정보유출 추정 中직원 퇴사후에도 ‘내부 접근 인증키’ 방치… “쿠팡, 도둑에게 집 열쇠 맡긴 셈”

쿠팡의 대규모 개인정보 유출 핵심 원인으로 ‘액세스 토큰’과 ‘인증(서명)키’에 대한 관리 부실이 지목됐다. 액세스 토큰은 내부 시스템에 접근할 수 있는 출입증이며, 인증키는 이 출입증이 위조가 아니라고 찍어주는 일종의 인증 도장이다. 출입증과 인증 도장이 모두 허술하게 관리되면서 3370만 명의 개인정보가 5개월간 쉽게 털린 것이다. 1일 더불어민주당 소속 최민희 국회 과학기술정보방송통신위원장이 쿠팡에서 제출받은 자료에 따르면 정보 유출자로 추정되는 전 중국인 직원은 인증 관련 업무 담당자였다. 최 위원장은 이날 “인증 관련 담당자에게 발급되는 액세스 토큰 인증키가 장기간 방치돼 담당 직원이 퇴사 후에도 이를 악용했다”고 지적했다. 통상적으로 인증 업무 담당자에게는 업무 활용을 위해 액세스 토큰 인증키가 발급된다. 토큰은 생성과 폐기가 빨라 1시간 이내로 완료되기도 한다. 반면 토큰을 만들 때 필요한 인증키는 유효기간이 상대적으로 긴 편이다. 그런데 이번 사건에서 쿠팡은 중국인