시사1 장현순 기자 | 쿠팡의 대규모 개인정보 유출 사태가 인증 관리 부실에서 비롯됐다는 분석이 나와 이목이 쏠리고 있다. 퇴사한 중국 국적 개발자가 쿠팡 내부 시스템에 접근할 수 있었던 핵심 원인이 ‘데이터 접근 인증키’ 장기간 방치‘였다는 지적이 국회에서 나온 것이다.

1일 국회 과학기술정보방송통신위원회(과방위) 소속 최민희 더불어민주당 의원은 쿠팡이 제출한 자료를 공개하며 “쿠팡 내부에서 인증 관련 담당자에게 발급되는 접근 키가 5~10년의 장기 유효 기간으로 설정된 사례가 적지 않았던 것으로 파악된다”고 지적했다. 이는 업계 일반 기준(수개월 단위 갱신)과 비교하면 매우 이례적이라는 게 중론이다.

더욱이 해당 인증키가 직원 퇴사 후에도 즉각 폐기되거나 갱신되지 않은 것으로 드러났다. 용의자로 지목된 중국 국적의 전 개발자가 이를 악용해 수개월간 비인가 접근을 시도했고, 결국 3370만명의 고객 개인정보가 유출되는 결과로 이어졌다는 게 최민희 의원의 설명이다.

단 쿠팡 측은 유출에 직접 악용된 인증키의 구체적 유효 기간이나 발급·폐기 관리 절차 등에 대해서는 “경찰 수사가 진행 중”이라는 이유로 답변을 회피한 것으로 전해졌다.

정보보안 전문가들은 “토큰 서명키는 시스템의 ‘마스터키’에 해당하는 만큼, 퇴직자 계정 정리와 즉각적 키 로테이션은 기본 중의 기본”이라며 “인증키가 장기간 방치됐다면 이는 구조적 보안 관리 실패”라고 지적했다.

쿠팡이 향후 어떤 보안 강화 대책을 내놓을지, 그리고 인증키 관리 부실에 대한 책임 규명이 어떻게 이뤄질지가 이번 사태의 핵심 쟁점으로 부상하고 있다.

한편 정부는 민관합동조사단을 꾸려 사고 경위 규명과 보안 체계 전면 점검에 착수한 상태다.