브레이크뉴스 김충열 정치전문기자 = 쿠팡에서 발생한 3,370만건의 개인정보유출을 해 충격을 주고 있다. 해킹이 가능했던 이유는, 인증관련 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키가 장기간 방치되어 담당 직원이 퇴사 후에도 이를 악용했기 때문으로 분석된다.
 ▲ 최민희 위원장은 “KT 펨토셀 사태에서 드러난 장기 인증키 방치 문제가 쿠팡에서도 동일하게 재현된 것은 우리 기업들의 낮은 보안 책임 의식을 보여준다”며 “IT, 테크기업들은 인증키 로테이션을 포함해 전반적인 보안체계를 긴급히 재정비해야 한다”고 촉구했다. © 브레이크뉴스 |
국회 과학기술정보방송통신위원회 위원장인 최민희 의원(더불어민주당, 남양주갑)이 30일 쿠팡으로부터 받은 자료에 따르면, 쿠팡은 이번 해킹에 악용된 인증키 유효기간에 대해서는 경찰 수사를 핑계로 대답을 회피했지만, 토큰 서명키 유효인증기간에 대해 “5~10년으로 설정하는 사례가 많다는 걸로 알고 있다”며 “로테이션 기간이 길며, 키 종류에 따라 매우 다양”하다는 답변을 보내왔다.
이번 쿠팡 해킹사태에서 로그인에 필요한 ‘토큰’은 문을 열어주는 일회용 출입증이라고 한다면, ‘서명키’는 출입증을 찍어주는 ‘도장’이라 할 수 있다. 출입증이 있어도 출입을 허가하는 인증 도장이 없다면 출입할 수 없다. 하지만 서명키를 오래 방치해서 누가 계속해서 도장인 서명키를 몰래 찍어서 쓴 것과 다름없다.
최민희 의원실이 확인한 결과, 쿠팡 로그인 시스템상 토큰은 생성하고 즉시 폐기되는 상황임에도 토큰 생성에 필요한 서명정보를 담당직원 퇴사 시, 삭제하거나 갱신하지 않고 이를 방치하여 내부직원이 악용한 것이다.
쿠팡, KT 펨토셀 관리·감독 부실 판박이…· KT, 펨토셀 인증키 유효기간 10년
올해 KT 해킹사태로 KT 펨토셀의 관리·감독 부실 문제가 수면 위로 드러나면서 펨토셀 인증키 유효기간이 10년으로 밝혀진 바 있다. 마찬가지로 쿠팡도 장기 유효 인증키를 방치해 내부 직원이 이를 악용하여 3,370만건의 개인정보를 탈취한 셈이다.
최민희 위원장은 “서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다”며 “장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증체계를 방치한 쿠팡의 조직적·구조적 문제의 결과”라고 질책했다.
또, “KT 펨토셀 사태에서 드러난 장기 인증키 방치 문제가 쿠팡에서도 동일하게 재현된 것은 우리 기업들의 낮은 보안 책임 의식을 보여준다”며 “IT, 테크기업들은 인증키 로테이션을 포함해 전반적인 보안체계를 긴급히 재정비해야 한다”고 촉구했다.
해킹에 의한 정보 유출이 비단 쿠팡에 국한된 게 아니다. SKT, KT·LGU+·네카오·쿠팡·등 국내 굴지의 기업들이 해킹을 당했다. 국내는 물론 중국 심지어 북한에 까지 우리의 정보가 넘어갔다는 가정하에 정부와 민관이 보다 근본적인 대대적인 보완책이 시급히 나와야 한다. hpf21@naver.com
*아래는 위 기사를'구글 번역'으로 번역한 영문 기사의[전문]입니다. '구글번역'은 이해도 높이기를 위해 노력하고 있습니다.영문 번역에 오류가 있을 수 있음을 전제로 합니다.*The following is [the full text] of the English article translated by 'Google Translate'. 'Google Translate' is working hard to improve understanding. It is assumed that there may be errors in the English translation.
Choi Min-hee: "Coupang's 33.7 million personal information breach was a foreshadowed disaster caused by long-term neglect of valid authentication keys."
Access tokens expire (5-10 years), and long-term neglect without authorization or retrieval of tokens.
Break News, Political Reporter Kim Choong-Lyoul = The personal information breach at Coupang, involving 33.7 million personal information, is shocking. The hacking was possible because the valid authentication keys for signed access tokens issued to authentication personnel were left unattended for a long period of time, allowing the employees to exploit them even after leaving the company.
According to information received from Coupang on the 30th by Rep. Choi Min-hee (Democratic Party of Korea, Namyangju A), Chairperson of the National Assembly Science, ICT, Broadcasting and Communications Committee, Coupang avoided answering the question about the validity period of the authentication key exploited in this hack, citing a police investigation. However, Coupang responded that the validity period of the token signing key is "understandably often set to 5-10 years," and that "the rotation period is long and varies greatly depending on the key type."
In the recent Coupang hacking incident, the "token" required for login is like a one-time access card that opens a door, while the "signature key" is like a "seal" that stamps the entry card. Even with a pass, entry is impossible without an authentication stamp. However, if the signing key is left unattended for a long time, it's essentially like someone secretly stamping the signature key repeatedly.
Representative Choi Min-hee's office confirmed that, despite the fact that tokens are generated and immediately deleted in the Coupang login system, the signature information required for token generation was not deleted or updated upon the employee's departure, allowing internal employees to exploit the information.
Coupang mirrors KT's poor management and supervision of femtocells... · KT's femtocell authentication key validity period is 10 years
This year's KT hacking incident brought to light issues with KT's femtocell management and supervision, revealing that femtocell authentication keys were valid for 10 years. Similarly, Coupang neglected its long-term authentication keys, allowing internal employees to exploit them and steal 33.7 million pieces of personal information.
Chairwoman Choi Min-hee criticized the company, saying, "Renewing the signature key is a fundamental internal security procedure, but Coupang failed to adhere to it." She added, "The neglect of long-term authentication keys is not simply a misstep by an internal employee, but rather the result of organizational and structural problems within Coupang that led to a neglect of the authentication system."
He also said, "The fact that the long-term authentication key abandonment issue revealed in the KT femtocell incident has been replicated at Coupang demonstrates our companies' low sense of security responsibility," and urged, "IT and tech companies must urgently re-establish their overall security systems, including authentication key rotation."
The information leak caused by hacking isn't limited to Coupang. Leading domestic companies, including SKT, KT, LG Uplus, Necao, and Coupang, have also been hacked. Assuming that our information has been leaked not only to Korea but also to China and even North Korea, the government and the public sector must come up with more fundamental and comprehensive countermeasures. hpf21@naver.com
