브랜 메티스 쿠팡 정보보호최고책임자(CISO)는 쿠팡의 회원 개인정보 유출과 관련해 "공격자로 생각되는 사람이 훔친 서명 키를 사용해 실제 키에 서명을 해서 다른 사용자차럼 가장한 것"이라고 2일 밝혔다.
메티스 CISO는 이날 국회 과학기술정보방송통신위원회에서 열린 제18차 전체회의에서 이준석 개혁신당 의원의 "공격자가 어떻게 데이터베이스에 접근해 정보를 습득했나"라는 질문에 이와 같이 설명했다.
이 의원은 매티스 CISO에 "이번 공격이 고객 정보 탈취에 목적이 있는 것인지 쿠팡 전체 시스템 탈취에 목적이 있었는지 반드시 파악해야 한다"며 "범죄에 악용된 인증키의 성격이 무엇인가"라고 질문했다.
이에 매티스 CISO는 "정보보안책임자로서 공격 과정에서 기술적 요소가 어떻게 전개됐는지 알고 있지만, 경찰의 수사가 진행 중인 사안으로 직원의 동기에 대해서는 언급할 수 없다"고 답했다.
매티스CISO는 공격자로 추정되는 인물이 사용했다는 토큰의 암호키는 "정상적인 로그인을 한 고객이 서비스를 사용하기 위해 고객에게 지급되고 있는 토큰을 매개하는 것"이라며 "고객이 디바이스에 접속하면 고객이 누군지 알 수 있게 하는 기술"이라고 설명했다.
매티스CISO는 "조사에 따르면 고객들의 크레덴셜(인증 키 등)이나 해시밸류, 비밀번호 등의 정보들이 노출됐다고 보지 않는다"며 "공격자라고 생각되는 사람은 훔친 서명 키를 사용해 실제로 키에다가 서명을 해 다른 사용자인 것처럼 가장했다"고 했다.
그러면서 "현재 조사에 따르면, 공격자는 탈취한 서명키를 활용해 마치 다른 사용자인 것처럼 가장해 서버에 접근했다"며 "모든 쿠팡 인증토큰은 프라이빗 키(암호화된 코드)를 서명함으로서 확인이 되는데, 제3자가 쿠팡의 프라이빗 키를 활용해 가짜 토큰을 만든 것"이라고 설명했다.
또한 "공격자가 쿠팡에 접속할 때 쿠팡 내부에 있는 (API를) 사용한 게 아니라 외부의 API를 조작해서 사용을 했다"며 "쿠팡 내부시스템의 로우(가공되지 않은) 데이터베이스에는 접근할 수 없었다"고 답했다.
한편 매티스CISO는 유출 사고를 일으킨 직원의 동기에 대해 "경찰 조사가 진행 중이라 답변드릴 수 없다"고 했다.