박대준 쿠팡 대표이사가 2일 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 쿠팡 침해사고 관련 현안 질의에서 생각에 잠겨 있다. 2025.12.2/뉴스1 ⓒ News1 신웅수 기자 (서울=뉴스1) 김민수 이기범 기자 = 쿠팡이 고객정보 대규모 유출과 관련해 용의자가 보안 임계치를 계산·접근해 탐지가 어려웠다고 설명했지만 핵심을 비껴간 해명이라는 지적이 나온다. 서버 서명키의 갱신 기간, 용의자의 퇴사 여부에 상관없이 유효한 서명키가 외부 유출된 건 명백한 내부 보안 체계 결함이라는 골드몽릴게임릴게임 이유에서다. 무엇보다 관련 직원 퇴사 시, 사용하던 서명키를 폐기하는 보안 기본 절차를 지키지 않은 게 이번 사건의 핵심으로 지목된다. 유효 서명키 유출…관리 시스템 구멍 사태의 발단은 사용 가능한 서명키(프라이빗키)의 외부 유출이다. 2일 열린 국회 과학기술정보방송통신위원회 긴급 현안질의에서 쿠팡은 내 야마토통기계 부 개발자가 서명키(프라이빗키)를 획득해 정보가 유출됐다고 인정했다. 쟁점은 갱신 기간과 상관없이 계속 사용 가능한 서명키 정보가 어떻게 유출됐는지다. 여러 경로가 있겠지만 암호화 된 정보라도 이를 복호화하거나 재사용할 수 있는 권한이 인증 개발자에게 부여돼 있었을 가능성을 생각해볼 수 있다. 이 경 알라딘릴게임 우 쿠팡의 서명키 관리 시스템 자체가 제대로 작동하지 않았다는 추정이 가능하다. 탐지 왜 못했나?…모니터링 시스템 부재 비정상적인 접근을 왜 탐지하지 못했는지도 따져봐야 할 쟁점이다. 쿠팡은 공격자가 이용한 서명키 갱신 기간이 도래하지 않았다는 점, 여러 IP를 동원해 보안 임계치 아래서 접근해 탐지가 불가능했다고 설명했 바다이야기합법 다. 보안 임계치 아래의 접근이어서 탐지가 어려웠다는 설명은 모니터링 실패를 온전히 설명하지 못한다. 여기서의 보안 임계치는 서명키 인증과정이 차단되는 횟수 등을 계산해 IP를 바꿔 접근했다는 의미로 해석된다. 문제는 이같은 이유로 탐지가 어려웠다 해도 고객 정보 대규모 조회 및 이동은 모니터링 과정에서 파악이 가능하다는 릴게임방법 점이다. 정상적인 모니터링 시스템이라면 누가, 언제, 무엇을, 얼마나 조회했는지 로그를 수집하고 평소보다 큰 조회량이나 해외 IP 등 이상징후가 탐지되면 차단하도록 설계됐다. 접근을 허용했다 하더라도 이 모니터링 시스템이 제대로 작동하지 않아 5개월간 유출 사실을 몰랐다면 쿠팡 보안 체계에 심각한 결함이 있었다는 분석이 나올 수 있다. 인증 개발자 퇴사했는데 서명키 폐기·삭제는? 쿠팡은 내부 관리자가 계획적으로 유효 서명키를 빼돌려 정보 유출 방어가 어려웠다는 취지로 해명했지만 이 역시 본질을 비껴간 설명이라는 지적이다. 퇴직자의 계정 권한 말소와 상관없이 인증 개발자 인력이 나갔다면 사용하던 서명키를 폐기하고 신규 키를 발급해 위험요인을 차단해야 한다. 김용대 카이스트 ICT석좌 교수는 "퇴사가 이뤄지면 전자서명 암호키나 인증 토큰 등도 같이 처리했어야 한다"고 말했다. 그런데 쿠팡은 갱신 시기가 도래하지 않았다는 이유로 기존 키를 그대로 유지했다. 이 실책이 이번 사태의 가장 중요한 포인트라고 볼 수 있다. 갱신기간 관리에는 문제가 없었다는 쿠팡 해명은 이번 사고와 사실 큰 연관성이 없다. 김승주 고려대 교수는 이날 현안 질의에서 "호텔에 들어갈 때 주민등록증 등으로 신원확인을 한 뒤 방 열쇠를 발급 받는다. 그 방 열쇠를 발급하는 비밀번호를 내부 개발자가 갖고 나간 상황으로 이해하면 된다"며 사건의 핵심을 간단하게 정리하기도 했다. kxmxs4104@news1.kr