소스코드 내 서명키 노출, 키 변경 절차 번거로워 퇴사자 키 방치
개인정보 조회만으로도 명백한 ‘유출’
2차 피해 정황 아직 없어... 다크웹 모니터링 지속

[보안뉴스 조재호 기자] 쿠팡 전 직원의 무단 접속으로 발생한 3367만여 건의 개인정보 유출 사고에 대한 민관 합동 조사 결과, 이번 사고는 인증 체계의 결함과 관리적 부실이 복합적으로 작용한 것으로 드러났다.

10일 정부서울청사에서 진행된 쿠팡 침해사고에 대한 민관합동조사단의 최종 조사 결과 및 브리핑 과정에서 진행된 문답을 바탕으로, 사고의 기술적 원인과 법적 쟁점을 정리했다.


▲최우혁 과기정통부 정보보호네트워크정책실장이 브리핑을 하고 있다. [출처: 보안뉴스]

Q. 퇴사자의 서명키, 왜 즉시 폐기되지 않았나
가장 큰 원인은 ‘서명키’(Signing Key) 관리 방식의 문제였다. 서명키는 이용자 인증 토큰의 유효성을 확인하는 핵심 암호화 키다. 조사 결과, 쿠팡은 이 키를 별도의 보안 저장소가 아닌 소스코드 내부에 포함시키는 ‘하드코딩’(Hard-coding) 방식으로 운영해 온 것으로 밝혀졌다.

최우혁 과기정통부 정보보호네트워크정책실장은 “하드코딩 구조상 키를 변경하려면 소스코드를 수정해야 하는 등 절차상 어려움이 있었다”며 “이러한 번거로움으로 인해 퇴사자가 발생했음에도 키를 갱신하지 않고 방치한 것으로 파악된다”고 설명했다.

Q. 임의로 생성한 토큰, 왜 정상으로 인식됐나
공격자는 조잡한 위조 기술을 쓴 것이 아니라, 퇴사 전 확보한 ‘정상 서명키’를 악용해 접근 권한(토큰)을 직접 생성했다. 시스템 입장에서는 정상적인 토큰이 들어오니 이를 의심 없이 통과시킨 것이다.

과기정통부 조사 결과, 쿠팡의 관문(Gateway) 서버는 서명키 값이 일치하면 무조건 정상 접근으로 허용하는 구조였다. 공격자가 사용한 키가 ‘진짜’였기에, 시스템은 이를 의심할 여지 없이 통과시킨 것이다. 결국 유출된 서명키 하나가 보안 관문을 무력화했다.

Q. 다크웹 유출 등 2차 피해 상황은
현재까지 구체적인 2차 피해나 유통 정황은 확인되지 않았다. 최 실장은 “사고 인지 직후부터 다크웹과 해커 포럼 등을 집중 모니터링하고 있으나, 유출된 정보가 게시되거나 거래된 정황은 발견되지 않았다”고 밝혔다.

다만 공격자가 지난해 4월부터 11월까지 약 7개월간 정보를 수집했고, 배송지 주소와 공동현관 비밀번호 등 민감 정보가 포함된 만큼, 보이스피싱이나 주거 침입 등 개별 범죄에 악용될 가능성에 대해 예의주시하고 있다고 덧붙였다.

Q. ‘조회’만으로도 정보 유출에 해당하나
그렇다. 일각에서는 공격자가 정보를 파일 형태로 저장하지 않고 화면에 띄우기만(Viewing) 했다면 유출로 볼 수 없다는 주장이 제기됐으나, 정부는 이를 일축했다.

최 실장은 “개인정보보호법상 ‘유출’의 정의는 개인정보처리자의 통제권을 벗어나는 행위 일체”라며 “파일 저장 여부와 관계없이, 권한 없는 자가 정보를 조회해 통제권 밖으로 정보가 노출되었다면 명백한 유출”이라고 설명했다.

Q. 향후 처분 계획은
정부는 이번 사고와 관련해 기술적·관리적 보호조치 위반 및 침해사고 신고 지연(24시간 초과)에 대해 정보통신망법에 따른 시정명령과 과태료 처분을 내릴 예정이다.

또, 자료 보전 명령에도 불구하고 웹 로그 등을 삭제해 조사를 방해한 행위에 대해서는 경찰에 수사를 의뢰했다. 별도로 개인정보보호위원회는 유출 규모와 경위를 따져 전체 매출액의 3% 이내에서 과징금 부과를 검토 중이다.

최 실장은 이날 브리핑을 마무리하며 이번 조사가 기업의 규모와 관계없이 철저히 ‘법과 원칙’에 따라 진행되었음을 거듭 강조했다. 이는 대형 플랫폼 기업이라 할지라도 보안 사고에 대해서는 예외 없이 엄정한 책임을 묻겠다는 정부의 강력한 의지로 풀이된다.

이어 최실장은 “앞으로도 침해사고 조사 결과는 신속하고 투명하게 공개해 국민의 알 권리를 보장하고, 유사 사고 재발을 막는 데 주력하겠다”고 말했다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>