"인증키 장기간 방치가 원인"...보안 구멍 뚫린 쿠팡 / YTN

"인증키 5년∼10년간 방치가 사고 원인 제공" 의혹
’토큰’ : 일회용 출입증…’서명키’ : 출입증 도장
최민희 "인증체계 방치한 조직적·구조적 문제 탓"


쿠팡에서 발생한 대규모 정보 유출 사고의 원인이 조금씩 드러나고 있습니다.

쿠팡이 내부 인증정보인 서명키를 10년간 방치해서 이 같은 사고가 난 것 아니냐는 의혹이 제기되고 있습니다.

취재기자 연결해 자세히 알아보겠습니다. 류환홍 기자!

의혹이 사실이라면 고객 정보에 접근할 수 있는 문이 사실상 열려있었다는 건가요?

[기자]
의혹이 사실이라면 그런 셈입니다.

서명키는 서버 접속에서 사용자를 인식하는 기능을 합니다.

의혹대로 서명키 관리 부실에 따른 사고라면 쿠팡이 고객 정보에 접근할 수 있는 문을 열어놓은 셈이 됩니다.

더불어민주당 최민희 의원실에 따르면 쿠팡은 로그인 토큰 생성에 쓰이는 인증키 유효기간을 5년~10년으로 설정한 사례가 많은 것으로 알고 있다고 답변했습니다.

'토큰'이 로그인에 필요한 일회용 출입증이라면 '서명키'는 출입증을 찍어주는 도장이라고 할 수 있습니다.

퇴사자 등이 발생했을 때 서명키를 갱신하거나 삭제하는 등 기초적인 관리가 필요했는데 긴 유효기간을 그대로 둔 결과 이번 사고가 발생했다는 의혹이 제기되고 있습니다.

최민희 의원은 서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았고, 이번 사고는 직원 일탈이 아닌 인증체계를 방치한 조직적·구조적 문제의 결과라고 지적했습니다.


회원들의 우려가 큰데 어떤 피해가 생길 수 있을까요?

[기자]
쿠팡에서 밝힌 유출 정보는 고객 이름과 이메일 주소, 전화번호와 배송지 주소, 특정 주문 정보입니다.

사실상 주문 정보에 아파트 공동현관 비밀번호 등 다양한 정보가 담겨 있기 때문에 불안감이 커지고 있습니다.

새벽 배달은 매번 문을 열어줄 수 없어서 공동현관 비번을 적어 놓는 소비자가 많은데 범죄에 악용될 우려가 커지고 있습니다.

인터넷 카페 등을 중심으로 '아이 때문에 벨을 누르지 말아 달라'는 등 가족과 관련된 구체적인 내용을 기록했다며 사실상 가족 정보가 모두 유출됐다고 걱정하는 글들이 올라오고 있습니다.

또 본인 주소 외에 다양한 배송지 정보가 저장되어 있다는 점도 문제입니다.

한 명의 정보라고 해도 배송지 목록은 여러 개이기 때... (중략)

YTN 류환홍 (rhyuhh@ytn.co.kr)

▶ 기사 원문 : https://www.ytn.co.kr/_ln/0102_202512011539053993
▶ 제보 안내 : http://goo.gl/gEvsAL, 모바일앱, social@ytn.co.kr, #2424

▣ YTN 데일리모션 채널 구독 : http://goo.gl/oXJWJs

[ 한국 뉴스 채널 와이티엔 / Korea News Channel YTN ]