AD
쿠팡에서 발생한 3,370만 건의 개인정보유출 사태 원인이 인증 관련 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키가 장기간 방치된 탓이라는 분석이 나왔습니다.
국회 과학기술정보방송통신위원회 최민희 위원장이 쿠팡으로부터 받은 자료를 보면 쿠팡은 이번 해킹에 악용된 인증키 유효기간에 대해 경찰 수사를 이유로 대답을 피했지만, 유효 인증 기간이 5~10년으로 설정하는 사례가 많은 것으로 알고 있다고 답변했습니다.
의원실은 '토큰'이 로그인에 필요한 일회용 출입증이라면 '서명키'는 출입증을 찍어주는 도장이라고 할 수 있다며, 이 서명키를 담당 직원이 퇴사할 때 삭제하거나 갱신하지 않고 방치하다가 내부직원이 악용한 것이라고 설명했습니다.
최민희 의원은 서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다며, 장기 유효 인증키 방치는 단순한 내부 직원 일탈이 아닌 인증체계를 방치한 쿠팡의 조직적·구조적 문제의 결과라고 지적했습니다.
YTN 윤웅성 (yws3@ytn.co.kr)
※ '당신의 제보가 뉴스가 됩니다'
[카카오톡] YTN 검색해 채널 추가
[전화] 02-398-8585
[메일] social@ytn.co.kr
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
국회 과학기술정보방송통신위원회 최민희 위원장이 쿠팡으로부터 받은 자료를 보면 쿠팡은 이번 해킹에 악용된 인증키 유효기간에 대해 경찰 수사를 이유로 대답을 피했지만, 유효 인증 기간이 5~10년으로 설정하는 사례가 많은 것으로 알고 있다고 답변했습니다.
의원실은 '토큰'이 로그인에 필요한 일회용 출입증이라면 '서명키'는 출입증을 찍어주는 도장이라고 할 수 있다며, 이 서명키를 담당 직원이 퇴사할 때 삭제하거나 갱신하지 않고 방치하다가 내부직원이 악용한 것이라고 설명했습니다.
최민희 의원은 서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다며, 장기 유효 인증키 방치는 단순한 내부 직원 일탈이 아닌 인증체계를 방치한 쿠팡의 조직적·구조적 문제의 결과라고 지적했습니다.
YTN 윤웅성 (yws3@ytn.co.kr)
※ '당신의 제보가 뉴스가 됩니다'
[카카오톡] YTN 검색해 채널 추가
[전화] 02-398-8585
[메일] social@ytn.co.kr
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]