이준석 "쿠팡, 대학 2학년 수준 보안 설계마저 간과"

등록 2025.12.03 10:02:20수정 2025.12.03 12:25:56

[서울=뉴시스] 사진은 기사 내용과 관련 없음. 이준석 개혁신당 대표가 27일 오전 서울 여의도 국회에서 열린 최고위원회의에서 발언을 하고 있다. 2025.11.27

[서울=뉴시스]김수빈 인턴 기자 = 이준석 개혁신당 대표가 쿠팡의 대규모 정보 유출 사태에 대해 "대학교 2학년 수준의 설계 원칙을 간과했다"고 지적했다.

이 대표는 지난 2일 국회 과학기술정보방송통신위원회(과방위)에서 쿠팡 사태 긴급 현안질의가 끝나자 페이스북에 의견을 남겼다.

그는 "시작은 키 탈취였지만 그 키를 만능키로 만들어준 것은 잘못된 유저-인증시스템 설계였다", "대학교 2학년 수준의 수업에서 알려주는 설계 원칙을 간과했던 것"이라고 지적했다.

당초 쿠팡 측은 "프라이빗 서명 키를 탈취한 공격자가 가짜 토큰을 만들어 다른 사용자인 것처럼 가장했다"고 밝혔다.

이 대표는 이를 언급하며 "'아무리 키가 털렸다 한들, 해커가 수천만 명의 사용자 계정을 뚫으려면 각 사용자의 '이메일 주소'를 다 알고 있어야 대입해 볼 수 있는 것 아닌가? 그 방대한 이메일 리스트는 애초에 어떻게 확보했는가'하는 의문이 들었다"고 말했다.

이어 의문을 풀기 위해 질의를 이어갔다며 자신이 밝혀낸 구조적 결함 두 가지를 설명했다.

첫 번째 결함은 내부 데이터베이스의 사용자 식별값(Primary Key)을 암호화된 난수나 랜덤 값이 아닌 순서대로 1씩 늘어나는 정수(Auto Increment Integer)로 설정해두고 있었다는 것.

이에 이 대표는 "숫자 1부터 차례대로 대입만 하면, 모든 사용자의 계정을 특정할 수 있었다"며, "만약 이를 예측 불가능한 값으로만 설계했더라도, 키가 탈취된 것만으로는 수천만 명의 정보가 통째로 털리는 일은 막을 수 있었을 것"이라 지적했다.

두 번째 결함은 내부에서만 써야 할 API가 밖으로 열려 있었다는 점이다.

그는 "숫자(PK)만 넣으면 인증 토큰을 내어주는 이런 API는, 보통 시스템 내부의 마이크로서비스(Microservices) 간 통신에나 사용돼야 한다"며, "서로 신뢰하는 내부 서버끼리만 쓰고 닫아뒀어야 할 이 API가, 황당하게도 일반 인터넷에서 누구나 접근 가능한(Public) 상태로 열려 있었다"고 설명했다.

이어 "이번 사태는 단순한 '관리자 키 분실' 사고가 아니다. '누구나 예측 가능한 번호표를 달아놓고, 직원 전용 출입구를 활짝 열어둔 것'과 다름없는, 안일한 보안 아키텍처가 불러온 예견된 인재(人災)"라고 비판했다.

그러면서 "국민의 데이터를 다루는 거대 플랫폼이 이런 기초적인 보안 설계를 놓치고 있었다는 점, 매우 뼈아픈 대목이다. (과방위 위원으로서) 끝까지 책임을 묻고 근본적인 대책을 챙기겠다"고 덧붙였다.

◎공감언론 뉴시스 [email protected]