Home > 전체기사
중국의 온라인 쇼핑몰 기어베스트, 각종 고객 정보 유출
  |  입력 : 2019-03-18 10:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
기어베스트의 DB 하나, 보안 설정 되어 있지 않아 인터넷에 노출
VPN멘토, “기어베스트 측에 여러 번 알렸으나 응답이 없었다” 주장


[보안뉴스 문가용 기자] 중국의 온라인 쇼핑몰인 기어베스트(Gearbest)가 데이터베이스의 보안에 일부 실패했고, 이 때문에 고객들의 개인 식별 정보 다수가 유출됐다. VPN 업체인 VPN멘토(VPNMentor)가 이를 발견해 발표했다. 기어베스트 측은 큰일이 아니라며, 보안 팀 직원의 실수로 인한 해프닝일 뿐이라고 주장했다.

[이미지 = iclickart]


기어베스트는 전자 기기, 의류, 액세서리, 가전제품 등을 거래하는 온라인 쇼핑몰로 중국의 대기업인 글로벌이그로우(Globalegrow)가 소유한 업체다. 전 세계적으로 거의 모든 나라에 유통망을 가지고 있으며, 사업적으로 꽤나 성공적인 이야기를 써내려가고 있는 중이다.

하지만 최근 엘라스틱서치(Elasticsearch) 클러스터에 있는 데이터베이스 하나와, 기어베스트의 자매 기업이 소유하고 있는 데이터베이스 몇 개가 인터넷에 무방비로 노출되어 있다는 게 발견됐다. 이 때문에 일부 고객의 개인 식별 정보(주소, 이름, 이메일 주소, 전화번호, 주문 번호, 계정 비밀번호 등)는 물론 주문 내역, 지불 및 인보이스 관련 정보가 유출됐다.

VPN멘토의 보안 전문가들이 해당 데이터베이스를 발견했을 때, 그 안에는 150만 개가 넘는 기록들이 저장되어 있었다. 비밀번호와 같은 민감한 정보가 암호화도 되어 있지 않았다. 고객의 정보를 안전하게 보관하고 있다는 기어베스트의 주장과는 상반된 내용이다. 게다가 기어베스트는 IP 주소 등 온라인 거래를 하는 데 있어 불필요한 정보들도 수집하고 있었다.

VPN멘토는 “더 개방되고, 더 정직한 인터넷을 만들기 위한 트렌드가 형성되고 있는 가운데 터진 이런 사고는 꽤나 치명적”이라고 설명했다. “산업을 막론하고 소비자들과의 활발한 소통을 위해 더 투명해지고 정직해지려고 하고 있는데, 기어베스트처럼 ‘잘 하고 있다’는 거짓말로 고객들을 속이는 기업이 나타난 건, 분위기 형성에 찬물을 끼얹는 것입니다.”

VPN멘토는 이번 조사를 통해 “기어베스트 계정들에 접근하는 것만이 아니라 로그인 정보를 변경할 수도 있었다”고 주장한다. “악성 해커들이 이 정보를 확보할 수 있었다면, 고객의 아이덴티티 정보를 훔쳐 추가 범행을 저지를 수도 있습니다. 게다가 기어베스트는 중국 고객들만을 위한 업체가 아니죠. 전 세계 곳곳에 사용자가 있기 때문에, 사용자들이 더 위험해질 수 있습니다.”

기어베스트 혹은 글로벌이그로우가 운영하던 카프카(Kafka) 시스템의 URL 접근 정보도 이 데이터베이스를 통해 유출됐다. 카프카는 데이터 관리 프로그램의 일부로, 각종 서버들을 통해 전달되는 사이트 데이터를 관리하는 기능을 하고 있다. 사업의 효율성을 높이기 위한 ‘빅 데이터 처리’가 시행되는 곳이라는 뜻이다.

“이런 데이터 관리 시스템에 악의적인 해커가 접근할 수 있다면, 정보를 조작하거나 데이터베이스 특성들을 재설정하고, 심지어 회사 서버의 일부를 아예 불능으로 만들어버릴 수도 있습니다. 서버의 기능에 따라 결과가 달라질 수 있지만 해커가 데이터 수집 과정을 방해하고, 주문을 뒤죽박죽으로 만들고, 창고 관리도 엉망으로 만들 수 있습니다.”

VPN멘토 측은 “기어베스트와 글로벌이그로우에 이 사실을 알려주기 위해 여러 번 연락을 취했다”고 주장한다. “그러나 아무런 답이 없었고, 따라서 자신들이 발견한 내용을 발표할 수밖에 없었습니다.”

이 연구 발표 이후에서야 사태를 파악한 기어베스트는 “데이터 과부하를 막고 외부 툴들을 효율적으로 분배하는 데 사용하는 데이터베이스만이 단시간 동안만 인터넷에 노출됐을 뿐”이라고 발표했다. 또한 “보안 팀 직원 한 명의 실수로 인한 것”이었다고 덧붙이기도 했다. 이 사건 때문에 피해를 입은 고객은 3월 1일부터 3월 15일 사이에 주문을 한 사람들뿐이며, 이들은 28만 명 정도라고 기어베스트는 설명했다.

보안 업체 임퍼바(Imperva)의 테리 레이(Terry Ray)는 “기업들이 새로운 기술들을 적극적으로 활용하긴 하는데, 자신들이 감당할 수 있는 능력 이상으로 활용해서 문제”라고 지적한다. “데이터를 활용해야 한다는 생각을 많은 기업들이 가지고는 있어요. 그리고 데이터를 통한 사업적 기회가 무엇인지도 어렴풋이는 가지고 있습니다. 다만 그에 따른 리스크에 대한 생각은 크게 하지 않는 듯합니다.”

3줄 요약
1. 중국의 거대 온라인 쇼핑몰 기어베스트, 데이터베이스 하나를 인터넷으로 노출시킴.
2. ‘단단히 보호하고 있다’는 홍보와 달리 암호화 처리도 되어 있지 않았던 것으로 나타남.
3. 기어베스트는 ‘별 거 아닌 일’이라고 사건을 축소시키려 하고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)