과방위 "쿠팡, '고객 서명 키'로 가짜 토큰 생성… 만능열쇠 털린 셈"

이준석 개혁신당 의원이 쿠팡의 대규모 정보 유출 사태에 대해 단순한 데이터 유출이 아닌 사용자 인증 체계의 핵심인 '서명 키'(Private Signing Key)가 탈취된 치명적인 보안 사고라고 규정했다. 이 의원은 해커가 이 키를 이용해 가짜 토큰을 만들어 보안망을 무력화했다고 지적했다.
2일 국회 과학기술정보방송통신위원회(과방위) 현안질의에서 이 의원은 브랫 매티스 쿠팡 최고정보보안책임자(CISO)를 상대로 해킹의 기술적 원인을 집중 추궁했다.

이 의원은 "유출된 것이 사용자 인증 시스템의 암호화 키인지 명확히 밝혀달라"고 질의했다. 이에 매티스 CISO는 "고객이 로그인 후 발급받는 토큰의 '프라이빗 서명 키'가 탈취된 것"이라며 "공격자가 이 키를 이용해 가짜 토큰을 생성하고 마치 정상적인 고객인 것처럼 사칭해 API에 접근했다"고 시인했다.


이 의원은 이 답변을 두고 구조적 취약점을 꼬집었다. 그는 "해커가 가짜 토큰을 만들어 주입하면 데이터베이스에 저장된 정보와 대조하는 과정 없이도 인증이 통과된다는 의미"라며 "사실상 '만능열쇠'가 털린 셈인데 일반적인 시스템에서는 보기 드문 허점"이라고 비판했다.

해커의 공격에 의한 추가 피해 가능성도 우려했다. 그는 "해커가 5개월 동안 활동했는데 단순히 일부 API만 건드렸다고 보기 어렵다"며 "더 깊은 단계의 데이터베이스나 내부 시스템에 접근했을 가능성이 있느냐"고 따져 물었다.

이에 대해 매티스 CISO는 "공격자는 외부에서 접근 가능한 API를 조작했을 뿐 내부 시스템이나 데이터베이스에 직접 접근할 권한은 없었다"고 해명했다. 그러면서 "비밀번호나 패스워드 해시값이 유출된 정황은 발견되지 않아 계정정보를 이용한 추가 공격 가능성은 낮다"고 답했다.


이 의원은 내부자 소행 가능성도 제기했다. 그는 "서명 키에 접근할 정도면 시스템 이해도가 상당한 인물일 것"이라며 "과거 현직에 있었을 때 더 광범위한 개발 권한(Privileged Access)을 가지고 있었던 것 아니냐"고 지적했다. 매티스 CISO는 "경찰 수사가 진행 중인 사안이라 구체적인 답변은 어렵다"며 말을 아꼈다.