【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[실시간뉴스]일반 직원에게 ‘마스터키’가 있었다?…쿠팡은 뭘 감추고 있나

온카뱅크관리자

2025-12-04 06:17:48

<div id="layerTranslateNotice" style="display:none;"></div>  
        <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
         <section dmcf-sid="Qfc14R8BSl">
          <figure class="figure_frm origin_fig" contents-hash="4da0d02f0fbbe0afa7012f2e0fafbba703d69f016425599c14dd1b9c8fbbb389" dmcf-pid="x4kt8e6bWh" dmcf-ptype="figure">
           <p class="link_figure"><img alt="박대준 쿠팡 대표가 2일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회 전체회의에 출석해 고개 숙여 인사를 하고 있다." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/04/khan/20251204060649704obsx.jpg" data-org-width="1200" dmcf-mid="Po4wZp5TTS" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/04/khan/20251204060649704obsx.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            박대준 쿠팡 대표가 2일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회 전체회의에 출석해 고개 숙여 인사를 하고 있다.
           </figcaption>
          </figure>
          <p contents-hash="cf34ac5277cd8c9f64128857e1d308ed2f27dc95e5ce44c3fbdec47fbbc5d721" dmcf-pid="yh7olGSrSC" dmcf-ptype="general">3370만명의 이름·주소·전화번호가 유출된 쿠팡 사태의 핵심은 ‘서버 출입 마스터키’에 해당하는 서명키 접근 구조다. 쿠팡은 탈취당한 서명키가 악용된 사실은 인정했지만, 정작 이 서명키를 그간 어떻게 관리해왔는지는 밝히지 않고 있다. 아무나 손대서는 안 되는 ‘마스터키’가 어떻게 일반 직원 손에 넘어갔는지를 밝혀야 쿠팡의 보안 소홀 책임이 명확해질 것으로 보인다.</p>
          <p contents-hash="3b02478860f346e9c660456fe49e8d21e6e412e4b2dab11f24df9dcbdaf4edbc" dmcf-pid="WlzgSHvmvI" dmcf-ptype="general">3일 정보기술(IT) 업계에 따르면 쿠팡 내부의 ‘서명키’ 보안에 어떻게 구멍이 뚫렸는지가 ‘쿠팡 미스터리’를 풀 실마리 중 하나로 거론되고 있다.</p>
          <p contents-hash="20646f4007e8fb68ff8a6a528425d5b13bf84595fa56f46682d1658eb79a1e18" dmcf-pid="YSqavXTsyO" dmcf-ptype="general">전날부터 이틀간 국회 과학기술방송통신위원회·정무위원회가 연 긴급 현안질의에 출석한 쿠팡 박대준 대표, 브랫 매티스 최고정보보호책임자(CISO)의 말을 종합하면 지금까지 드러난 사실은 이렇다. 유출 사태를 일으킨 것으로 추정되는 직원 A씨는 인증 시스템 개발자였으며, 지난해 12월 퇴직한 뒤 올해 6월부터 ‘고객’으로 가장해 시스템에 접속, 개인정보를 대량 수집했다. 이 과정에서 A씨는 서명키로 가짜 토큰을 생성했는데, 토큰이 있으면 아이디·비밀번호 입력 없이도 로그인이 가능하다. A씨는 퇴사 전 이 서명키를 확보했던 것으로 보인다.</p>
          <p contents-hash="b8368357ddd2cd2401061390996afce27a0fd0b015eb0cf20d15b258b57d78da" dmcf-pid="GvBNTZyOWs" dmcf-ptype="general">문제는 서명키가 민감한 보안 자산이라는 점이다. 전 고객의 개인정보가 담긴 ‘방’에 자유롭게 드나들게 해주는 ‘마스터키’와 같은 역할을 하기 때문이다. 김승주 고려대 정보보호대학원 교수는 “서명키는 HSM(Hardware Security Module)과 같은 하드웨어 보안장치에 보관해야 하고, 개발자를 포함한 누구도 이 장치 밖으로 키를 추출할 수 없어야 한다”며 “그럼에도 불구하고 어떻게 키 탈취가 가능했는지가 규명돼야 한다”고 말했다.</p>
          <p contents-hash="fd89da6dda9314eef4acf1bc8a93b2f69c241a32ea966babb24e14d216ed2d07" dmcf-pid="HTbjy5WIlm" dmcf-ptype="general">사태 초기에는 퇴사자 발생 후 서명키를 교체하지 않은 점에 초점이 맞춰졌으나 진짜 문제는 일반 직원이 이 서명키에 접근할 수 있었다는 사실 그 자체에 있다는 얘기다. 쿠팡의 박 대표는 국회 현안질의에서 서명키 입수 경로와 관련해 “어떻게 입수했는지 알 수 없다”고 말했다.</p>
          <p contents-hash="1bf105e54f7c20106870d9adffb5e9a78e78b170b4fadee3a0cf37e5f4cac316" dmcf-pid="Xh7olGSrTr" dmcf-ptype="general">박 대표는 “(서명키 등으로) 고객정보 전체를 볼 수 있는 사람이 몇 사람이냐 되느냐”(강민국 국민의힘 의원)는 질문에는 “예외적으로 승인돼 있고 저도 그런 접근권은 갖고 있지 않다”고 말했다. 법인 대표에게도 없는 ‘마스터키’ 접근 권한이 일반 직원에게 있었다는 얘기가 된다.</p>
          <p contents-hash="b6b6165e3fed600049c90a903b11e2107213b5a0f4aec65ce3b9e18053de5c52" dmcf-pid="ZlzgSHvmSw" dmcf-ptype="general">5개월간 이어진 대규모 유출을 전혀 탐지하지 못한 것도 문제다. 정보 유출은 올해 6월24일부터 지난달 8일까지 이어졌으나, 쿠팡은 같은 달 18일 “정보가 유출된 것 같다”는 고객 민원을 받고서야 이 사실을 알게 됐다.</p>
          <p contents-hash="f42342b28b5eab4d1b862e881021ddd0d6d33feb1923f555edee521ca7043934" dmcf-pid="5SqavXTsCD" dmcf-ptype="general">쿠팡은 그간 이상징후를 탐지하지 못한 이유에 대해 “공격자가 여러 개의 IP 주소를 사용했다”(매티스 CISO)고 말하지만 이 설명만으로는 납득하기 어렵다는 평가가 나온다. 휴면·탈퇴 계정 정보도 유출됐기 때문에 해당 계정에 대한 대량의 로그인 징후가 이어졌을 가능성이 크기 때문이다.</p>
          <p contents-hash="d3f719eecc6d605c740211612ee59811aad9ca07fb38c2e1838eb31f8de44457" dmcf-pid="1vBNTZyOWE" dmcf-ptype="general">쿠팡은 정보가 유출된 휴면·탈퇴 계정 규모를 밝히지 않고 있으나 3분기 활성 고객 규모(2470만명)와 유출 규모의 차이(약 900만명)를 고려하면 수백만개에 달할 것으로 추정된다. 김 교수는 “탈퇴 계정에서 계속 접속이 들어오면 이상하게 여겨야 하는데 왜 탐지를 못했는지 의문”이라고 말했다.</p>
          <p contents-hash="132928aa04ea25037396bcbbb60c5c2c004844890919ab5c5189a123e56fcb14" dmcf-pid="tTbjy5WIWk" dmcf-ptype="general">이날 정무위 현안질의에서는 쿠팡이 2021년과 지난해 받은 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)를 취소해야 한다는 지적이 잇따랐다. ISMS-P에는 암호키(서명키) 접근 통제, 퇴직자의 정보 접근 제한 등의 내용이 담겨 있다. 한창민 더불어민주당 의원은 “ISMS-P 기준을 지키지 않은 쿠팡은 첫 ‘인증 취소’ 기업이 돼야 한다”며 “아울러 과거 과징금 사례를 보면 ISMS-P 인증을 받았다는 이유로 50%씩 감면을 해주었는데 이러한 제도도 바꿔야 한다”고 말했다.</p>
          <p contents-hash="49205146da52c29b0a21197bc9ee148395e63f8113a4682b8c751f30eb1234ab" dmcf-pid="FyKAW1YCSc" dmcf-ptype="general">송윤경 기자 kyung@kyunghyang.com</p>
         </section> 
        </div> 
        <p class="" data-translation="true">Copyright © 경향신문. 무단전재 및 재배포 금지.</p>

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기