|
브랫 매티스 쿠팡 CISO는 2일 국회 과학기술정보방송통신위원회 현안질의에 출석해 "프라이빗 서명 키를 탈취한 공격자가 가짜 토큰을 만들어 다른 사용자인 것처럼 가장했다"고 밝혔다.
매티스 CISO는 "유출된 토큰은 고객이 정상 로그인 후 쿠팡 서비스를 사용하기 위해 지급되는 것"이라며 "현재 조사 결과 고객의 크레덴셜(비밀번호)이나 해시값, 패스워드 정보는 노출되지 않았다"고 설명했다.
그는 "쿠팡 내부의 프라이빗 서명 키를 취득한 것으로 보이며, 이 키를 인증해 가짜 토큰을 만들었다"며 "전 세계적으로 사용하는 표준 절차인 JWT를 사용하는 과정에서 발생했다"고 덧붙였다.
유출 범위에 대해서는 "공격자가 일부 API에만 접근했으며, 다른 API나 시스템에 접근한 증거는 찾지 못했다"고 말했다. 매티스 CISO는 "외부 API를 조작해 사용했고, 쿠팡 내부시스템의 로우레벨 데이터베이스에는 접근할 수 없었다"고 강조했다.
박대준 쿠팡 대표는 유출자의 동기나 신원에 대해서는 "경찰 수사가 진행 중이어서 답변하기 어렵다"며 "기술적 요소는 알고 있지만 직원의 동기에 대해서는 말씀드리기 곤란하다"고 답변을 회피했다.
이에 이준석 의원은 "고객정보 탈취가 목적인지 시스템 전체가 목적인지 판단해야 한다"며 "실망스러운 답변"이라고 질타했다.
조인철 의원은 "중국인이라는 점을 강조하며, 유출이 아닌 노출이라고 하는 등 안일한 대처로 더 큰 사고로 이어질 수 있다"고 지적했다.
보안업무 담당 부서의 국적 분포 제출 요구에 대해 박대준 대표는 "국적으로 직원을 평가하면 차별이 될 수 있다"며 제출을 거부했다. 이에 한 의원은 "국가안보나 기밀 관련 분야는 외국인 종사를 제한하는 게 당연하다"며 "민족차별이 아니라 검증되지 않은 사람의 접근을 차단하는 것"이라고 반박했다.
김범석 의장의 소재지를 묻는 질문에도 박 대표는 "글로벌 비즈니스를 담당하고 있다"며 "장소까지는 모르고 있다"고 답해 "사태가 이만큼 심각한데 실질 소유주의 거처를 모른다는 게 말이 되느냐"는 비판을 받았다.
박 대표는 "책임을 통감하고 있다"며 거듭 사과했으나, 6월 24일 유출이 시작됐는데 왜 이제야 알았느냐는 질문에는 "확인하고 보완해야 할 부분"이라고만 답했다.
사과문 게시 방식에 대한 지적에는 "배너 방식으로 하고 팝업 공지로 띄웠다"며 "현재 더 상세한 내용과 사과문을 이메일로 보낼 준비 중"이라고 해명했다.
이정렬 개인정보보호위원회 부위원장은 "정보통신망법상 신고의무를 비롯한 모든 조항은 해외법인이라도 우리 국민에게 미치는 영향이 있으면 적용 대상"이라며 "더 엄정하게 조사해 조치하겠다"고 말했다.
