Home > 전체기사

올리브영 개인정보 노출 사건, 무슨 일이 일어났을까?

  |  입력 : 2023-02-24 18:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
최근 올리브영의 고객 중 일부의 정보가 노출되는 사건이 발생했다. 다행히 누군가 올리브영 사내 시스템으로 침투하여 대량으로 정보를 캐간 사건은 아닌 것으로 보인다.

[보안뉴스 문가용 기자] 올리브영이 지난 16일 시스템 변경 작업 오류로 인해 고객 정보가 일부 누출되는 사고를 겪었다며, 22일 개인정보위에 신고했다. 개인정보 노출 가능성이 있는 올리브영 고객들에게는 올리브영 측에서 개별 안내를 했다고도 밝혔다. 하지만 정확히 무슨 일이 일어났는지, 피해 규모가 어느 정도인지는 아직 공개하지 않고 있어 궁금증을 자아내고 있다.

[이미지 = utoimage]


혹시 레디스?
한 익명의 보안전문가는 “이 사건은 레디스(Redis)와 관련이 있는 일일 가능성이 높다”고 귀띔했다. 레디스는 2009년에 처음 등장한 데이터베이스 관리 시스템으로, 인기가 높은 오픈소스 중 하나다. 각종 데이터베이스를 편리하게 관리할 수 있도록 해 주는 시스템으로 현재는 국가와 산업을 불문하고 보편적으로 활용되고 있다.

하지만 레디스를 사용할 때 한 가지 주의해야 할 일이 있다. 레디스는 설계 때부터 인터넷에 연결될 목적으로 만들어지지 않았다는 것이다. 안전하고 차단된 환경에서 사용될 것을 상정한 상태에서 개발된 것이므로, 인증 기술이 별도로 적용되지 않았다. 하지만 많은 기업들에서 이 부분을 잊거나 무시하고 레디스를 활용한다. 그 과정에서 DB에 저장된 민감한 정보가 유출되는 것이다. 사이버 공격자들도 이를 알고 인터넷에 연결된 레디스를 자주 찾아 노린다.

보안 업체 그룹IB(Group-IB)가 지난 해 조사한 바에 의하면 데이터베이스 유출 사고가 발생했을 때, 사고 기업이 가장 많이 사용하고 있던 데이터베이스 관리 시스템은 레디스였다고 한다. 인증과 관련된 설정 실수를 하는 바람에 데이터가 원치 않게 노출되는 경우가 꽤나 많았다는 것이다. 그 다음은 몽고DB였다. 해커들은 설정 오류로 인터넷에 공개된 레디스를 통해 DB와 서버들에 침투한 후 암호화폐를 채굴하기도 한다.

올리브영, 아직 조사 중이라 상세 내용 공개 어려워
올리브영 측은 현재 개인정보위에서 조사를 진행하고 있어 사건과 관련된 내용을 공개하기 어렵다는 입장이다. 하지만 “현재까지는 레디스 문제는 아닌 것으로 조사되고 있다”고 반박했다. 그러면서 “CDN(콘텐츠 배포 네트워크)에서 일시적인 오류가 발생해 일부 고객들의 정보가 노출된 것”이라고 설명했다. CDN이 엉키면 사용자가 특정 콘텐츠를 요청했을 때, 엉뚱한 결과가 출력되는데, 바로 그런 일이 일어났다는 것이다.

“그래서 A라는 고객이 자신의 정보를 가지고 올리브영에 로그인을 했는데, B라는 회원의 정보가 나타나는 현상이 일시적으로 있었습니다. 약 1만 명 정도가 이런 식으로 원치 않는 정보 노출을 겪은 것으로 현재까지는 파악되고 있습니다.” 그렇다는 건 해커들이 DB에 침투해 들어가 대량으로 고객 정보를 긁어간 건 아니라는 뜻이다. 악의가 없는 소비자가 의도치 않게 다른 소비자의 정보를 잠깐 열람할 수 있었다는 게 올리브영 측의 설명이다. “고객들은 다른 고객의 이름, 올리브영 등급, 배송된 물품과 배송 상태, 배송지 주소 정도만 열람할 수 있었습니다. 지불 정보는 노출되지 않았습니다.”

하지만 누군가 이 현상을 먼저 파악하고 여러 번 로그인을 시도함으로써 최대한 많은 정보를 훔쳐가려고 시도했을 가능성이 없다고 하기 힘들다. 또한 지불 정보가 아니더라도 이름과 주소지, 배송되는 물건이라는 정보만으로도 피싱 공격자들은 정교하게 시나리오를 만들어 스피어피싱 및 사기 공격을 감행할 수 있다. 그렇기 때문에 올리브영 측은 이번 사건의 피해를 최소화 하고 불안한 고객들에게 상담 서비스를 제공하기 위해 핫라인을 개설해 운영 중에 있다고 한다.

“정보 노출이 의심된다면 080-900-9001로 전화를 하셔서 상담을 받으실 수 있습니다.” 다만 이 팀은 보안을 전문으로 하는 인력들로 구성된 것 같지는 않았다. 따라서 기술적인 내용의 문의에는 제한적인 답변만을 할 수 있는 것으로 보인다. 또한 아직 조사가 진행 중이라 사건 내용을 세세히 공개할 수 없는 사정이 존재하는 것도 감안해야 한다. 아쉬운 건 이 핫라인을 찾기가 매우 어렵다는 것으로, 올리브영 측에서 고객들의 입장을 조금만 더 배려해 핫라인 개설 사실을 홈페이지에 찾기 쉽게 나타냈으면 어땠을까 한다.

그래서...3줄 요약
1. 오픈소스를 사용할 때는 개발자의 의도와 사용 방법을 정확히 아는 게 중요.
2. 대량 정보 유출 사고까지는 아닌 것으로 보이며, 일부 고객의 정보가 잠깐 노출되었을 것으로 보임.
3. 정보 노출이 불안하다면 080-900-9001로 전화를 걸어 상담을 받는 걸 추천.

[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)