[서울이코노미뉴스 박희만 기자] 쿠팡의 3370만명 개인정보 유출사태가 발생하면서, 사건의 핵심원인으로 지목된 토큰(token) 과 서명키(프라이빗 키) 개념이 논란의 중심에 떠올랐다.
사건 초기에는 서명키 교체주기 문제에서 시작해, 키 보관 및 접근 통제체계 전반의 허점까지 지적되면서 향후 쿠팡의 책임범위를 결정할 주요쟁점으로 부상하고 있다.
토큰은 사용자가 로그인할 때 발급받는 디지털 ‘출입증’ 역할을 한다. 서명키는 이 토큰이 기업이 발급한 ‘진짜’임을 검증하는 일종의 ‘도장’이다.
서버는 서명키로 검증된 토큰을 근거로 사용자가 정상적인 인증절차를 거친 올바른 사용자라고 판단한다.
문제는 쿠팡처럼 서명키 자체가 외부에 유출됐을 때다. 공격자는 일부 사용자의 등록번호만 변경해도 정상사용자와 구분되지 않는 토큰을 직접 생성할 수 있다.
이 경우 비밀번호나 OTP 같은 추가 인증절차 없이도 정상 요청처럼 위장할 수 있어, 기업 입장에서 탐지하기가 극히 어려워진다.
브렛 매티스 쿠팡 최고정보보호책임자(CISO)는 지난 2일 국회 과학기술정보방송통신위원회 현안 질의에서 “서명키가 도용돼 공격자가 정상 사용자처럼 가장한 것으로 파악하고 있다”며 “탈취 경로는 조사 중”이라고 밝혔다.
퇴사자 권한 회수 여부와 관련해서는 “이미 회수됐다”고 답했다.
서명키 유출과 함께 ‘교체 주기’ 문제도 비판의 대상이 되고 있다. 일각에서는 “1년에 한 번은 교체했어야 한다”는 지적이 나오고 있지만, 이를 절대적인 기준으로 보기는 어렵다.
실제로 일부 기업과 기관은 서명키를 수년 단위로 운용하기도 한다. 쿠팡도 초기 답변에서 “키 유효기간을 5년~10년으로 설정하는 사례도 있다”고 언급했다.
원칙적으로 보관환경이 안전하고 접근통제가 철저하다면, 장기 사용이 곧 문제로 직결되지는 않는다.
그러나 최근 산업계의 흐름은 다르다.
AWS, 구글, 마이크로소프트 등 주요 글로벌 클라우드 업체들은 자사관리형 KMS(Key Management Service) 키의 자동회전 주기를 1년으로 설정해 제공하며, 일부 서비스 계정키는 90일내 교체를 권장하고 있다.
개발환경이 빠르게 바뀌고 애플리케이션 배포주기가 짧아지면서, 키 노출 가능성을 ‘제로’로 보기 어렵다는 판단 때문이다.
업계에서도 더 짧은 주기로 키를 교체하는 것이 바람직하다는 의견이 확산되는 추세다.
보안 전문가들은 이번 사태와 관련해 “핵심 논점은 ‘1년이냐 5년이냐’의 문제가 아니라, 키가 어떤 환경에서 저장됐고 접근권한이 어떻게 관리됐는가에 있다”고 강조한다.
이를 위해 최근 많은 기업이 HSM(Hardware Security Module) 및 KMS(Key Management System)를 도입하고 있다.
HSM은 암호키를 장비 내부에서만 생성·저장·사용하도록 설계된 물리적 보안장치로, 키 원문이 외부에 노출될 가능성을 크게 낮춘다.
KMS는 소프트웨어 기반으로 키 생성·폐기, 접근정책, 감사기록 등을 중앙에서 관리해 개발자나 운영자가 파일형태로 키를 복사·반출하는 위험을 줄여준다.
쿠팡이 HSM이나 KMS를 사용했는지는 확인되지 않았다. 서명키가 유출됐다는 사실만으로 해당시스템을 쓰지 않았다고 단정하기는 어렵다.
다만 서명키가 외부로 유출되었다면, 파일형태로 키가 존재하고 여러 시스템에 복제된 개발환경이었을 가능성이 제기된다.
한편에서는 인증시스템 담당개발자가 퇴사하며 키를 반출했다면 사실상 막을 방법이 없었다는 분석도 나온다. 실제 공격방식은 향후 수사를 통해 규명될 전망이다.
결국 쿠팡의 책임을 가를 핵심은 서명키 보관환경, 접근 통제체계, 키 교체·폐기 절차의 적정성이 될 것으로 보인다.
앞서 박대준 쿠팡 대표는 국회 질의에서 “퇴직자 권한은 말소했다”고 밝혔지만, 서명키가 개발·테스트 환경에서 여러 인력이 접근할 수 있는 구조였다면 관리부실 논란은 피하기 어려울 것으로 보인다.