Breaking
사이버 보안(Cybersecurity)
엘라스틱서치 데이터베이스 노출 800만 개인 정보 침해…업체, "정보 유출 아니야"
2019-06-26 18:29:55
조현
▲엘라스틱서치 데이터베이스가 노출되면서, 800만 명 가량의 미국인들이 피해를 본 것으로 나타났다(사진=ⓒ123RF)

[라이헨바흐=조현 기자] 무료 제품 샘플 등의 내용들이 포함된 엘라스틱서치 데이터베이스가 노출되면서 800만 명 가량의 미국인들이 피해를 본 것으로 나타났다.

이를 발견한 사람은 독립 보안 전문가인 샤남 자인으로 노출된 데이터베이스는 마케팅 기업인 아이피션트의 소유인 것으로 밝혀졌다.

아이피션트는 일반인들을 대상으로 자사의 설문 조사에 참여하도록 장려해 판매에 유익한 정보를 수집한다.

이에 해당 사이트를 방문하는 사람들은 설문을 작성하고 이에 따른 무료 샘플이나 경품 행사를 통해 상품을 받을 수 있는 기회를 가지는 것이다.

그러나 설문에 참여해 무료 경품을 받기 위해서는 이름은 물론이고 생년월일과 집 주소, 성별, 연락처, 이메일 주소 및 IP 주소를 포함해 개인 신상 정보 일부를 제공해야하며 이 정보들은 아이피션트처럼 마케팅 캠페인과 판매 주도 비즈니스를 수행하는 기업들에게 넘어간다.

그러나 최근 아이피션트의 이같은 이벤트에 참여한 800만 명의 정보는 노출된 클라우드 스토리지 데이터베이스에 저장됐다. 데이터 유출 위험에 노출돼 향후 사이버 공격을 당할 수 도 있는 것이다.

▲800만 정보에는 이름과 생년월일, 집 주소, 성별, 연락처, 이메일 주소 및 IP 주소 등이 포함됐다

 

데이터베이스 소유자 찾기

자인에 따르면 처음에는 데이터베이스 소유자를 찾는 것이 어렵지 않았다. 하지만 실제 관리하고 소유하는 조직에 연결되기까지는 험난한 과정을 거쳐야했다.

가장 처음 그는 노출된 해당 데이터베이스의 도메인 가운데 하나에서 'userenroll.com'이라고 쓰여진 도메인을 발견했는데 이는 온라인 마케팅 기업인 패스에볼루션이 소유한 것이었다.

이에 패스에볼루션의 오너에게 연락을 취했지만 계속 실패만 거듭, 결국 해당 데이터베이스의 호스트인 아마존에 연락했다는 것.

이후 아마존에 데이터베이스의 현재 상태와 설문에 참여해 영향을 받은 사람들에게 위험성에 대해 알렸다. 또 노출된 데이터 저장을 위해 패스에볼루션에 연락을 취해줄 것도 요청했다.

결국엔 노출된 엘라스틱서치 데이터베이스의 소유자는 패스에볼루션이 아닌 아이피션트로 확인된 것.

이와 관련해 IT 매체 블리핑 컴퓨터는 추적을 통해 패스에볼루션의 모기업이 아이피션트였다고 전했다.

매체는 해당 기업이 이미 사태를 파악하고 서버 확보를 통해 상황을 완화시켰다는 사실을 알게 된후 지난 11일(현지시간) 업체에 연락을 취했다고 전했다.

또 한 가지 밝혀진 사실은 자인은 애초에 1억 3,000만 건의 노출 기록을 발견했다고 보고했지만 많은 참가자가들이 한꺼번에 여러 개의 항목을 보냈기 때문에 실질적으로 영향을 받은 수는 800만 명 미만이라는 점이다.

아이피션트는 이후 성명을 통해 해당 데이터베이스에는 약 800만 명의 개인과 관련된 제한적인 정보가 포함돼있었다고 해명했다. 그러면서 아마존으로부터 통지를 받은 후, 파악된 취약점을 해결하기 위한 필요 조치를 취했다고 밝혔다.

▲업체는 노출 정보가 현지 주의 법령에 의거, 개인 정보를 구성하는 것으로 간주되지 않는다고 밝혔다(사진=ⓒ123RF)

개인 정보 유출 아니다?

업체는 자사가 개인 정보 보호에 관한 보안 문제를 심각하게 생각하고 있다고 밝히면서 동시에 주 법률에 따라 참여자들의 개인 정보를 노출되도록 했다는 입장을 표명했다.

이야기인 즉슨, 해당 데이터베이스에 포함된 정보는 일반적으로 현지 주의 데이터 침해 통보 법령에 의거해, 개인 정보를 구성하는 것으로 간주되지 않는다는 것.

이어 업체는 보안 태세를 강화하고, 해당 주의 데이터 위반 법령에 따라 이 사건에 대해 잠재적으로 영향을 받는 개인이 발생할 경우 다시 통지할 것이라고 말했다.

이와 관련, 매체는 자인의 보고서를 인용, 노출된 정보가 사실상 개인 정보로 구성돼있다고 말했다.

업체는 이에 거의 모든 해당 주의 데이터 침해 통지 법령을 들어, 해당 정보들이 개인 정보를 구성하지 않는다는 입장을 재확인했다.

이어 자사가 SSN(사회보장번호)을 비롯한 운전 면허증, 주 ID 번호 및 금융 계좌 번호, 지불 카드 번호를 저장하지 않는다고 덧붙였다.

즉각적 대응

자인과 업체간 개인 정보 노출에 대한 의견이 엇갈리고 있지만, 이번 사건은 데이터 침해 통지에도 불구 미적거리거나 대응을 하지 않는 기타 다른 기업들에 비해 아이피션트의 적절한 행보가 부각된다.

일단 업체가 노출된 데이터베이스의 확보에 도움을 준 자인의 노력에 감사 표시를 표명했다는 점이다.

업체는 공유되는 정보를 포함해 데이터 보안과 관련된 모든 정보에 감사한다며 자사가 보유한 모든 정보의 개인 정보 보호와 보안을 심각하게 받아들이고 있다고 밝혔다.

그러면서 이번 문제와 관련된 자사의 조사가 즉시 수행되었고, 잠재적으로 영향을 받을 수 있는 개인에게도 통지가 진행중이라고 전했다.

자인은 "이에 대해 무엇보다도 업체의 데이터베이스 보안을 위한 빠른 조치에 감사하고 싶다"며 "이러한 유형의 사례가 너무 발생하고 있어, 직원들이 기본적인 보안 위생을 갖추도록 교육받아 다시 문제가 지속되지 않기를 제안한다"고 강조했다.

[라이헨바흐=조현 기자]