올리브영 개인정보 노출 사건, 무슨 일이 일어났을까?

최근 올리브영의 고객 중 일부의 정보가 노출되는 사건이 발생했다. 다행히 누군가 올리브영 사내 시스템으로 침투하여 대량으로 정보를 캐간 사건은 아닌 것으로 보인다.

[보안뉴스 문가용 기자] 올리브영이 지난 16일 시스템 변경 작업 오류로 인해 고객 정보가 일부 누출되는 사고를 겪었다며, 22일 개인정보위에 신고했다. 개인정보 노출 가능성이 있는 올리브영 고객들에게는 올리브영 측에서 개별 안내를 했다고도 밝혔다. 하지만 정확히 무슨 일이 일어났는지, 피해 규모가 어느 정도인지는 아직 공개하지 않고 있어 궁금증을 자아내고 있다.

[이미지 = utoimage]

혹시 레디스?
한 익명의 보안전문가는 “이 사건은 레디스(Redis)와 관련이 있는 일일 가능성이 높다”고 귀띔했다. 레디스는 2009년에 처음 등장한 데이터베이스 관리 시스템으로, 인기가 높은 오픈소스 중 하나다. 각종 데이터베이스를 편리하게 관리할 수 있도록 해 주는 시스템으로 현재는 국가와 산업을 불문하고 보편적으로 활용되고 있다.

하지만 레디스를 사용할 때 한 가지 주의해야 할 일이 있다. 레디스는 설계 때부터 인터넷에 연결될 목적으로 만들어지지 않았다는 것이다. 안전하고 차단된 환경에서 사용될 것을 상정한 상태에서 개발된 것이므로, 인증 기술이 별도로 적용되지 않았다. 하지만 많은 기업들에서 이 부분을 잊거나 무시하고 레디스를 활용한다. 그 과정에서 DB에 저장된 민감한 정보가 유출되는 것이다. 사이버 공격자들도 이를 알고 인터넷에 연결된 레디스를 자주 찾아 노린다.

보안 업체 그룹IB(Group-IB)가 지난 해 조사한 바에 의하면 데이터베이스 유출 사고가 발생했을 때, 사고 기업이 가장 많이 사용하고 있던 데이터베이스 관리 시스템은 레디스였다고 한다. 인증과 관련된 설정 실수를 하는 바람에 데이터가 원치 않게 노출되는 경우가 꽤나 많았다는 것이다. 그 다음은 몽고DB였다. 해커들은 설정 오류로 인터넷에 공개된 레디스를 통해 DB와 서버들에 침투한 후 암호화폐를 채굴하기도 한다.

올리브영, 아직 조사 중이라 상세 내용 공개 어려워
올리브영 측은 현재 개인정보위에서 조사를 진행하고 있어 사건과 관련된 내용을 공개하기 어렵다는 입장이다. 하지만 “현재까지는 레디스 문제는 아닌 것으로 조사되고 있다”고 반박했다. 그러면서 “CDN(콘텐츠 배포 네트워크)에서 일시적인 오류가 발생해 일부 고객들의 정보가 노출된 것”이라고 설명했다. CDN이 엉키면 사용자가 특정 콘텐츠를 요청했을 때, 엉뚱한 결과가 출력되는데, 바로 그런 일이 일어났다는 것이다.

“그래서 A라는 고객이 자신의 정보를 가지고 올리브영에 로그인을 했는데, B라는 회원의 정보가 나타나는 현상이 일시적으로 있었습니다. 약 1만 명 정도가 이런 식으로 원치 않는 정보 노출을 겪은 것으로 현재까지는 파악되고 있습니다.” 그렇다는 건 해커들이 DB에 침투해 들어가 대량으로 고객 정보를 긁어간 건 아니라는 뜻이다. 악의가 없는 소비자가 의도치 않게 다른 소비자의 정보를 잠깐 열람할 수 있었다는 게 올리브영 측의 설명이다. “고객들은 다른 고객의 이름, 올리브영 등급, 배송된 물품과 배송 상태, 배송지 주소 정도만 열람할 수 있었습니다. 지불 정보는 노출되지 않았습니다.”

하지만 누군가 이 현상을 먼저 파악하고 여러 번 로그인을 시도함으로써 최대한 많은 정보를 훔쳐가려고 시도했을 가능성이 없다고 하기 힘들다. 또한 지불 정보가 아니더라도 이름과 주소지, 배송되는 물건이라는 정보만으로도 피싱 공격자들은 정교하게 시나리오를 만들어 스피어피싱 및 사기 공격을 감행할 수 있다. 그렇기 때문에 올리브영 측은 이번 사건의 피해를 최소화 하고 불안한 고객들에게 상담 서비스를 제공하기 위해 핫라인을 개설해 운영 중에 있다고 한다.

“정보 노출이 의심된다면 080-900-9001로 전화를 하셔서 상담을 받으실 수 있습니다.” 다만 이 팀은 보안을 전문으로 하는 인력들로 구성된 것 같지는 않았다. 따라서 기술적인 내용의 문의에는 제한적인 답변만을 할 수 있는 것으로 보인다. 또한 아직 조사가 진행 중이라 사건 내용을 세세히 공개할 수 없는 사정이 존재하는 것도 감안해야 한다. 아쉬운 건 이 핫라인을 찾기가 매우 어렵다는 것으로, 올리브영 측에서 고객들의 입장을 조금만 더 배려해 핫라인 개설 사실을 홈페이지에 찾기 쉽게 나타냈으면 어땠을까 한다.

그래서...3줄 요약
1. 오픈소스를 사용할 때는 개발자의 의도와 사용 방법을 정확히 아는 게 중요.
2. 대량 정보 유출 사고까지는 아닌 것으로 보이며, 일부 고객의 정보가 잠깐 노출되었을 것으로 보임.
3. 정보 노출이 불안하다면 080-900-9001로 전화를 걸어 상담을 받는 걸 추천.
[문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)