쿠팡 서명키로 액세스 토큰 만든게 맞는 것 같네요

"공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했다"라며 "이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 사용됐다"라고 설명했다. https://www.yna.co.kr/view/AKR20251202062351017?section=industry/all

오늘 나온 뉴스 보니 제가 생각한 대로 서명키 이용해서 액세스 토큰 만들어가지고 빼낸 것이 맞는 것 같네요. 이게 JWT 같은 stateless라면 sateful session 방식 대비 탐지하기도 힘들기에 stateless token이 맞다면 탐지가 안된 것도 설명이 가능하고요.