브랫 매티스 쿠팡 최고정보보호책임자(CISO)가 2일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회의 쿠팡 개인정보 유출 사고 관련 현안질의에 앞서 고개를 숙이고 있다. /뉴시스

[더팩트 | 손원태 기자] 브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 대규모 고객정보 유출 사고 관련해 "공격자로 생각되는 사람이 훔친 서명 키를 사용해 실제 키에 서명을 해서 다른 사용자차럼 가장한 것"이라고 밝혔다.

매티스 CISO는 2일 국회 과학기술정보방송통신위원회 긴급 현안질의에서 이준석 개혁신당 의원의 질의에 "공격자가 어떻게 데이터베이스에 접근해 정보를 취득했나"라는 질문에 이같이 답했다.

그는 "정상적인 고객에게 발급되는 인증 토큰을 매개하는 서명 키를 탈취해 실제 고객인 것처럼 가장한 것이 핵심"이라며, 해당 서명키가 "사용자의 신원을 확인하는 기반 기술"이라고 설명했다.

이어 "공격자는 이 서명키로 가짜 토큰을 생성해 인증 절차를 통과했다"며 "이 과정이 비밀번호, 크레덴셜(인증 키) 등의 정보 노출을 의미하진 않는다"고 했다.

또한 "비밀번호 초기화나 재설정에 악용된 정황도 발견되지 않았다"고 덧붙였다.

아울러 "공격자가 쿠팡에 접속할 때 쿠팡 내부가 아닌 외부 API를 조작해서 접근했다"며 "쿠팡 내부 로우데이터(미가공 원본정보)에는 접근할 수 없었다"고 답했다.

공격자의 동기나 내부 서명키가 탈취된 경위에 대해서는 "수사 중으로 드릴 말씀은 없다"고 말했다.

tellme@tf.co.kr