◀ 앵커 ▶

쿠팡 개인정보 유출 사건의 핵심은, 퇴사한 전 직원이 내부 전산망을 편하게 드나들 정도로 보안이 허술했다는 점입니다.

대부분 회사들이 전산망 접속 시 인증 절차를 거쳐 통제하는데, 쿠팡은 이런 인증에 쓰이는 보안키 유효 기간을 무제한으로 설정했던 것으로 드러났습니다.

그런데 국회에 나온 쿠팡 최고 보안책임자는, 이런 회사 사정을 잘 모르고 있었습니다.

이지수 기자의 보도입니다.

◀ 리포트 ▶

지난 2일 국회 과방위의 쿠팡 긴급 현안질의.

보안 최고 책임자는 보안 인증키의 유효 기간을 정확히 모르고 있었습니다.

[브랫 매티스/쿠팡 최고정보보안책임자 (지난 2일)]
"인증키 유효기간은 보통은 2년 정도입니다. 내부 인증키 같은 경우에는 3년 미만입니다."

보통 이런 수준이라며 즉답을 피했는데, 실제 인증 기간은 얼마였을까?

쿠팡은 국회에 낸 청문회 자료에서 "문제 되는 키의 고정된 유효기간이 없다"고 밝혔습니다.

인증키는 시스템 접속자에게 일회용 출입증 성격의 '토큰'을 발급할 때 쓰이는데, 통상, 90일 이내로 유효기간을 짧게 설정합니다.

그런데 퇴사한 전 직원은 기간 제한 없이 마음껏 '토큰'을 만들 수 있었던 겁니다.

[김승주/고려대 정보보호대학원 교수]
"무한정 만들 수 있다는 얘기니까… (비유하자면) 공인인증서를 발급했는데 유효 기간이라는 게 없는 거예요."

그렇다면 인증키를 활용해 발급한 일회용 출입증, '토큰'의 유효기간은 얼마일까?

[브랫 매티스/쿠팡 최고정보보안책임자 (지난 2일)]
"보통 토큰의 유효기간은 몇 시간입니다. 정확하게 조사를 통해서 파악을 해야 하고요."

보안 책임자는 이 역시 정확히 몰랐는데,

쿠팡은 국회에 "일반적인 토큰의 유효기간은 4시간", "정보를 유출한 전 직원의 토큰 유효기간은 72시간"이라고 보고했습니다.

[황석진/동국대 정보보호대학원 교수]
"애플페이라든가 삼성페이 같은 경우에는 (토큰을) 구동을 시키면 사용할 수 있는 유효기간이 보통 수분 내로 제한됩니다. 더 이상 사용할 수 없게끔 됩니다."

전문가들은 72시간은 물론 4시간조차 보안 측면에선 너무 길다고 지적했습니다.

MBC뉴스 이지수입니다.

영상편집: 허유빈

MBC 뉴스는 24시간 여러분의 제보를 기다립니다.

▷ 전화 02-784-4000
▷ 이메일 mbcjebo@mbc.co.kr
▷ 카카오톡 @mbc제보