다앙근 (106.♡.214.34)
2025년 12월 4일 AM 10:00 · 수정됨(12:17)

3370만명의 이름·주소·전화번호가 유출된 쿠팡 사태의 핵심은 ‘서버 출입 마스터키’에 해당하는 서명키 접근 구조다. 쿠팡은 탈취당한 서명키가 악용된 사실은 인정했지만, 정작 이 서명키를 그간 어떻게 관리해왔는지는 밝히지 않고 있다. 아무나 손대서는 안 되는 ‘마스터키’가 어떻게 일반 직원 손에 넘어갔는지를 밝혀야 쿠팡의 보안 소홀 책임이 명확해질 것으로 보인다.
3일 정보기술(IT) 업계에 따르면 쿠팡 내부의 ‘서명키’ 보안에 어떻게 구멍이 뚫렸는지가 ‘쿠팡 미스터리’를 풀 실마리 중 하나로 거론되고 있다.
전날부터 이틀간 국회 과학기술방송통신위원회·정무위원회가 연 긴급 현안질의에 출석한 쿠팡 박대준 대표, 브랫 매티스 최고정보보호책임자(CISO)의 말을 종합하면 지금까지 드러난 사실은 이렇다. 유출 사태를 일으킨 것으로 추정되는 직원 A씨는 인증 시스템 개발자였으며, 지난해 12월 퇴직한 뒤 올해 6월부터 ‘고객’으로 가장해 시스템에 접속, 개인정보를 대량 수집했다. 이 과정에서 A씨는 서명키로 가짜 토큰을 생성했는데, 토큰이 있으면 아이디·비밀번호 입력 없이도 로그인이 가능하다. A씨는 퇴사 전 이 서명키를 확보했던 것으로 보인다.
문제는 서명키가 민감한 보안 자산이라는 점이다. 전 고객의 개인정보가 담긴 ‘방’에 자유롭게 드나들게 해주는 ‘마스터키’와 같은 역할을 하기 때문이다. 김승주 고려대 정보보호대학원 교수는 “서명키는 HSM(Hardware Security Module)과 같은 하드웨어 보안장치에 보관해야 하고, 개발자를 포함한 누구도 이 장치 밖으로 키를 추출할 수 없어야 한다”며 “그럼에도 불구하고 어떻게 키 탈취가 가능했는지가 규명돼야 한다”고 말했다.
사태 초기에는 퇴사자 발생 후 서명키를 교체하지 않은 점에 초점이 맞춰졌으나 진짜 문제는 일반 직원이 이 서명키에 접근할 수 있었다는 사실 그 자체에 있다는 얘기다. 쿠팡의 박 대표는 국회 현안질의에서 서명키 입수 경로와 관련해 “어떻게 입수했는지 알 수 없다”고 말했다.
박 대표는 “(서명키 등으로) 고객정보 전체를 볼 수 있는 사람이 몇 사람이냐 되느냐”(강민국 국민의힘 의원)는 질문에는 “예외적으로 승인돼 있고 저도 그런 접근권은 갖고 있지 않다”고 말했다. 법인 대표에게도 없는 ‘마스터키’ 접근 권한이 일반 직원에게 있었다는 얘기가 된다.
=====================================
그냥 입구에 USB에 담아서 걸어놓고 다닌건가....yo?
댓글 (8)
- 작
작은눈
25.12.04 · 211.♡.88.221
- 마
마스터재다이
→ 작은눈
25.12.04 · 211.♡.195.212
높은확률로 그랬겠네요. 아니깐 가지고나간거겠죠? -
AASTERISK
25.12.04 · 1.♡.252.194
해킹이 아니더라도 저런식으로 내부 인원이 데이터 조회할수 있다는거죠. -
세세상여행
25.12.04 · 211.♡.226.211
보안 관리 수준이 개판이었다는 거죠. -
만만환
25.12.04 · 120.♡.223.141
제 모니터에 포스트윗으로 비번 붙어있는거랑 같네요 ㅋㅋㅋ -
심심이
25.12.04 · 218.♡.158.97
서버관리자랑 친한가 보죠 ㅋㅋㅋㅋㅋㅋㅋㅋ
근데 제가 쿠팡 다니셨던 분들 이야기로는 자기때는 엄청 까다로워서 절대 저게 될 수 없다고 하는데.
뭐가 진실인지는 모르겠네요.
그냥 개판인거죠 뭐 -
육육류
25.12.04 · 211.♡.79.130
쿠팡은 재택근무 하는 경우도 많습니다. 외부에서 시스템에 접근한다면 얼마든지 자원을 획득할 수 있죠. -
NNoteTest
25.12.04 · 194.♡.89.51
한동안 해외직구 한국 넘어와서 (특정 고가 제품만) 사라진 사례가 반복적으로 이루어진 사건이 있었죠?
택배 번호만 알면 id, pw 없이 누구나 관련 페이지 들어가서 물품(배송품) 알 수 있기에 선택적 슈킹이 가능했죠?
(단일 품목 구매, 묶음 배송 차이는 있겠지만 근래에는 어떻게 개선되었는지는 모르지만....)
댓글을 작성하려면 이 필요합니다.
그런데 저정도면 인증키로 api 호출해서 수집한거 같은데
호출할때 받는쪽에서 최소한의 ip 대역 같은것도 체크도 안하나보네요