쿠팡, 고객 정보 '열쇠' 서명키 방치했나...'집단소송' 움직임도 / YTN

쿠팡의 고객 정보가 유출된 배경에는 내부 정보 접근에 필수적인 '액세스 토큰 서명키' 관리 부실이 있었다는 지적이 나옵니다.

일부 소비자들은 집단 소송에 나섰습니다.

이현정 기자가 보도합니다.

[기자]
쿠팡 고객 정보 유출 사태의 용의자로 지목된 건 중국 국적의 전직 직원 A 씨입니다.

A 씨는 쿠팡에서 특정 정보에 접근하기 위한 권한 부여를 하는 인증 업무를 담당했던 것으로 전해졌습니다.

이에 따라 고객들의 민감한 개인정보도 다룰 수 있었을 것으로 보입니다.

그런데, A 씨의 퇴사 이후에도 내부에서 발급된 '액세스 토큰의 서명키'가 유효한 상태로 유지됐던 것으로 파악됐습니다.

액세스 토큰 서명키는 내부 정보에 접근 권한을 부여하는 증명서를 만드는 비밀 암호입니다.

내부 시스템에 로그인하려면 '출입증' 역할을 하는 토큰이 필요하고, 이때 서명키는 토큰이 위조되지 않았다고 확인해주는 '도장' 역할을 합니다.

전문가들은 A 씨가 퇴사 이후에도 서명키가 갱신되거나 폐기되지 않은 취약점을 이용해 정보를 빼돌린 것으로 보고 있습니다.

[박춘식 / 서울여대 정보보호학과 교수 : 내부 통제도 안 되고 퇴직자 관리도 안 됐고, 내부에서 이상한 액세스가 들어오면은 탐지를 해 가지고 막아야 하거든요.]

이와 관련해 쿠팡은 일부에서 나오는 '서명키가 5~10년 동안 방치됐다'는 주장은 사실이 아니라면서도, 현재 수사가 진행 중인 상황이어서 자세한 언급은 할 수 없다고 말을 아꼈습니다.

쿠팡의 인증체계 관리 부실이 최악의 정보 유출 사태로 이어졌다는 지적이 제기되는 가운데 집단 소송 움직임도 커지고 있습니다.

일부 이용자들은 벌써 법무법인을 통해 법원에 소장을 접수하는 등 본격 대응에 나섰습니다.

[이현우 / 서울 마포구 성산동 : 털어간 사람들은 제 집 주소를 알고 있을 거 아니에요. 소송해서라도 보상을 받고 해야 하지 않을까요?]

[최승이 / 서울 마포구 서교동 : 자동 결제 해지하고 비밀번호 변경했어요. 어느 회사도 만족할 만한 대책을 내놓은 적은 없었던 것 같아요.]

앞선, 싸이월드와 SK텔레콤의 정보유출 사태를 뛰어넘는 '초유의 개인정보 참사'라는 지적 속에 파장은 장기간 이어질 것으로 보입니다.

YTN 이현정입니다.


영상기자 : 심관흠
디자인: 임샛별



YTN 이현정 (leehj0311@ytn.co.kr)

※ '당신의 제보가 뉴스가 됩니다'
[카카오톡] Y... (중략)

▶ 기사 원문 : https://www.ytn.co.kr/_ln/0103_202512011950256759
▶ 제보 안내 : http://goo.gl/gEvsAL, 모바일앱, social@ytn.co.kr, #2424

▣ YTN 데일리모션 채널 구독 : http://goo.gl/oXJWJs

[ 한국 뉴스 채널 와이티엔 / Korea News Channel YTN ]