국내 최대 이커머스 플랫폼 쿠팡이 또다시 뚫렸다. 지난 11월 6일부터 16일까지 약 열흘간, 4,536명의 고객 정보가 공격자의 손에 넘어갔다. 유출된 정보는 이름과 전화번호뿐만 아니라 배송 주소록, 최근 5건의 주문 내역 등 지극히 사적인 데이터였다. 그러나 이번 사건이 보안 업계에 던지는 충격파는 단순한 피해 규모에 있지 않다. 바로 공격자가 사용한 '무기'와 그로 인해 발생한 '탐지의 공백' 때문이다.
쿠팡 측은 "서명된 액세스 토큰(Signed Access Token)이 악용된 것으로 추정된다"며 "해당 토큰의 서명 키 정보를 모두 폐기했다"고 밝혔다. 이는 전통적인 아이디·비밀번호 해킹과는 차원이 다른, 현대적 웹 인증 구조의 근본적 딜레마를 드러낸 사건이다. 왜 쿠팡은 도둑이 제집 드나들듯 정보를 빼가는 동안 10일 넘게 까맣게 몰랐을까?
디지털 프리패스'의 배신… 서명된 토큰(JWT)의 맹점
사건의 핵심인 '서명된 액세스 토큰'은 오늘날 대다수 모바일 앱과 웹 서비스가 사용하는 'JWT(JSON Web Token)' 기술을 의미한다. 과거에는 사용자가 로그인하면 서버가 그 기록(세션)을 금고(DB)에 저장하고 매번 대조했다. 하지만 수천만 명이 동시에 접속하는 쿠팡 같은 하이퍼스케일 환경에서는 이 방식이 서버에 과부하를 준다.
대안으로 등장한 것이 바로 JWT다. 서버는 로그인한 사용자에게 '서명(Signature)'이 찍힌 토큰을 발급한다. 일종의 '디지털 자유이용권'이다. 사용자가 이 토큰을 제시하면, 서버는 DB를 뒤지는 대신 토큰에 찍힌 서명이 위조되지 않았는지만 확인하고 문을 열어준다. 효율성을 위해 도입된 이 '무상태(Stateless)' 방식이 이번엔 독이 됐다.
보안 전문가들은 "공격자가 정상적인 서명 키로 만들어진 토큰을 제시했다면, 서버 입장에서는 이를 막을 명분이 없다"고 지적한다. 즉, 공격자는 훔친 열쇠로 문을 따고 들어온 것이 아니라, 위조 혹은 탈취된 '정식 출입증'을 목에 걸고 당당하게 정문으로 들어온 셈이다. 서버 로그에는 '침입 경보(Error)'가 아닌 '정상 접속(200 OK)' 기록만 남게 된다. 쿠팡이 침해 사실을 인지하는 데 10일 이상 걸린 결정적 이유다.
"서명 키 전량 폐기"… 쿠팡은 왜 '핵버튼'을 눌렀나
쿠팡의 사후 조치 중 가장 눈에 띄는 대목은 "토큰 서명 키 정보를 모두 폐기했다"는 점이다. 이는 보안 사고 대응 단계에서 일종의 '핵버튼'을 누른 것과 같다.
서명 키는 토큰의 진위를 판별하는 원본 도장이다. 만약 이 키가 유출되었다면, 공격자는 로그인 과정 없이도 '관리자'나 '다른 사용자' 권한을 가진 토큰을 스스로 찍어낼(Forging) 수 있게 된다. 전문가들은 쿠팡이 서명 키를 폐기했다는 것은, 단순히 개별 사용자의 토큰이 탈취된 수준을 넘어 시스템의 신뢰 기반(Root of Trust) 자체가 위협받았다고 판단했기 때문이라고 분석한다.
서명 키가 폐기되면 기존에 발급된 모든 사용자의 토큰은 즉시 '휴지 조각'이 된다. 전 세계 쿠팡 이용자들이 강제 로그아웃되고 다시 로그인을 해야 하는 불편을 감수하고서라도, 공격자의 '복제된 열쇠'를 무력화시켜야 했던 긴박한 상황이었음을 시사한다.
'편의성'이 부른 '10일의 공백'… 법적 책임 공방 예고
정보통신망법은 침해 사고를 '알게 된 때'로부터 24시간 이내에 신고하도록 규정한다. 쿠팡은 인지 직후 신고하여 형식적인 법규는 준수했을지 모르나, "왜 12일간 몰랐느냐"는 기술적·관리적 책임론에서는 자유롭기 어렵다. 최민희 국회 과방위원장은 "침해 사고 사실을 12일간 알아채지 못했다는 것은 중대한 보안 관리 부실"이라고 질타했다.
문제는 '자동 로그인'의 편리함 뒤에 숨은 위험성이다. 사용자 편의를 위해 모바일 앱의 토큰 유효기간(Expiration Time)을 길게 설정하는 관행이 이번 사고 피해를 키웠다는 지적이 나온다. 유효기간이 긴 토큰은 한 번 탈취되면 공격자가 오랫동안 들키지 않고 피해자의 행세를 할 수 있는 '마스터키'가 된다.
"접속 권한(Who)을 넘어 행위(What)를 감시해야"
이번 쿠팡 사태는 "아이디와 비밀번호만 지키면 안전하다"는 기존 보안 상식이 붕괴되었음을 보여준다. 서명된 토큰은 효율적이지만, 한 번 발급되면 회수하기 어려운 '양날의 검'이다.
보안전문가들은 "이제는 '누가(Who)' 접속했느냐보다 '무엇(What)'을 하고 있느냐를 감시해야 한다"고 강조했다. 정상적인 토큰을 가지고 들어왔더라도, 평소와 다른 지역에서 접속하거나 짧은 시간에 수천 명의 주소록을 조회하는 '이상 징후(Anomaly Detection)'를 실시간으로 잡아내는 시스템이 필수적이라는 것이다.
쿠팡은 이번 사고 후 "탐지 규칙을 강화하고 모니터링을 확대했다"고 밝혔다. 하지만 '소 잃고 외양간 고치기'라는 비판은 피하기 어렵다. IT 강국 대한민국에서 벌어진 이번 '디지털 출입증 위조 사건'은, 효율성 만능주의에 빠진 플랫폼 기업들에게 '제로 트러스트(Zero Trust·아무도 믿지 않는다)'라는 무거운 보안 숙제를 남겼다.
Copyright ⓒ 저스트 이코노믹스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
