해킹보다 무서운 내부자 보복, 쿠팡은 퇴사자 서명키 악용...미국은 해고 통보 중 정부 데이터베이스 삭제

요약	- 쿠팡 개인정보 유출, 미국 정부 데이터베이스 삭제 등 퇴사자(또는 내부자)의 보복성 보안 사고가 발생 - 기업은 접근권한 관리, 퇴사자 통제, 키 관리, 이상행위 탐지 등 관련 위협에 대한 대응 필요
내용	- 미국 정부 시스템을 운영하던 계약업체 직원이 해고 통보 과정에서 정부 데이터베이스 삭제 > 25.02.18 해당 직원을 해고하는 과정에서 접근권한을 먼저 차단하지 않아 악의적으로 데이터베이스에서 자료 삭제 > 미 법무부는 정보공개법 관련 기록과 정부기관의 민감 수사 파일 등이 포함된 약 96개의 미국 정보 데이터베이스를 삭제한 것으로 판단 > 맨디언트 조사 보고서에는 30개 이상의 데이터베이스 파괴, 정부 프로젝트 관련 파일 1,805개 반출 정황 확인 > 회사 자체 조사 결과 정부기관이 기록을 처리하고 관리하는 주요 소프트웨어 시스템 2개 중단, 일부 데이터 영구 손실 > 26.05.07 컴퓨터 사기 공모, 비밀번호 거래, 금지자의 총기 소지 혐의로 유죄 평결 ※ 해당 직원은 2015년 컴퓨터 범죄 관련 행위로 징역형을 선고 받은 이력이 있으며, 이를 확인한 회사가 해고 절차에 들어간 것 - 쿠팡에서 퇴사한 개발자가 내부 서명키를 이용해 위조 로그인 토큰을 생성, 25.04~25.11 고객 정보에 접근 > 정부 조사 결과 쿠팡은 퇴사자가 악용한 내부 서명키를 즉시 폐기하거나 교체하지 못함 > 이름, 이메일, 전화번호, 주소, 최근 주문 정보 등이 유출되었으며, 약 3,367만 명이 피해 - 두 사건 모두 내부자가 이미 알고 있던 시스템 구조와 남아 있던(또는 회수되지 않은) 권한과 인증 수단을 이용 > 기존의 외부 침입 차단 중심 보안 체계만으로는 피해를 막기 어려움 > 또한, 퇴사자 계정 삭제 수준의 조치만으로 충분하지 않음을 보여줌 > 계정은 삭제되어도 서명키, API 키, 세션 토큰, 데이터베이스 접속 정보, 내부 시스템 구조에 대한 이해 등은 여전히 유지 - 내부자 보복 사고는 갑작스러운 대량 조회/복사, 평소와 다른 시간대 접속, 퇴사 예정자의 민감 데이터 접근 등 사전 징후를 보임 > 내부자 위협 대응을 별도 정책으로 세분화 (해고 통보 전 계정 차단, 권한 회수 등이 먼저 이루어져야 함) > 개발자와 운영자의 권한 분리, 서명키/인증키의 경우 개인이 장기간 보유하지 못하도록 하고 정기적 교체, 즉시 폐기 등의 조치 > 중요 데이터베이스 삭제, 대량 다운로드, 권한 상승, 로그 삭제 명령은 실시간 차단과 이중 승인 대상으로 변경
기타	- 두 사건은 내부자 위협이 더 이상 보안부서만의 문제가 아님 > 접근권한 관리, 퇴사자 통제, 키 관리, 이상행위 탐지가 기업 보안의 핵심 과제임을 보여줌

 

보안뉴스

해킹보다 무서운 내부자 보복, 쿠팡은 퇴사자 서명키 악용...미국은 해고 통보 중 정부 데이터베