미국 포스탈서비스 API 오류로 6천만 개인정보 유출 가능

USPS가 제공하는 실시간 우편 및 소포 추적용 API에서 오류 나와
1년간 방치되어 있다가 최근 겨우 고쳐짐...고객 민감 정보 유출됐을 수도

[보안뉴스 문가용 기자] 미국 포스탈서비스(USPS)의 API에서 오류가 발견됐다. 이 때문에 고객 6천만 명의 개인정보가 유출됐을 가능성이 제기됐다. 이를 발견한 전문가에 의하면, 해당 오류를 USPS 측에 1년 전에 보고했으나, USPS 측이 행동을 취한 건 겨우 이번 달의 일이라고 한다. 그것도 유명 보안 블로거인 브라이언 크렙스(Brian Krebs)를 동원하고서야 일이 이뤄졌다.

[이미지 = iclickart]

문제는 API의 부적절한 인증 시스템이었다. 사용자가 로그인만 하면 USPS의 ‘인폼드 비지빌리티(Informed Visibility - 일종의 실시간 메일 및 소포 추적 서비스)’ 서비스의 일부분에 승인 없이 접근할 수 있도록 해준다는 것이 발견된 것이다.

로그인이 된 사용자는 쿼리를 보내 계정의 세부 정보를 요청할 수 있다. 세부 정보란 이메일 주소, 사용자 이름, 사용자 ID, 거리 명, 전화번호 등이다. 이러한 정보들이 사이버 범죄자들에게 넘어가면 사기 및 표적화된 피싱 공격에 남용될 수 있게 된다.

보안 업체 악산(Arxan)의 부사장인 러스티 카터(Rusty Carter)는 “이러한 오류가 애초에 존재 가능케 됐던 건 USPS 웹사이트의 API 때문”이라며, “이 API는 원래 기업 사용자들이 우편물과 소포 등의 행방과 관련된 데이터를 활용할 수 있도록 설계된 것”이라고 설명했다. “사업에 도움을 준다는 목적으로 행해진 일이, 사이버 범죄자들에게 유용한 정보 공유의 창구가 되었을 가능성이 높아졌습니다.”

2018년 6월, 보안 업체 센트리파이(Centrify)의 보안 전문가 토스텐 조지(Torsten George)는 “앞으로 API가 사이버 공격자들의 큰 노림수가 될 가능성이 높다”고 경고한 바 있다. API의 활용 빈도는 높아져만 가고, 여기에 관심을 갖는 기업이 점점 많아지고 있는데, 보안에 입각한 관심은 전혀 높아지지 않고 있다고 그는 지적했다.

“시장 연구 기관인 원폴(One Poll)에 의하면 기업체들은 평균 363개의 API를 관리하고 있습니다. 이 중 69%는 이 API들을 파트너사나 일반 대중들에게 노출시키고 있고요. 이런 API를 만들 때 조직들이나 개발자 모두 ‘모든 데이터와 기능들이 공격자의 툴로 활용될 가능성이 있다’는 걸 염두에 두어야 합니다.”

현재까지 밝혀진 정보를 종합하자면, USPS가 제공하던 API에서 발견된 오류는 누군가 고객 정보에 접근할 수 있도록 해주는 것이었다. 그 자체만으로 유독 심각하다고 보기에는 애매할 수 있는 위험성이다. 그러나 API 보안에 대한 안일함이 여러 조직에서 아직도 만연하다는 걸 일면 느낄 수 있게 해주는 것은 분명하다.

게다가 지난 8월 이와 비슷한 오류가 발견된 티모바일(T-Mobile)의 API를 통해 공격자들은 약 230만 명 고객들의 개인정보에 접근하기도 했었다. 티모바일에 의하면 해당 사건은 “국제적인 범죄 단체가 보호되지 않은 API를 통해 회사 서버에 접근하는 데 성공한 것”이었다. 즉 불과 몇 달 전에 일어난 사건을 통해서도 조직들이 배우지 못한다는 것이다.

보안 업체 하이테크 브리지(High-Tech Bridge)의 일리야 콜로첸코(Ilia Kolochenko) CEO는 “보호되지 않는 API는 웹 환경과 모바일 환경 모드를 위협하는 요소로 남아있다”고 설명한다. “API 자체는 데브옵스가 증가하기 시작하면서 활용도가 높아진 IT 기술 요소입니다. 그러나 API의 보호는 아직까지 미약한 수준입니다. 그 말은 보안이 접목된 데브옵스, 즉 데브섹옵스(DevSecOps)가 아직은 실제 현장에 존재하지 않는다는 뜻입니다. 이미 새 기능 개발이라는 임무 때문에 숨이 턱까지 차오른 개발자들이 보안에 신경 쓸 여력이 없다는 뜻도 됩니다.”

USPS는 2017 회계연도를 마무리하며 270억 달러 적자를 남겼다. 2017년 11월 USPS는 “예산의 안정성을 회복하기 위해 혁신과 효율 증대를 더 공격적으로 꾀하겠다”고 발표하기도 했다. 이렇게 예산에 여유가 없는 조직은 보안에 투자를 하기가 어려워지고, 혁신에 초점을 맞추기로 한 곳은 더더욱 보안을 뒤로 미룬다.

USPS는 아직까지 이번 사건에 대한 공식적인 발표를 하지 않고 있다. 다만 유명 보안 블로거 브라이언 크렙스에게는 “아직까지 해당 오류가 범죄 활동에 악용된 사례나 증거를 찾지 못했다”며 “조사를 통해 소식을 업데이트 하겠으며, 피해 사례 발생 시 고객들에게 알리겠다”고 답했다고 한다. 해당 오류는 해결된 상태다.

3줄 요약
1. 미국 포스탈서비스가 제공하는 API에서 고객 데이터 접근 오류 발견됨.
2. 이 API는 사용자들이 로그인 후 우편과 소포를 실시간에 가깝게 추적할 수 있도록 하는 것.
3. API는 디지털 경제 시대에 있어 필수적인 요소이므로 보안에 더 신경 써야 한다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)