6Krmm8KpCC" dmcf-ptype="general">토큰 생성에 필요한 서명정보를 담당직원 퇴사 시 삭제하거나 갱신하지 않고 방치해 내부직원이 악용할 수 있다는 것이다. 최 위원장은 "출입증이 있어도 출입을 허가하는 인증 도장이 없다면 출입할 수 없다. 하지만 서명키를 오래 방치해서 누가 계속해서 도장인 서명키를 몰래 찍어서 쓴 것과 다름없다"고 했다.</p> <p contents-hash="3a2be7f76bab901a404dd198ada40806851010f1ba4de59c069e9ce185eec8a1" dmcf-pid="P9mss69UhI" dmcf-ptype="general">이 사고는 최근 드러난 KT 펨토셀 인증키 10년 방치 논란과도 맞닿는다. 국내 주요 ICT 기업에서 장기 유효 인증키 관리 부실이 반복적으로 발견되고 있다는 지적이 나온다.</p> <p contents-hash="88acf525fc8d9d75a749ec6f10d5105f0531b716125e7ff177a482e743ba97b5" dmcf-pid="Q2sOOP2uvO" dmcf-ptype="general">최 위원장은 "서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다. 장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라 인증체계를 방치한 쿠팡의 조직적·구조적 문제의 결과"라고 질책했다.</p> <p contents-hash="eb11e464fdc90890782edf2d02e936788191cc38345807c28d65addf040fb55c" dmcf-pid="xVOIIQV7Cs" dmcf-ptype="general">이어 "KT 펨토셀 사태에서 드러난 장기 인증키 방치 문제가 쿠팡에서도 동일하게 재현된 것은 우리 기업들의 낮은 보안 책임 의식을 보여준다 "며 "IT, 테크기업들은 인증키 로테이션을 포함해 전반적인 보안체계를 긴급히 재정비해야 한다"고 촉구했다 .</p> <address contents-hash="9cdc9b7d7fc0341f3c264131ed9a4a583048154a97bfc4bf6b15076db4b18546" dmcf-pid="yI2VVTIkhm" dmcf-ptype="general">/안세준 기자<span>(nocount-jun@inews24.com)</span> </address> </section> </div> <p class="" data-translation="true">Copyright © 아이뉴스24. 무단전재 및 재배포 금지.</p> 관련자료 이전 “명절마다 성룡 아니면 나” 박중훈, 영화 인생 40년 비하인드 대방출 (인생이 영화) 12-01 다음 ‘독보적 멀티테이너’ 샤이니 민호, 15일 새 싱글 ‘TEMPO’ 발매 12-01 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
