최민희 의원은 쿠팡에서 발생한 3,370만 건의 개인정보 유출 사고가 인증키의 장기 방치로 인해 발생한 인재라고 주장했다.

▲ 쿠팡 참고사진   © 인디포커스

국회 과학기술정보방송통신위원회 위원장인 최 의원은 지난 30일 쿠팡으로부터 받은 자료를 바탕으로 이 같은 사실을 밝혔다. 쿠팡은 해킹에 악용된 인증키의 유효기간에 대해 경찰 수사를 이유로 구체적인 답변을 회피했지만, 최 의원은 “5~10년으로 설정하는 사례가 많다”는 답변을 받았다고 전했다.

이번 사건에서 로그인에 필요한 ‘토큰’은 일회용 출입증에 비유될 수 있으며, ‘서명키’는 이를 인증하는 도장과 같다. 그러나 서명키가 장기간 방치되어 내부 직원이 퇴사한 후에도 악용될 수 있는 상황이 발생한 것이다. 최 의원실의 확인에 따르면, 쿠팡의 로그인 시스템에서 토큰은 즉시 폐기되지만, 서명정보는 퇴사 시 삭제되거나 갱신되지 않고 방치되었다.

이와 유사한 사례로 KT의 펨토셀 해킹 사건이 있으며, 이 사건에서도 인증키의 유효기간이 10년으로 밝혀졌다.

최 의원은 “서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다”며, “장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증체계를 방치한 쿠팡의 조직적·구조적 문제의 결과”라고 비판했다.

그는 또한 “KT 펨토셀 사태에서 드러난 장기 인증키 방치 문제가 쿠팡에서도 동일하게 재현된 것은 우리 기업들의 낮은 보안 책임 의식을 보여준다”며, “IT, 테크기업들은 인증키 로테이션을 포함해 전반적인 보안체계를 긴급히 재정비해야 한다”고 강조했다.