3,000만 계정, 5개월간 털렸다!... 쿠팡 보안이 무너진 진짜 이유

[최보식의언론=이창원 객원논설위원]

지금까지 나온 정보를 종합하면 해킹이랄 것도 없고 시스템 설계가 총체적인 오류 상황이다. 초보자가 챗GPT로 만든 코드가 아닐까 싶다. 

뉴스에서 보듯이 자료 유출은 6월 부터 11월까지 5개월간 계속 됐다. 왜 이렇게 오래 걸렸냐 하면 3,000만 개 계정을 전부 로그인해서 자료를 빼갔기 때문이다.

요즘 대부분의 사이트는 로그인 정보를 웹브라우저나 앱에 저장했다가 일정 시간 안에 로그인할 때 이 정보를 가지고 암호 없이 재로그인을 한다. 이를 '로그인 토큰'이라고 부른다. 

여기에는 사용자의 시스템 고유ID(사용자가 정하는 것이 아니라 가입시 시스템에 결정) 및 기타 시스템이 필요한 정보를 담고 있다. 당연히 암호화되어 있다.

쿠팡의 경우 이 암호화를 하는 마스터키가 외부로 새 나갔다.(또는 마스터키에 접근한 통로가 열려 있었다) 해커는 이 마스터키와 시스템 고유ID를 조합해서 모든 사용자의 로그인 토큰을 생성했다. 

시스템 고유ID는 유추하기 어려운 난수로 만드는 것이 보통인데 쿠팡은 그냥 일련번호를 사용했다고 한다.

그러니 해커는 1부터 3천 몇 백만까지 숫자를 넣고 모든 사용자의 로그인 토큰 키를 생성 쿠팡에 로그인하여 정보를 하나씩 다운받은 것이다. 그래서 5개월이나 걸렸다. 

쿠팡의 시스템 오류는 첫째 마스터키를 개발자가 볼 수 있었다거나 접근 할 수 있었다는 것, 둘째 시스템 고유ID 가 일련번호로 되어 있다는 것, 셋째 로그인 토큰으로 로그인하는 것은 최초 아이디 비번 로그인이 있을 경우만 가능한 것인데 처음부터 토큰만으로 로그인이 가능했다는 것, 넷째 비정상 로그인 탐지가 전혀 동작하지 않았다는 것 등이다. 백 가지도 더 지적할 수 있지만 간단하고 큰 부분만 이정도다.

쿠팡이 무슨 근거로 이런 저런 자료가 유출되었다고 특정하는지 모르겠는데, 이런 식으로 각자 로그인을 하는 방식으로 자료를 빼갔으면 사용자가 로그인 후 볼 수 있는 모든 정보를 다 빼갔다고 봐야 맞다. 그러니까 쿠팡은 정확히 무슨 정보가 유출 되었는지 모르는 것이다.

#쿠팡보안참사 #마스터키유출 #시스템설계오류