국회에서는 ‘테크 기업’을 표방해온 쿠팡이 단순한 개인정보 데이터베이스(DB) 유출을 넘어 내부 관리 소홀로 인한 핵심 보안 인프라 붕괴를 초래했다는 기술적 문제에 대한 질타가 쏟아졌다.
|
2일 국회 과학기술정보방송통신위원회(과방위) 쿠팡 개인정보 유출 사고 관련 긴급 현안 질의에서 박정훈 국민의힘 의원은 쿠팡에서 유출된 개인정보가 보이스피싱 등 범죄조직에 팔았는지 여부를 알기 위해서 필요하다며 “개인정보 유출자가 조선족이냐, 아니면 중국 사람이냐”고 질의했다.
이에 박대준 쿠팡 대표는 “현재 수사가 진행 중”이라며 대답을 회피했다.
박 의원이 “범죄 조직으로 넘어갔다고 볼 만한 피해사례 등 근거가 지금 현재 있느냐”고 묻자 박 대표는 “아직까지는 2차 피해는 없는 것으로 파악하고 있다”고 답했다.
이준석 개혁신당 의원은 “이번 유출 사고를 일으킨 직원의 동기가 무엇이라고 파악했느냐”고 질의했는데 브랜 메티스 쿠팡 정보보호최고책임자(CISO)는 “지금 제가 이 상황에서 전 직원의 동기에 대해서 코멘트를 드릴 수는 없을 것 같다”며 “현재 경찰 조사가 진행 중이기 때문에 이 부분에 대해서는 제가 답변드릴 수 없는 점 해량해 주시기 바란다”고 말했다.
이처럼 쿠팡 측의 잇단 회피성 답변에 최민희 과방위원장은 “내부 조사가 진행됐음에도 경찰 핑계 대면서 빠져나가려 한다”며 “오늘 전체회의가 끝난 뒤 청문회를 열어 김범석 의장까지 증인으로 채택할 수 있다”고 성실하게 답하라고 경고했다.
|
메티스 CISO는 이날 과방위 전체회의에서 유출된 것이 고객의 비밀번호나 해시값이 아니라, 고객의 서비스 접근 토큰(암호)을 생성하고 인증하는 데 사용되는 최상위 보안 자산인 ‘프라이빗 서명 키(Private Signing Key)’라고 밝혔다.
메티스 CISO의 설명에 따르면 공격자는 이 탈취한 서명 키를 이용해 시스템에 제출할 수 있는 ‘가짜 토큰’을 만들어 정상 사용자처럼 가장해 고객 정보에 접근했다.
이는 해커가 담장이나 현관을 뚫고 들어온 수준이 아니라 ‘집 열쇠를 복사할 수 있는 원본 마스터키’를 훔쳐 간 것과 같은 수준이라는 지적이 제기됐다.
이날 과방위 전체회의에 출석한 김승주 고려대학교 정보보호대학원 교수는 “방키 비밀번호를 내부 개발자가 갖고 나간 것으로 무한으로 생성할 수 있었다는 상황”이라고 지적했다. 또 “직원이 퇴사하면 회사 차원에서 이를 리셋해야하는데 전반적으로 관리가 부실했다고 볼 수 있다”며 해당 프라이빗 서명 키를 퇴사한 직원도 접근 가능하게 방치한 쿠팡의 관리 부실이 핵심 원인이라고 짚었다.
이러한 핵심 키 탈취 방식은 쿠팡의 보안 관리 체계에 근본적인 허점을 드러냈다는 지적이 이어지자 이 의원은 “가짜 토큰으로도 인증이 가능한 쿠팡의 시스템 구조가 이례적”이라며 의문을 제기했다.
이에 대해 메티스 쿠팡 CISO는 “쿠팡의 인증 절차는 전 세계적으로 표준적으로 쓰이는 API 기반 방식”이라며 “해시·패스워드 접근 흔적은 없고, 공격자는 극히 일부 API만 악용했다”고 답했다.
또 이 의원이 “사고를 일으킨 직원은 과거 쿠팡에서 어느 수준의 개발 권한을 가졌느냐”고 추궁하자, 메티스 CISO는 “경찰 조사 사안이라 구체적으로 말하기 어렵다”면서도 “높은 권한(Privileged Access)을 가지고 있었을 가능성은 있다”고 말했다.
