쿠팡 개인정보 유출 사건의 전말
쿠팡 고객 개인정보 유출 사태의 핵심 인물로 퇴사한 중국인 직원 A씨가 지목된 가운데, 해당 직원이 쿠팡 내부에서 인증 업무를 담당했던 것으로 확인됐습니다. 이 직원은 쿠팡 측이 제때 갱신하거나 폐기하지 않은 '액세스 토큰 서명키'를 통해 퇴사 후 범행을 저지른 것으로 파악됐습니다. 쿠팡 측은 지난달 25일 서울경찰청 사이버수사대에 고소장을 제출했습니다. 고소장에서 피고소인은 '성명불상자'로 기재됐지만, 유출 정황 조사 과정에서 중국 국적의 전 직원 A씨를 특정한 것으로 파악됩니다. 이는 쿠팡의 보안 시스템에 심각한 허점이 있었음을 시사합니다.
A씨, 인증 업무 담당... 내부 정보 접근 권한 악용
A씨는 쿠팡에서 인증 업무를 담당했던 인물로, 내부에서 특정 정보에 접근하기 위한 사용자 인증이나 권한 부여를 처리했던 역할을 맡았던 것으로 전해집니다. 시스템 내부 민감한 정보에 접근할 수 있는 높은 권한을 가지고, 시스템 취약점을 파고들 수 있었던 것으로 보입니다. A씨는 퇴사 후에도 유효한 상태로 장기간 방치된 '서명된 액세스 토큰'의 서명키를 통해 범행을 저질렀습니다. 이는 A씨가 쿠팡 내부 시스템에 대한 깊은 이해를 바탕으로 범죄를 계획했음을 보여줍니다.
퇴사 후에도 유효했던 '액세스 토큰 서명키'의 문제점
문제는 A씨 범행 시점이 퇴사 이후 시점이었단 것입니다. 이게 가능했던 이유는 쿠팡이 내부에서 발급해둔 '서명된 액세스 토큰'의 서명키가 A씨 퇴사 후에도 유효한 상태로 장기간 방치됐기 때문입니다. 최민희 국회 과학기술정보방송통신위원회 위원장이 쿠팡으로부터 제출받은 자료에 따르면, 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키가 직원 퇴사 이후에도 폐기되거나 갱신되지 않고 방치된 것으로 나타났습니다. 이는 쿠팡의 보안 관리 시스템이 얼마나 허술했는지를 단적으로 보여주는 사례입니다.
액세스 토큰과 서명키의 중요성
액세스 토큰 인증키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 뜻합니다. 내부 특정 시스템 로그인에 필요한 '토큰'이 문을 열어주는 일회용 출입증이라면, '서명키'는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 해 업계에선 엄격하게 관리하고 있습니다. 이러한 서명키가 제대로 관리되지 않았다는 것은 쿠팡의 보안 시스템 전반에 걸쳐 심각한 문제가 있었음을 의미합니다.
쿠팡 측의 입장과 전문가의 지적
쿠팡 측은 "키 종류에 따라 다양하지만, 업계에서 5~10년으로 설정하는 사례가 많다는 걸로 알고 있다"는 입장입니다. 하지만 최민희 위원장은 "서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다"며 "장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증체계를 방치한 쿠팡의 조직적·구조적 문제의 결과"라고 지적했습니다. 이는 쿠팡의 보안 시스템에 대한 근본적인 재검토와 개선이 필요함을 시사합니다.
핵심 정리: 쿠팡 개인정보 유출 사건의 원인과 문제점
쿠팡 개인정보 유출 사건은 퇴사 직원의 '액세스 토큰 서명키' 관리 소홀로 인해 발생했습니다. 인증 업무 담당자였던 A씨는 퇴사 후에도 유효한 서명키를 이용해 범행을 저질렀으며, 이는 쿠팡의 조직적인 보안 부실을 드러냈습니다. 최민희 위원장은 쿠팡의 보안 시스템에 대한 근본적인 개선을 촉구하며, 장기 유효 인증키 방치는 단순한 직원의 일탈이 아닌 조직적인 문제라고 지적했습니다.
자주 묻는 질문 (FAQ)
Q.쿠팡은 왜 '액세스 토큰 서명키'를 제대로 관리하지 않았나요?
A.기사 내용에 따르면, 쿠팡은 서명키 갱신과 폐기와 같은 기본적인 보안 절차를 지키지 않았습니다. 이는 내부 보안 시스템의 부실함과 조직적인 관리 소홀로 인해 발생한 것으로 보입니다.
Q.이번 사건으로 인해 쿠팡 이용자들은 무엇을 주의해야 할까요?
A.개인정보 유출 가능성을 염두에 두고, 비밀번호 변경, 이중 인증 설정 등 개인정보 보호에 더욱 신경 써야 합니다. 또한, 쿠팡 측의 추가적인 정보 제공 및 후속 조치를 주시해야 합니다.
Q.쿠팡은 앞으로 어떤 조치를 취해야 할까요?
A.쿠팡은 보안 시스템을 전면 재검토하고, '액세스 토큰 서명키'를 비롯한 내부 보안 절차를 강화해야 합니다. 또한, 개인정보 유출 방지를 위한 기술적, 제도적 개선을 통해 재발 방지에 힘써야 합니다.
'이슈' 카테고리의 다른 글
| AI 시대의 그림자: 바이두, 30% 감원 단행...미래는 AI에 달렸다 (1) | 2025.12.01 |
|---|---|
| 日, 포토레지스트 제재로 중국 반도체 '충격'…韓, 반사이익 얻을까? (0) | 2025.12.01 |
| 파리바게뜨, K푸드의 위상을 높이다: 빵의 본고장 프랑스에서 '매일 700명' 찾는 비결 (1) | 2025.12.01 |
| 소비쿠폰 효과, 소상공인 매출은 늘었지만… '고물가'에 웃지 못하는 이유 (0) | 2025.12.01 |
| 서울 아파트, '1억 클럽' 확장… 무주택자의 절망은 어디까지? (0) | 2025.12.01 |