국회 질의 나오는거 보면 고객용 JWT 가지고 턴 것 같네요

이게 쿠팡 고객용 JWT 토큰 구조인데 여기 어딘가에 고객 관련 정보가 있습니다. 제가 봤을때는 sub 고객 관련 정보가 있는 것으로 봅니다. 쿠팡은 member_srl(멤버 시리얼의 준말이겠죠. 아마) 쿠키도 존재하는데 그 쿠키값이 sub 값이랑 완전히 동일했거든요.

범인이 서명키를 가지고 있었다면 그 서명키를 통해서 저의 액세스 토큰도 만들 수 있고, 님들의 액세스 토큰도 만들어 낼 수도 있었고, 그걸 이용해서 턴 걸로 보입니다.

국회 질의 보는데 토큰 언급을 할때 고객이라는 언급이 등장하더라고요.

서명키 갱신하는 것도 갱신해버리면 단체로 로그아웃 되니 갱신을 안한 것 같고요.