중국인 용의자 퇴사 후 범행…어떻게 뚫었나

[앵커]
가장 궁금해진 대목은 이거죠. 

유력한 용의자인 중국인 전직 직원은 누구고, 어떻게 뚫은 걸까.

쿠팡에서 인증 업무를 담당했었는데, 퇴사한 후에 그 권한으로 빼냈습니다.

퇴사자가 어떻게 민감한 고객 개인정보에 접근할 수 있었을까요? 

쿠팡은 뭐하고 있었을까요?

김태우 기자가 취재했습니다.

[기자]
쿠팡 개인정보 유출 용의자인 중국인 전직 직원은 퇴사 후 해외서버를 통해 지난 6월 24일부터 개인정보에 접근한 것으로 나타났습니다.

채널A 취재에 따르면 용의자는 쿠팡 재직 당시 인증 관련 담당자로, 쿠팡 서버의 인증 취약점을 악용한 것으로 드러났습니다.

[배경훈 / 부총리 겸 과학기술정보통신부장관(어제)]
"쿠팡 서버의 인증 취약점을 악용하여 정상적인 로그인 없이"

개인정보 등이 담긴 서버에 접근하려면 출입증에 해당하는 토큰이 필요한데, 이 토큰을 만들기 위해서는 인가 도장에 해당하는 인증 키가 있어야 합니다.

최민희 의원실에 따르면, 용의자는 이번 해킹에 쿠팡에서 인증 담당 업무를 맡을 때 받은 인증 키를 악용한 것으로 나타났습니다.

일각에선 쿠팡의 인증 키 관리가 부실했다는 지적이 나옵니다.

용의자가 퇴사 이후에도 인증 키를 갱신하거나 삭제하지 않고 유효기간을 둔 채 그대로 남겨뒀다는 겁니다.

인증키 유효기간을 묻는 최 의원실 질의에 쿠팡 관계자는 "5~10년으로 설정하는 사례가 많은 것으로 안다"고 답변했습니다.

그러면서 "로테이션 기간이 길고, 키 종류에 따라 매우 다양하다"고 덧붙였습니다.

한 보안 전문가는 "인증 키 유효기간을 일률적으로 이야기하기는 어렵지만, 5~10년보다는 짧게 설정하는 것이 일반적"이라고 답했습니다.

쿠팡은 인증키가 5~10년간 방치되었다는 것은 사실이 아니라면서도 현재 수사 중인 상황이라 구체적인 언급은 할 수 없다고 밝혔습니다.

채널A 뉴스 김태우입니다.

영상편집 : 조아라


김태우 기자 burnkim@ichannela.com