“쿠팡이 방치한 인증키로 3천만명 정보 털렸다”…수사 난항 우려

“쿠팡 대규모 유출, 유효 인증키 방치가 원인” 유력 용의자 前 직원 출국해 수사 난항 우려 정보 유출 분통에 소비자들 집단소송 움직임
서울 송파구 쿠팡 본사. 연합뉴스
경찰이 쿠팡에서 발생한 대규모 개인정보 유출 사태의 유력 용의자로 지목된 전 직원 A씨를 추적하고 있는 가운데, 해당 직원은 쿠팡 측이 제때 갱신하거나 폐기하지 않은 ‘액세스 토큰 인증키’를 통해 퇴사 후 범행을 저지른 것으로 파악됐다.

1일 국회 과학기술정보방송통신위원회 최민희 위원장이 쿠팡으로부터 제출받은 자료에 따르면, 쿠팡 인증 업무 담당자에게 발급되는 액세스 토큰의 유효 인증키가 장기간 방치된 것으로 나타났다.

액세스 토큰은 사용자가 한 번 로그인하면 일정 시간 재인증 없이 서비스를 이용할 수 있는 일종의 ‘디지털 인증키’다.

내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라고 한다면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 인증 도장 역할을 한다.

앞서 지난 21일 한국인터넷진흥원(KISA)은 최 위원장에게 제출한 신고서에서 “기존 로그인 사용자에게 발급되는 서명된 액세스 토큰을 악용해 인증을 우회한 것으로 추정된다”고 보고했다.

쿠팡이 보낸 문자메시지 고객 계정 3370만개가 무단으로 유출된 사실이 드러난 쿠팡이 고객들에게 보낸 개인정보 노출 통지 관련 문자메시지. 최상수 기자
최 위원장은 “서명키 갱신은 가장 기본적인 내부 보안 절차임에도 불구하고, 쿠팡은 토큰 생성에 필요한 서명 정보를 담당 직원 퇴사 시 삭제하거나 갱신하지 않고 이를 방치했다”며 “3370만건의 개인정보 유출 해킹이 가능했던 이유는 내부 직원이 이를 악용했기 때문”이라고 지적했다.

쿠팡 측은 토큰 서명키 유효 인증 기간에 대해 “키 종류에 따라 다양하다”며 “5~10년으로 설정하는 사례가 많은 것으로 알고 있다”는 입장이다.

서울경찰청 사이버수사대는 최근 고소인 조사를 통해 쿠팡으로부터 서버 기록 등 관련 자료를 임의 제출받아 유출 경위 분석에 들어갔다.

앞서 쿠팡은 지난 25일 정보통신망법상 정보통신망 침입 혐의로 ‘성명불상자’에 대한 고소장을 경찰에 제출했다. 쿠팡은 유출 정황 조사 과정에서 중국 국적의 전 직원 A씨를 특정한 것으로 알려졌다.

경찰은 유력 용의자로 지목되는 A씨의 행적을 확인한다는 방침이다. 그러나 A씨가 쿠팡을 퇴사해 이미 한국을 떠난 상태인 것으로 전해져 신병 확보에 난항을 겪을 것으로 보인다.

핵심 피의자가 해외에 나가 있는 상황에서 계좌 추적·통신기록 확보·기기 포렌식 등의 강제 수사는 사실상 불가능하다. 결국 국제 공조나 범죄인 인도 절차에 의존할 수밖에 없는 상황이다.

쿠팡 해킹 피해자 집단소송 카페 홈페이지 캡처
유출 사고 규모가 커진 데 대한 수사도 불가피해 보인다.

쿠팡은 지난 19일 개인정보 유출 관련 첫 신고에서 고객명·연락처·주소 등 4536개 계정의 정보가 유출됐다고 보고했으나, 이후 조사 과정에서 유출 계정 수가 3370만개로 무려 7500배나 불어났다.

쿠팡은 노출된 정보에 고객의 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했지만, 추가 피해에 대한 우려는 여전히 크다.

쿠팡을 상대로 한 소비자들의 집단 대응 움직임도 본격화하고 있다.

네이버에는 쿠팡에 대한 소송을 준비하는 카페가 잇따라 개설되고 있다. 한 카페는 이날 오전 10시 기준 가입자 수가 7만 명을 돌파했다.

소비자들 사이에서는 쿠팡 회원 탈퇴 요령과 배송지 삭제 방법부터 공동현관 비밀번호 변경 안내까지 대응 매뉴얼이 빠르게 공유되고 있다.

국윤진 기자 soup@segye.com