과학기술정보방송통신위원장 최민희 의원실에 따르면 쿠팡 고객 정보를 빼돌린 건 현재는 퇴사한 인증 관련 담당자로, 업계는 이 직원이 인증 관련 권한을 갖고 있어 퇴사 전부터 로그인 없이 취약점에 접근하기 쉬웠을 것으로 보고 있습니다.
또 이 직원은 퇴사 이후 개인 정보를 유출한 걸로 알려졌는데, 이 과정에서 인증 토큰 서버인증키와 보안 취약점을 악용한 것으로 추정됩니다.
인증 토큰은 로그인할 때 발행되는 출입증으로, 토큰을 갖고 있으면 시스템에 로그인 없이 접근할 수 있으며, 생성과 폐기가 빠르면 1시간 이내로 완료되는 등 주기가 짧습니다.
인증 토큰을 생성하기 위해선 서명키가 필요한데, 쿠팡이 해당 직원 퇴사 후에도 서명키를 삭제하거나 갱신하지 않았다면, 해당 직원이 인증 토큰을 악용해 데이터베이스 접속할 수 있습니다.
당신의 의견을 남겨주세요