【 청년일보 】 브랜 메티스 쿠팡 정보보호최고책임자(CISO)가 고객 정보 유출을 일으킨 공격자가 '가짜 토큰'을 활용해 고객을 사칭해 민감한 API에 접근했다고 밝혔다.

2일 국회 과학기술정보방송통신위원회에서 브랜 메티스 CISO는 이준석 개혁신당 의원과의 질의응답 과정에서 이와 같이 설명했다.

이 의원은 브랜 매티스 CISO에 "이번 공격이 고객 정보 탈취에 목적이 있는 것인지, 쿠팡 전체 시스템 탈취에 목적이 있었는지 반드시 파악해야 한다"며 "범죄에 악용된 인증키의 성격이 무엇인가?"라고 질의했다.

이에 브랜 매티스 CISO는 "정보보안책임자로서, 공격 과정에서 기술적 요소가 어떻게 전개됐는지 알고 있지만, 경찰의 수사가 진행 중인 사안으로 직원의 동기에 대해서는 언급할 수 없다"고 말했다.

그는 "현재 조사에 따르면, 공격자는 탈취한 서명키를 활용해 마치 다른 사용자인 것처럼 가장해 서버에 접근했다"며 "모든 쿠팡 인증토큰은 프라이빗 킷(Private key, 암호화된 코드)를 서명함으로서 확인이 되는데, 제3자가 쿠팡의 프라이빗 키를 활용해 가짜 토큰을 만든 것"이라고 설명했다.

또한 "지금까지는 이를 통해 사용자의 패스워드를 재설정하는 등의 일은 발생하지 않을 것"이라며 "그간 쿠팡 내 서버 로그를 확인한 결과, 공격자는 이 가짜 토큰을 활용해 제한적인 정보만 취득할 수 있는 일부 API에만 접근한 것으로 확인됐으며, 이에 여타 정보가 유출될 가능성은 낮다"고 부연했다.

브랜 매티스 CISO는 공격자가 로우 데이터(Raw data, 가공되지 않은 1차 데이터)에 접근할 가능성도 희박하다고 봤다.

그는 "쿠팡 서버에 접근할 때 쿠팡 내부가 아닌 외부에 있는 API를 사용했기 때문에 다른 로우 데이터를 접근할 수는 없다"고 말했다.

다만, 브랜 매티스 CISO는 수사가 진행 중인 사안이라고 전제하면서도, 공격자가 쿠팡에 재직할 당시 상당한 권한을 가지고 있었다고 인정했다.

그는 "수사 중인 사안이기 하지만, 이 사람이 정말 연계된 사람이라면, 그는 프리빌리지드 엑세스(Privileged access, 조직의 중요 시스템, 데이터, 애플리케이션에 대한 높은 권한)가 있었다는 것"이라고 밝혔다.

이 의원은 이에 대해 공격자가 시스템에 대한 이해도가 상당하다는 점이 우려된다면서, 더 높은 차원의 공격 시도가 있었는지에 관해 면밀히 파악해야 한다고 말했다.

【 청년일보=김원빈 기자 】