"쿠팡 3370만건 유출…퇴사자 인증키 방치가 원인"

서명키 5~10년 장기 유효 유지…KT 펨토셀과 판박이 구조적 보안 부실 지적

이인영 기자 | liy@newsprime.co.kr | 2025.12.01 11:22:28

[프라임경제] 최근 쿠팡에서 최대 3370만건 규모의 고객 정보가 유출된 원인으로, 내부 인증체계 전반에 걸친 장기 유효 인증키 방치가 지목됐다.

인증 담당자에게 부여되는 '서명키'를 갱신하지 않아 퇴사 직원조차 지속적으로 접속 가능한 구조였고, 이 치명적 허점이 대규모 개인정보 유출로 직결됐다는 분석이다.

쿠팡 본사 전경. ⓒ 연합뉴스

1일 국회 과학기술정보방송통신위원회 소속 최민희 더불어민주당 의원실이 쿠팡으로부터 제출받은 자료에 따르면, 쿠팡은 서명 토큰과 인증키 관리 기간에 대해 "5~10년으로 설정하는 사례가 많다"며 "로테이션 주기가 길고 키 종류에 따라 매우 다양하다"고 밝혔다.

로그인 과정에서 사용되는 '토큰'이 일회용 출입증이라면, 토큰 생성에 필요한 '서명키'는 출입증을 찍는 도장과 같다. 출입증이 폐기돼도 도장이 유효하면 누구나 다시 찍어 들어올 수 있는 구조다.

최민희 의원은 "토큰은 즉시 폐기되지만, 이를 생성하는 서명 정보는 퇴사자 관리 시 갱신·삭제가 이뤄지지 않았다"며 "해당 키를 내부 직원이 악용한 것"이라고 지적했다.

이같은 구조적 결함은 올해 논란이 컸던 KT 펨토셀 해킹 사태와 판박이라는 비판도 나온다. 당시 KT 역시 펨토셀 인증키 유효기간이 10년에 달하는 것으로 드러나 관리·감독 부실 논란이 불거졌고, 이번 쿠팡 사태 역시 장기 유효 인증키 방치라는 동일한 문제를 반복했다는 지적이다.

최 의원은 "서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다"며 "이는 단순 내부자 일탈 문제가 아니라 조직적·구조적 관리 실패의 결과"라고 비판했다.

이어 "KT 펨토셀 사태와 똑같은 문제가 재현된 것은 국내 기업들의 낮은 보안 책임 의식을 그대로 보여준 사례"라며 "IT·테크기업들은 인증키 로테이션을 포함한 전반적 보안체계를 즉시 재정비해야 한다"고 덧붙였다.

이와 관련해 쿠팡은 "5~10년간 방치 되었다는 것은 사실이 아니다"라며 "현재 수사 중인 상황이라 자세한 언급은 할 수 없다"고 밝혔다.