00:00쿠팡에서 고객 정보가 유출되며 불안이 커지는 가운데, 그 배경에는 내부 정보 접근에 필수적인 액세스 토큰 서명키 관리 부실이 있었다는 지적이 나오고 있습니다.
00:09일부 소비자들은 집단 소송에 나섰습니다. 이현정 기자가 보도합니다.
00:16쿠팡 고객 정보 유출 사태의 용의자로 지목된 건 중국 국적의 전직 직원 A씨입니다.
00:23A씨는 쿠팡에서 특정 정보에 접근하기 위한 권한 부여를 하는 인증 업무를 담당했던 것으로 전해졌습니다.
00:31이에 따라 고객들의 민감한 개인 정보도 다룰 수 있었을 것으로 보입니다.
00:35그런데 A씨의 퇴사 이후에도 내부에서 발급된 액세스 토큰의 서명키가 유효한 상태로 유지됐던 것으로 파악됐습니다.
00:45액세스 토큰 서명키는 내부 정보에 접근 권한을 부여하는 증명서를 만드는 비밀 암호입니다.
00:52내부 시스템에 로그인하려면 출입증 역할을 하는 토큰이 필요하고
00:56이때 서명키는 토큰이 위조되지 않았다고 확인해주는 도장 역할을 합니다.
01:03전문가들은 A씨가 퇴사 이후에도 서명키가 갱신되거나 폐기되지 않은 취약점을 이용해
01:09정보를 빼돌린 것으로 보고 있습니다.
01:18이와 관련해 쿠팡은 일부에서 나오는 서명키가 5년에서 10년 동안 방치됐다는 주장은 사실이 아니라면서도
01:26현재 수사가 진행 중인 상황이어서 자세한 언급은 할 수 없다고 말을 아꼈습니다.
01:31쿠팡의 인증 체계 관리 부실이 최악의 정보유출 사태로 이어졌다는 지적이 제기되는 가운데
01:38집단 소송 움직임도 커지고 있습니다.
01:41일부 이용자들은 벌써 법무법인을 통해 법원에 소장을 적수하는 등 본격 대응에 나섰습니다.
01:47앞선 싸이월드와 SK텔레콤의 정보유출 사태를 뛰어넘는 초유의 개인정보 참사라는 지적 속에
02:11사장은 장기간 이어질 것으로 보입니다.
02:14YTN 이현정입니다.
02:17다음 영상에서 만나요!
댓글