쿠팡 '해킹 10일의 침묵' 왜?··· 복제된 디지털 만능키로 걸어 들어와
쿠팡 측은 "서명된 액세스 토큰(Signed Access Token)이 악용된 것으로 추정된다"며 "해당 토큰의 서명 키 정보를 모두 폐기했다"고 밝혔다.
사용자가 이 토큰을 제시하면, 서버는 DB를 뒤지는 대신 토큰에 찍힌 서명이 위조되지 않았는지만 확인하고 문을 열어준다.
보안 전문가들은 "공격자가 정상적인 서명 키로 만들어진 토큰을 제시했다면, 서버 입장에서는 이를 막을 명분이 없다"고 지적한다.
뉴스픽의 주요 문장 추출 기술을 사용하여 “저스트 이코노믹스” 기사 내용을 3줄로 요약한 결과입니다. 일부 누락된 내용이 있어 전반적인 이해를 위해서는 본문 전체 읽기를 권장합니다.
