Breaking
사이버 보안(Cybersecurity)
다우 존스, 서버 결함으로 정치인·범죄자 등 고위험 인물 신상 노출
2019-05-28 17:29:49
조현
▲다우 존스 서버 결함으로 노출된 정치인과 범온라인 데이터세트에 있는 취약한 4.4 기가 용량의 정치적, 범죄적 인물의 기록이 노출됐다(사진=ⓒ123RF)

[라이헨바흐=조현 기자] 정부 공무원, 정치인, 범죄자 등의 신상 이른바 '다우 존스 감시 목록'이 오픈 데이터베이스에 노출됐다.

해당 데이터베이스는 아마존에서 관리하는 '엘라스틱서치'의 오픈 데이터베이스인 것으로 알려졌다.

최근 사이버보안 연구가 밥 디아첸코가 4.4Gb 용량의 데이터세트에 241만 8,862건의 정치적노출인물(PEP) 기록이 온라인상에 노출돼 있다는 보고서를 발표했다.

그는 지난달 22일에 노출된 데이터세트를 발견했다. 제3자의 민감 데이터를 보호하기 위한 암호화를 사용하지 않아서 '바이너리엣지'와 같은 공공의 사물 인터넷(IoT)을 사용하는 사람이면 쉽게 검색할 수 있다고 한다.

고위험 인물의 신상 노출

디아첸코가 발견한 기록은 다우 존스 정보 서비스가 소유한 고위급의 PEP 목록으로 다우 존스 감시 목록으로 알려져 있다. 감시 목록에는 국가 및 국제 제재 리스트, 유명 인사와 관련된 많은 범죄자의 프로필, 가족, 동료 및 기업 관계가 포함된 최신의 PEP 목록이 포함돼 있다.

침해받은 데이터베이스의 기록들은 적절하게 분류돼 일부 개인은 PEP로 분류되는 한편, 나머지는 특별관심인물(SIP)이나 특별관심단체(SIE)로 분류된다.

디아첸코는 "이 데이터들은 개인적이고 효율적인 실사를 할 때 위험을 식별하는 데 도움이 될 수 있다"며 "은행들은 분명히 감시자 데이터를 사용해 공인된 인물의 신상에 대한 핵심 정보를 통해 자금 세탁 및 불법적 지불을 확인할 것이다"고 덧붙였다.

제3자 구성 오류

침해를 발견한 후, 디아첸코는 결국 이 사실을 다우 존스의 사고 대응 담당자에게 알렸고, 그 결과 데이터베이스가 중지되었다. 다우 존스는 누출된 전체 데이터가 공개 소스에서 비롯된 것라고 말하고 데이터 침해가 어떻게 서버의 구성 오류로 인해 발생했는지를 설명했다.

다우 존스 대변인은 성명서를 통해 "이 데이터는 공개적으로 사용 가능한 출처에서 도출된 것"이라며 "이번 우리의 검토 결과는 이것은 공인된 제3자의 AWS 서버 구성 오류로 인한 것이며, 이 데이터는 더 이상 유효하지 않다"고 밝혔다.

그러나 위험은 여기서 끝나지 않는다. 데이터베이스가 공개적으로 노출되면 누구나 다우 존스 감시 목록 데이터베이스에 접속해 범죄 기록이 있는 시민에 대한 민감 정보과 테러리스트 조직과의 연관 정보를 볼 수 있게 되므로 훨씬 더 큰 위험이 수반된다. 디아첸코에 따르면, 다우 존스의 신중하지 못한 조치가 될 것이라고 말한다.

▲다우 존스 감시 목록에는 국내외 제재 리스트와 세간의 중대한 사건 관련 범죄자들의 프로필이 포함돼 있다(사진=ⓒ123RF)

SC 미디어에 따르면 두 명의 다른 사이버 보안 전문가들도 분류된 데이터가 노출될 때 발생하는 문제에 대한 의견을 제시했다. 소프트웨어 회사인 '어택아이큐'의 최고운영책임자인 '칼 라이트'는 다우 존스 감시 목록에 대한 데이터 유출은 그 데이터베이스에 암호 보호 기능이 없으며 다우 존스는 민감한 데이터에 대해 어떠한 대비도 하지 않았다고 말했다.

최고기술경영자(CTO)이자 비트글래스의 설립자인 아누라그 카올 역시 라이트의 견해를 지지했다.

그는 "다우 존스의 노출된 데이터베이스에는 전현직 정치인과 범죄 혐의자와 유죄 판결을 받은 범죄자, 테러리스트와 연계 가능성이 인물, 제재를 받고 있는 기업과 고위험 범죄로 기소된 단체에 대한 민감한 세부 정보가 담겨 있다"며 "그런데 이와 같은 정보를 무방비 상태로 두는 것은 부주의하고 무책임하다"고 말했다.

다우 존스 감시 목록

다우 존스 감시 목록은 일부 글로벌 금융 기관이 기록이 비즈니스 환경에 영향을 미칠 가능성이 있는 PEP를 모티터링 하고 추적하기 위한 목적으로 사용되고 있다.

국내 및 국제 제재 리스트와 고위험 범죄자들의 기록도 마찬가지다. 다우 존스 감시 목록은 기관 고객의 법적이거나 평판적인 위험을 모니터링 하는데 도움을 준다 고객들은 주로 법적 및 평판으로 인한 손해를 줄이기 위하여 더 신속하고 정보를 기반으로 한 의사결정을 함으로써 다우 존스 감시 목록으로 도움을 받는다.

다우 존스만이 이러한 어려움에 처해 있는 것이 아니다. 테크크런치에 따르면, 과거에 고위험의 개인, PEP 및 심지어 테러리스트와 연관된 인물이 포함된 토머스 로이터스와 같은 금융 회사의 데이터베이스도 침해된 사례가 있었다. 이 사건들은 대부분 다우 존스에서 일어난 것과 같은 보안 결함으로 인해 발생했다.

또한 2018년 12월에 자선 단체인 '카스4키즈'도 데이터베이스를 잘못 구성하여 기증자의 개인 데이터를 유출한 사건도 있었다.

[라이헨바흐=조현 기자]