[서울=뉴시스]김수빈 인턴 기자 = 이준석 개혁신당 대표가 쿠팡의 대규모 정보 유출 사태에 대해 "대학교 2학년 수준의 설계 원칙을 간과했다"고 지적했다.
이 대표는 지난 2일 국회 과학기술정보방송통신위원회(과방위)에서 쿠팡 사태 긴급 현안질의가 끝나자 페이스북에 의견을 남겼다.
그는 "시작은 키 탈취였지만 그 키를 만능키로 만들어준 것은 잘못된 유저-인증시스템 설계였다", "대학교 2학년 수준의 수업에서 알려주는 설계 원칙을 간과했던 것"이라고 지적했다.
당초 쿠팡 측은 "프라이빗 서명 키를 탈취한 공격자가 가짜 토큰을 만들어 다른 사용자인 것처럼 가장했다"고 밝혔다.
이 대표는 이를 언급하며 "'아무리 키가 털렸다 한들, 해커가 수천만 명의 사용자 계정을 뚫으려면 각 사용자의 '이메일 주소'를 다 알고 있어야 대입해 볼 수 있는 것 아닌가? 그 방대한 이메일 리스트는 애초에 어떻게 확보했는가'하는 의문이 들었다"고 말했다.
이어 의문을 풀기 위해 질의를 이어갔다며 자신이 밝혀낸 구조적 결함 두 가지를 설명했다.
첫 번째 결함은 내부 데이터베이스의 사용자 식별값(Primary Key)을 암호화된 난수나 랜덤 값이 아닌 순서대로 1씩 늘어나는 정수(Auto Increment Integer)로 설정해두고 있었다는 것.
이에 이 대표는 "숫자 1부터 차례대로 대입만 하면, 모든 사용자의 계정을 특정할 수 있었다"며, "만약 이를 예측 불가능한 값으로만 설계했더라도, 키가 탈취된 것만으로는 수천만 명의 정보가 통째로 털리는 일은 막을 수 있었을 것"이라 지적했다.
두 번째 결함은 내부에서만 써야 할 API가 밖으로 열려 있었다는 점이다.
그는 "숫자(PK)만 넣으면 인증 토큰을 내어주는 이런 API는, 보통 시스템 내부의 마이크로서비스(Microservices) 간 통신에나 사용돼야 한다"며, "서로 신뢰하는 내부 서버끼리만 쓰고 닫아뒀어야 할 이 API가, 황당하게도 일반 인터넷에서 누구나 접근 가능한(Public) 상태로 열려 있었다"고 설명했다.
이어 "이번 사태는 단순한 '관리자 키 분실' 사고가 아니다.
그러면서 "국민의 데이터를 다루는 거대 플랫폼이 이런 기초적인 보안 설계를 놓치고 있었다는 점, 매우 뼈아픈 대목이다. (과방위 위원으로서) 끝까지 책임을 묻고 근본적인 대책을 챙기겠다"고 덧붙였다.
☞공감언론 뉴시스 soo4593@newsis.com <저작권자ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지.>