Breaking
사이버 보안(Cybersecurity)
中 기업, 5억 개 이상 이력서 노출시켜 충격
2019-07-01 13:47:13
김지연
▲중국 기업들이 무려 5억 9,000만 개 이상의 이력서를 웹에 노출시킨 것으로 드러났다(사진=ⓒ픽사베이)

[라이헨바흐=김지연 기자] 중국 기업들이 무려 5억 9,000만 개 이상의 이력서를 웹에 노출시키고 있는 것으로 나타나 충격을 주고 있다. 

올해에만 이 같은 수가 여러 기업으로부터 노출된 것이다.

이력서 노출은 몽고DB와 엘라스틱서치 서버에 담긴 데이터베이스를 제대로 보안 유지하지 못해 나타난 결과다. 

서버가 암호를 암호화시키지 않고 관리자가 보안을 유지하지 못했거나, 예기치 않은 방화벽 오류로 인해 데이터가 공개적으로 접근된 경우다.

게다가 노출된 파일이 이력서라는 점을 감안한다면 피싱 공격이나 멀웨어 감염으로 인한 다른 데이터 유출보다 더 큰 타격이 가해질 수 있다. 

이력서에는 이름부터 연락처, 집 주소와 생년월일에 더해 이전 경력과 급여 등 각종 민감한 개인정보가 모조리 다 담겨있기 때문이다. 

▲3월에만도 7번의 이력서 노출이 발생했다(사진=ⓒ맥스픽셀)

사실 데이터 도난 및 도용으로 이어지는 사이버 해킹 사건은 해킹 성격에 따라 기본 정보와 연락처, 전화번호 외에도 몇 가지 사항들이 더 포함되는 경우가 많다. 

사이버 범죄자들이 노출된 이력서에 손을 대는 것은 오직 시간문제다. 이러한 정보가 사기 목적으로 거래되면 향후 큰 문제로 발전할 수 있어 매우 위험하다.

사이버 보안 기업인 트립와이어의 그레이엄 클루리는 "몽고DB에는 보안 장치가 내장돼있지만, 이에 부주의한 관리자들이 관리할 경우 이러한 기능을 활용하지 못한다"고 지적했다. 

관리자 암호가 없는 상태를 유지해 결국 전체 인터넷에 민감한 데이터가 그대로 접근되도록 만들고 있다는 것이다. 

이번 노출된 이력서는 3명의 보안 전문가들에 의해 발견됐다. 

밥 디아첸코와 데빈 스토크 그리고 사냠 자인으로 연구 결과에 따르면 이들 노출된 이력서는 중국 내 대기업 인사팀부터 중소기업들까지 매우 다양하게 분포된 것으로 나타났다.

 

이력서 노출, 3월에만 7번

자인은 "지난달 온라인에서 총 7건의 이력서 노출 사례가 발견됐다"고 밝혔다. 이 가운데 현재까지 해결된 것은 오직 4건이다. 

가장 처음 발견된 날은 10일로, 당시 엘라스틱서치 서버에서 3,300만 건의 노출된 이력서가 발견됐다. 

그는 이 사항을 즉각 '중국국가컴퓨터네트워크 응급기술처리 협조센터(CNCERT)'에 통지, 4일 후에는 취약한 서버가 삭제되도록 조치했다. 

전체 배치 크기는 약 57GB였다. 그는 당시 트위터를 통해 중국 3곳의 기업들로부터 3300만 건의 이력서가 온라인상에 노출됐다며, 관련 사항을 지적했다.

그러나 그로부터 3일 후 또다시 엘라스틱서치 서버에서 8,480만 개의 이력서가 노출된 것이 발견됐다. 이는 자인 이전에 스토크가 먼저 발견했는데, 마찬가지로 CNCERT에 통지해 해결할 수 있었다. 

스토크는 트위터에서 총 8480만 개의 이력서가 노출됐다며, 이 크기는 61GB였다고 밝혔다.

▲특히 중국의 인적 자원 회사에서 근무하는 일부 직원의 이력서 590 억 건이 데이터 유출로 노출됐다(사진=ⓒ위키미디어 커먼즈)

3번째 사례 역시 동일하다. 노출된 엘라스틱서치 서버에서 9,300만 개의 이력서가 발견된 것. 두 번째 사례가 발견된 지 이틀 만에 또다시 취약한 서버가 온라인에 등장한 것이다. 

자인은 이때에도 CNCERT에 보고했지만, 해당 기관은 이에 대해 응답을 하지 않았다고 주장했다. 

4번째로 발견된 엘라스틱서치 서버에서는 900만 건의 이력서가 발견됐다. 이는 이전 사례보다는 다소 적은 양이지만, 여전히 이력서라는 주체로 볼때 사안의 심각성이 약해지지는 않는다. 

이 역시 중국 기업에서 발견된 것이다.

다섯 번째는 자인이 발견한 사례 가운데 가장 규모가 컸다. 최소 1억 2,900만 개의 이력서 노출이다. 

나머지 여섯 번째와 일곱 번째는 가장 작은 규모였다. 6번째는 18만 개, 그리고 마지막은 1만 7,000개였다.

 

대응책

자인 외에도 스토크 역시 익명의 중국 헤드헌팅 회사에 소속된 1,900만 개의 이력서 노출 사례를 발견했다. 

디아첸코는 가장 최근 2,000만 개 이상의 노출된 개인 이력서들을 발견, 현재 관련 서버와 데이터를 보유하고 있는 회사의 이름을 파악 중에 있다. 이외 지난 1월에도 무려 2억 200만 개의 이력서 노출이 발견된 바 있다.

결국, 이러한 엄청난 숫자는 중국 기업들, 특히 인적 자원에 초점을 둔 기업들이 잠재 직원의 데이터 보안에 관심이 없다는 것을 단적으로 보여준다. 

상대적으로 기관이나 기업들의 보안 대응은 느리고 진전이 없어 이는 중국 내 기업들이 특히 신경 써야 할 부분이 될 것으로 보인다.

[라이헨바흐=김지연 기자]