쿠팡에서 대규모 고객 정보 유출 배경에 장기 유효 인증키 관리 부실이 있었다는 지적이 나온다. 인증 관련 담당자에게 발급되는 서명키를 갱신하지 않아, 퇴사 직원이 계속 접근할 수 있는 구조가 유지됐고 이 허점이 대규모 유출로 이어졌다는 분석이다.
1일 국회 과학기술정보방송통신위원회 소속 최민희 더불어민주당 의원실이 쿠팡에서 제출받은 자료에 따르면 쿠팡은 "토큰 서명키 유효 인증 기간과 관련해 5~10년으로 설정하는 사례가 많다는 걸로 알고 있다"며 "로테이션 기간이 길며, 키 종류에 따라 매우 다양하다"고 했다.
로그인에 필요한 토큰이 데이터에 접근하는 문을 열어주는 일회용 출입증이라면, 서명키는 출입증을 찍어주는 일종의 도장 역할을 한다. 쿠팡 로그인 시스템상 토큰을 생성하고 즉시 폐기되는 상황임에도, 토큰 생성에 필요한 서명 정보를 담당 직원 퇴사 시 삭제하거나 갱신하지 않아 내부 직원이 악용했다는 게 의원실 분석이다.
의원실은 "서명키 갱신은 가장 기본적인 내부 절차임에도, 쿠팡은 이를 지키지 않았다"며 "장기 유효 인증키를 방치한 것은 단순한 내부 직원 일탈이 아니라, 인증 체계를 방치한 쿠팡의 조직적·구조적 문제의 결과"라고 했다.
이번 쿠팡 대규모 고객 정보 유출 사건은 이미 퇴사한 중국 국적의 직원으로 추정되고 있다. 개발자였던 해당 직원이 퇴사 후 재직 당시 확보한 토큰을 이용해 중국에서 고객들의 정보를 빼돌렸을 가능성이 커지고 있다.