|
이는 지난 8월 발생한 KT 무단 소액결제 사고와 그대로 겹친다. 당시 불법 펨토셀(소형 기지국 장비)로 가입자 정보가 유출된 KT는 19만여 개 펨토셀이 모두 동일한 인증서를 사용했으며, 특히 인증서 유효 기간을 10년으로 설정해 인증 관리가 전반적으로 부실했던 것으로 드러났다. 이는 해커가 인증서 단 하나만 탈취해도 쉽게 복사해 내부망으로 연동할 수 있었던 결정적 경로가 됐다.
인증키는 내부 시스템 접속 권한을 생성할 수 있는 핵심 보안 장치로, 시스템에 드나들 수 있는 출입증(액세스 토큰)을 발급해주는 도장과 같다. 그만큼 해커들의 공격 우선순위기도 하다. 이 때문에 인증키를 주기적으로 교체하고, 구성원 이동이나 퇴사자 발생시 기존 권한을 즉시 말소하는 것이 기본적인 보안 원칙이다.
|
모 기업에서 정보보호책임자(CISO)를 지낸 한 보안 전문가는 “보통 인증키는 1년에 한 번씩은 바꿀 것을 권장하는데, 비단 쿠팡뿐 아니라 많은 기업들이 인증키를 자주 바꾸지 않는다”며 “인증키를 바꿀 때마다 해당 키에 연결된 시스템과 관리자 권한을 일일이 확인해야 하는 번거로움 때문”이라고 설명했다.
또 다른 보안 업계 관계자는 “관리자가 바뀔 때마다 유효 인증키와 접근 권한 정책을 자동으로 설정해주는 기술이 그리 어려운 기술도 아니다”라며 “결국 보안을 투자가 아닌 비용으로 보고 편의만 생각해 소홀히 하는 인식이 문제”라고 지적했다.
업계는 인증키 유효 기간을 대폭 단축하거나 OTP(일회용 비밀번호) 등 자동 갱신 형태로 관리 체계를 고도화할 필요가 있다고 제언한다. 실제 KT의 경우 펨토셀 해킹 사고 이후 긴급 보안 업데이트를 단행해 인증서 유효 기간을 10년에서 1개월로 단축하고, 개인키를 암호화해 저장하는 방식으로 접근을 제한한 상태다.
출입문 하나만 막으면 되는 과거 경계성 보안 모델에서 개별 시스템마다 접근권한을 촘촘히 설정하는 ‘제로트러스트’ 보안 모델로 서둘러 진화해야 한다는 지적도 나온다.
조영철 한국정보보호산업협회 회장은 “쿠팡도, KT도 고도화된 보안 위협을 막지 못한 게 아니라 결국 시스템 부재와 관리 소홀이 근본 원인”이라며 “모든 접근권한을 신뢰하지 않는 제로트러스트를 관리적 측면에서도 도입해야 한다”고 강조했다.
