쿠팡, 정보유출 의혹 中직원 퇴사후에도 ‘인증키’ 폐기 안했다

중국인 직원 인증관련 업무 담당인데도
데이터 접근 열쇠인 엑세스 토큰-서명키
삭제하거나 갱신 않고 유효 상태로 유지

고객 정보가 대랸 유출된 쿠팡의 서울 잠실 본사 건물에 30일 오후 긴장감이 돌고 있다. 변영욱 기자 cut@donga.com

쿠팡에서 3370만 명의 개인정보가 대규모로 유출된 핵심 원인으로 인증 관련 담당자에게 발급되는 데이터 접근 열쇠인 엑세스 토큰과 서명키 관리 부실이 지목되고 있다. 개인 정보 유출자로 추정되는 중국인 직원이 쿠팡을 퇴사한 후에도 쿠팡 측에서 이 열쇠를 곧바로 삭제하거나 갱신하지 않아 해당 직원이 개인정보를 빼갈 수 있었다는 것이다.

1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면 정보 유출자로 추정되는 전 중국인 직원은 인증관련 업무 담당자였던 것으로 알려졌다.

박대준 쿠팡 대표가 30일 서울 종로구 정부서울청사에서 열린 쿠팡 관련 긴급 관계부처 장관회의를 마치고 회의장 앞에서 취재진의 질의에 답변하고 있다. 2025.11.30 변영욱 기자 cut@donga.com

인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키가 직원 퇴사 이후에도 폐기되거나 갱신되지 않았고, 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급해둔 ‘서명된 액세스 토큰’이 유효한 상태로 유지되면서 퇴사 이후에도 자유롭게 침투가 가능했다는 설명이다.

액세스 토큰 서명키는 내부 시스템 정보 접근 권한 증명서를 만드는 비밀 암호를 가리킨다. 내부 특정 시스템 로그인에 필요한 ‘토큰’이 문을 열어주는 일회용 출입증이라면 ‘서명키’는 출입증이 위조되지 않았음을 확인해주는 도장 역할을 하는 중요한 수단이다. 출입증이 있어도 출입을 허가하는 인증 도장이 없다면 출입할 수 없다. 

쿠팡 측에서는 토큰 서명키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5~10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다. 다만 쿠팡 측은 이번 해킹에 악용된 서명키 유효 기간에 대해서는 경찰 수사를 이유로 대답을 하지 않았다.

앞서 KT 해킹사태때도 KT 펨토셀의 관리·감독 부실 문제가 수면 위로 드러나면서 펨토셀 인증키 유효기간이 10년으로 밝혀진 바 있다.




남혜정 기자 namduck2@donga.com