이준석 "쿠팡, 대학 2학년 수준 설계원칙 간과…내부 문이 밖으로 열려"

이준석, 국회 현안 질의 후 "예견된 인재"
"쿠팡, 사용자 식별 값 난수 설정 안 해"
"API, 누구나 접근 가능하게 열어놔"

쿠팡의 개인정보 유출 사태가 공분을 낳고 있는 가운데, 이준석 개혁신당 대표는 "예견된 인재"라고 지적했다. 이 대표는 2일 국회 과학기술정보방송통신위원회 현안 질의 후 자신의 사회관계망서비스(SNS)를 통해 "오늘 쿠팡의 인증키 유출이 왜 수천만 명 규모의 대규모 개인정보 유출로 이어졌는지 규명해냈다"고 밝혔다.

이준석 개혁신당 대표가 쿠팡의 개인정보 유출 사태에 대해 "예견된 인재"라고 지적했다. 아시아경제DB

하버드대 컴퓨터과학 학사 출신인 이 대표는 "(유출의) 시작은 키 탈취였지만 그 키를 만능키로 만들어준 것은 잘못된 유저-인증시스템 설계였다"며 "대학교 2학년 수준의 수업에서 알려주는 설계 원칙을 간과했던 것"이라고 말했다.

이 대표는 "쿠팡 측은 처음에 '인증 토큰을 만드는 키가 탈취된 것이 문제'라고 해명했다. 그런데 아무리 키가 털렸다 한들, 해커가 수천만 명의 사용자 계정을 뚫으려면 각 사용자의 이메일 주소를 다 알고 있어야 대입해 볼 수 있는 것 아닌가"라며 "'그 방대한 이메일 리스트는 애초에 어떻게 확보했는가'에 대한 의문을 풀기 위해 질의를 이어갔다"고 했다. 이어 "결국 쿠팡 보안 시스템의 치명적인 구조적 결함 두 가지를 밝혀냈다"며 "먼저 이메일이 아니라 숫자만 알면 됐다. 쿠팡은 내부 데이터베이스의 사용자 식별 값을 암호화된 난수나 랜덤 값이 아닌 순서대로 1씩 늘어나는 정수로 설정해두고 있었다"고 했다.

그는 "즉 해커는 굳이 이메일을 알아낼 필요가 없었다. 그저 숫자 1부터 차례대로 대입만 하면, 모든 사용자의 계정을 특정할 수 있었던 것"이라며 "만약 이를 예측 불가능한 값으로만 설계했더라도 키가 탈취된 것만으로는 수천만 명의 정보가 통째로 털리는 일은 막을 수 있었을 것"이라고 꼬집었다.

또 "내부에서만 써야 할 문이 밖으로 열려 있었다. 숫자만 넣으면 인증 토큰을 내어주는 이런 API(애플리케이션 프로그래밍 인터페이스)는, 보통 시스템 내부의 마이크로서비스 간 통신에나 사용돼야 한다"며 "서로 신뢰하는 내부 서버끼리만 쓰고 닫아뒀어야 할 이 API가, 황당하게도 일반 인터넷에서 누구나 접근 가능한 상태로 열려 있었다"고 주장했다.

그러면서 "결국 이번 사태는 단순한 관리자 키 분실 사고가 아니다. 누구나 예측 가능한 번호표를 달아놓고, 직원 전용 출입구를 활짝 열어둔 것"이라며 "끝까지 책임을 묻고 근본적인 대책을 챙기겠다"고 강조했다.

박대준 쿠팡 대표와 브랫 매티스 쿠팡 CISO가 2일 국회 과학기술정보방송통신위원회 전체회의에서 열린 현안질의에 출석하고 있다. 김현민 기자

이날 국회 현안 질의에 참석한 박대준 쿠팡 대표는 대규모 정보 유출과 관련해 "책임을 회피할 생각이 없다"면서도 "아직 2차 피해는 없는 것으로 안다"고 말했다. '유출과 노출 가운데 어느 게 맞느냐'는 신성범 국민의힘 의원 질의에는 "유출이 맞다"고 밝혔다. 앞서 쿠팡은 고객에 보낸 메시지를 통해 '노출'이라는 표현을 썼다. 브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 퇴직 직원의 범행 방법에 대해 "공격자라고 생각되는 사람은 훔친 서명키를 사용해서 다른 사용자인 것처럼 가장했다"며 "쿠팡 내부에 있는 프라이빗 서명키를 취득한 후 이 키를 인증해 가짜 토큰을 만든 것"이라고 설명했다.

김성욱 기자 abc123@asiae.co.kr