posted by 알짜 정보 岳岩 2019.05.01 07:42

정보에 회원번호 붙어 있어 가족 단위로 가입하는 서비스로 보이지만
아무리 찾아도 주인 알 수 없어...연구원들 결국 주인 찾기 공모해

[보안뉴스 문가용 기자] VPN멘토(VPNMentor)라는 VPN 업체의 보안 연구 팀이 24GB의 개인정보가 담겨있는 데이터베이스를 발견했다. 기록들은 전부 미국 8천만 가구에 대한 것이었다고 한다.

[이미지 = iclickart]


VPN멘토의 연구 팀에 속해 있는 노암 로템(Noam Rotem)과 랜 로카(Ran Locar)가 이를 발견한 장본인들인데, 해당 데이터베이스는 마이크로소프트의 클라우드 서버에 호스팅 되어 있었다고 한다. “이름, 주소, 연령, 생년월일, 성별은 기본이고, 수익 수준, 결혼 여부, 집주인 정보, 거주지 유형 등 한 가정에 대한 굉장히 세밀한 정보들이 가득 저장되어 있었습니다.” 
그런데 로템과 로카는 큰 난관에 부딪혔다. 다른 비슷한 유출 사고와 달리 딱 하나, 제일 중요한 정보가 없었던 것이다. “아무리 찾아봐도 이 데이터베이스가 누구 건지 모르겠어요. 클라우드 서버에 호스팅 되어 있는데, 그렇다는 건 이 DB의 IP 주소가 DB의 주인을 가리킨다고 보기 힘들다는 소리죠. 주인을 찾아야 이 사태를 해결할 수 있을 텐데, 그걸 알 수가 없으니 큰일입니다.”
그러나 몇 가지 힌트가 있긴 하다. “저장된 모든 기록들에 회원 ID가 붙어 있었어요. 즉 특정 서비스를 제공하고 멤버십을 받는 회사의 것이라고도 볼 수 있습니다. 또한 ‘소득 수준’이라는 항목이 있는 걸로 봐서 보험이나 의료, 대출이나 융자 서비스일 가능성이 높아 보이긴 합니다. 그런데 또 정책이나 계좌 번호, 사회 보장 번호 같은 정보는 없어요. 지불 정보도 없고요.”
둘이서 해결이 불가능하자, 로템과 로카는 ‘크라우드소스’로 국면을 전환시켰다. “미국의 8천만 가정이 사용하는 서비스가 무엇이 있을까요? 미국만이에요. 다른 나라는 하나도 없어요. 그리고 40세가 넘는 사람들만 사용하는 서비스였습니다. 게다가 집주인 정보와 주택 유형 정보는 보유하고 있는데, 사회 보장 번호는 없고, 결혼 여부 정보는 수집하는데 자녀 수 정보는 없습니다. 도대체 무슨 서비스일까요?”
전문가들은 “이 DB의 주인이 빨리 나타나야 한다”고 말한다. 사회 보장 번호나 지불 정보처럼 치명적일 수 있는 데이터는 없더라도, 그 외 나머지 정보만 가지고도 2차, 3차 피해를 입히기에 충분하기 때문이다. “요즘 피싱 공격자들은 적은 정보만 가지고도 얼마든지 고급스러운 미끼를 만들어낼 수 있거든요.”
그러면서 로템과 로카는 다음과 같은 설명을 추가했다. “힌트가 되는 정보가 너무 많아서, 몇 번 추측만으로도 이메일 주소를 조합하기에 충분합니다. 이름과 주소 정보 역시 풍부하기 때문에 부유한 동네에 거주하는지 아닌지 파악하고 표적을 고를 수 있습니다. 이런 사람들을 소셜 미디어 등을 통해 추적하면, 빈집을 터는 것도 가능하게 됩니다. 공개된 정보들만으로 다양한 소셜 엔지니어링 공격을 실시할 수 있습니다.”
둘은 웹 매핑 프로젝트를 진행하다가 이 데이터베이스를 우연히 발견했다고 한다. 포트 스캔을 통해 IP 차단 현황을 파악하고 웹 시스템의 전반적인 구멍들을 찾아내는 작업을 진행하는 와중이었다고 한다. 보안뉴스

3줄 요약
1. VPN 업체의 보안 팀, 포트 스캐닝 등을 실시하다가 한 DB를 발견함.
2. 주인은 알 수가 없는데, 미국 8천만 가정들의 상세한 민감 정보가 잔뜩 들어있었음.
3. 얼른 닫아야 하는데, 아직도 주인을 찾을 수 없어 아무 조치도 할 수 없는 상황.

댓글을 달아 주세요