Breaking
사이버 보안(Cybersecurity)
통신 회사 Voxox, 아무런 보호 없이 노출된 서버 방치
2019-05-28 23:57:43
유수연
▲통신 회사 Voxox의 데이터 손실로 사용자들의 문자 메시지가 노출됐다(사진=ⓒ플리커)

[라이헨바흐=유수연 기자] 통신 회사 Voxox 서버의 보안 결함으로 데이터가 유출되면서 수천만 개의 문자 메시지가 손상됐다. 

미국 캘리포니아주에 있는 통신 회사 Voxox는 이전에 텔센트리스(Telcentris)라는 이름으로 알려졌다. 이 회사는 최근 데이터 유출 사건을 겪었다. 비밀번호 재설정 링크, 2단계 인증 코드, 배송 알림 등의 중요한 문자 메시지도 유출됐다. 이 소식을 기술 관련 매체 테크크런치가 보도했다.

서버 내부의 결함

데이터가 유출된 이유는 Voxox 서버 중 하나에서 취약점이 발견됐기 때문이다. 이 회사는 서버를 암호 등으로 보호하지 않았음을 인정했으며 공격자는 서버의 취약점을 악용해 Voxox 데이터 베이스 내부로 침투할 수 있었다. 즉, 이 회사의 서버가 전혀 보호되지 않았기 때문에 거의 모든 사람이 실시간으로 전달되는 문자 메시지를 볼 수 있었다.

노출된 서버는 금방 발견됐다. 베를린에서 활동하고 있는 보안 연구원인 세바스티엔 카울은 공개 장치 및 데이터 베이스 등에 자주 사용되는 검색 엔진인 쇼단(Shodan)을 통해 노출된 서버를 쉽게 발견할 수 있었다고 말했다.

▲Voxox 서버의 취약점으로 인해 문자 메시지가 노출됐다(사진=ⓒ플리커)

카울은 서버가 아마존(Amazon)의 엘라스티서치(Elastisearch)에서 실행되고 있었으며 이 회사의 하위 도메인 중 하나에 연결돼 있었다고 전했다. 인터넷 연결을 보유한 사람이라면 누구나 데이터 베이스를 탐색하기 쉬운 키바나(Kibana) 프론트엔드로 구성돼 있었다.

Voxox는 잠재적인 추가 데이터 유출을 막기 위해 서버를 종료시켰다. 데이터 베이스가 제거되기 전에 조사한 바에 따르면 해당 서버에 저장돼 있던 문자 메시지는 2,600만 개에 달했다.

샘플 텍스트 메시지 검토

테크크런치는 일부 데이터를 제공받아 검토를 실시했다. 그 결과 문자 메시지의 각 기록에는 수신자와 발신자의 휴대전화 번호에 대한 세부 정보와 특정 메시지에 사용된 짧은 코드 등이 들어있다는 사실을 발견했다.

테크크런치가 검토한 데이터에는 회사가 2단계 인증을 위해 사용자에게 코드를 보낸 문자 메시지 등이 포함돼 있었다. 예를 들어 모바일 데이트 앱인 바두(Badoo)가 사용자 인증을 위해 보낸 6자리의 2단계 인증 코드가 메시지에 그대로 남아 있었으며 호텔 비교 및 예약 사이트인 부킹(Booking)이 사용자에게 보낸 메시지는 물론 구글(Google)이 사용자에게 보낸 계정 인증 코드, 신용 대부 업체가 보낸 비밀번호, 택배 배송 업체인 UPS가 보낸 아마존에서 주문한 상품의 배송 추적 번호, 메신저 앱 바이버(Viber)와 카카오톡(KakaoTalk)의 인증 번호, 마이크로소프트(Microsoft)의 계정 인증 번호, 야후(Yahoo)의 계정 키 문자 메시지 등이 고스란히 남아 있었다.

게다가 앞서 언급했든 이런 메시지를 수신한 사람의 휴대전화 번호나 거주 지역 등을 특정할 수 있었다. 다시 말해 Voxox의 데이터 베이스에 수많은 주요 정보가 남아 있었다는 것이다. 특히 계정을 찾는데 사용할 수 있는 인증 번호 등은 매우 민감한 개인 정보로, 악의적인 해커가 훔칠 수 있는 것이다.

그러나 Voxox의 서버가 적절한 보호를 받지 못하면서 이 회사의 시스템으로 전송되는 모든 문자 메시지가 노출될 위기에 처했다.

하이재킹 위험에 처한 고객

소프트웨어 개발자이자 보안 연구원인 딜런 카츠는 Voxox의 노출된 데이터 베이스에서 테크크런치가 수집한 데이터 중 일부를 검토했다. 그 결과 보호되지 않은 서버로 인해 개인 정보 및 휴대전화 번호가 노출될 가능성이 높았으며 이것은 심각한 하이재킹 및 사이버 범죄로 이어질 수 있었다.

일부 웹사이트는 메시지 수신자에게 계정의 전체 정보를 제공하기도 한다. 다른 웹사이트는 인증 코드를 보내 계정을 재구성할 수 있도록 만든다. 어쨌든 이런 정보가 노출되면 사용자는 여전히 하이재킹 피해를 입을 수 있다. 특히 보안 조치 없이 노출된 서버는 모든 액세스 권한을 가진 사람들이 실시간으로 모든 데이터에 접근할 수 있도록 만들기 때문에 정보 유출을 막기가 쉽지 않다.

▲데이터 유출은 사이버 범죄자들이 범죄를 저지를 기회를 제공한다(사진=ⓒ플리커)

카츠는 테크크런치와의 인터뷰에서 "정말로 걱정하는 것은 이 서버에서 이미 모든 정보가 유출됐을 가능성이 있다는 것이다. 일시적인 데이터 유출 사건과는 다르다. 문자 메시지 데이터는 일시적으로 저장되며 서버가 오프라인이 되면 악의적인 사용자들이 훔친 데이터도 유용하지 않다"고 말했다.

Voxox의 공동 창립자 겸 CTO인 케빈 허츠는 "문제를 조사하고 표준 데이터 위반 방침을 따르고 있다"고 말했다.

서버 보안은 통신 회사에서 가장 중요한 것이다. 모든 산업 분야의 회사들은 시스템에 구현되는 사이버 보안에 주의를 기울이고 이런 회사의 고위 관리자들 또한 사이버 보안을 대단히 심각하게 받아들여야 한다.

[라이헨바흐=유수연 기자]