인증 토큰·서명키의 취약점…정보 빼돌린 그놈은 알았다

경찰 "유출 피의자 IP 확보, 해외기관과 공조해 추적"
쿠팡 협박메일 2차례 받아… 동일인 여부도 파악 중

국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3천만건이 넘는 대규모 정보 유출 사고가 발생했다. 쿠팡은 현재까지 고객 계정 약 3천370만개가 유출된 것을 확인했다. 사진은 1일 서울 시내 한 쿠팡 물류센터에서 직원이 물품을 옮기고 있다. 연합뉴스

국내 이커머스(전자상거래) 업체 쿠팡에서 대규모 개인정보 유출사고가 발생한 원인과 관련해 쿠팡의 '인증 토큰' '서명키' 관리 문제가 도마 위에 올랐다.

1일 정보통신기술(ICT) 업계와 국회 과학기술정보방송통신위원장 최민희 더불어민주당 의원실에 따르면 쿠팡 고객정보를 빼돌린 건 현재는 퇴사한 인증 관련 담당자로 알려졌다. 이 직원은 인증 토큰, 서명키와 보안 취약점을 악용해 퇴사 이후 개인정보를 유출한 것으로 추정되고 있다.

인증 토큰은 로그인할 때 발행되는 출입증으로, 통상 토큰을 갖고 있으면 시스템에 로그인 없이 접근할 수 있다. 인증 토큰은 빠르면 1시간 안에 생성과 폐기가 완료되며, 이를 생성하기 위해선 서명키가 필요하다.

쿠팡이 해당 직원 퇴사 후에도 서명키를 삭제하거나 갱신하지 않았다면 해당 직원이 인증 토큰을 악용해 데이터베이스(DB) 접속할 수 있게 되는 것이다. 쿠팡이 인증 토큰 생성에 필요한 서명키를 부실하게 관리한 것 아니냐는 지적이 나오는 이유다.

경찰은 쿠팡 고객 개인정보를 유출한 혐의를 받는 피의자가 범행에 사용한 IP(인터넷 프로토콜·네트워크에서 기기를 식별하는 고유 번호)를 확보해 추적하고 있다. 서울경찰청은 이날 기자간담회에서 "현재 쿠팡 측으로부터 서버 로그기록을 제출받아서 분석 중"이라며 "피의자를 특정하기 위한 수사를 진행 중이며, IP 추적을 위한 해외 공조를 벌이고 있다"고 밝혔다.

경찰은 피의자 국적과 쿠팡에 협박성 이메일을 보낸 사람과 동일인인지 등을 확인하고 있다. 앞서 서울경찰청 사이버수사2대는 쿠팡이 "회원들의 개인정보를 보유하고 있다. 보안을 강화하지 않으면 유출 사실을 언론에 알리겠다"는 협박성 이메일을 받은 사실을 포착했다.

경찰에 따르면 쿠팡은 지난달 16일과 25일 두 차례에 걸쳐 협박 메일을 받았다. 메일을 보낸 계정이 2개로 확인된 데 따라 경찰은 두 차례 메일을 보낸 사람이 동일인인지도 파악 중이다.

피의자가 쿠팡에서 퇴직해 출국한 상태인지도 확인 중이다. 일각에서 쿠팡에서 근무했던 중국 국적의 직원이 고객 정보를 유출했다는 의혹을 제기한 가운데 경찰은 모든 가능성을 열어두고 수사한다는 방침이다.