Home > 전체기사
대표적인 간편 지불 앱 벤모와 토스에서 터진 보안 사건
  |  입력 : 2019-06-18 14:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
페이팔이 소유한 벤모, 개발자 API 통해 사용자 거래 내역 공개 중
토스 측 상담사는 타인에게 개인정보 섞인 상담내용을 알려줘


[보안뉴스 문가용 기자] 간편 결제 시스템을 자랑하는 대표적인 핀테크 앱인 벤모와 토스에서 보안 문제가 발생했다. 사용자들의 거래 내역을 API를 통해 공개하고 있는 벤모는, 작년에도 이와 관련한 문제를 지적 받았음에도 고칠 의지가 없어 보이고, 토스는 상담사가 개인정보가 섞인 상담내용을 제3자에게 제공해주는 사고가 터졌다.

[이미지 = iclickart]


깃허브까지 시끄럽게 만든 벤모
페이팔이 소유하고 있는 P2P 기반의 간편 지불 앱인 벤모(Venmo)는 종종 보안 업계의 이슈가 되곤 한다. 2016년, 한 보안 전문가는 벤모의 ‘reply-to-pay’ 기능에서 취약점들을 발견했다. 물리적으로 아이폰에 접근한 뒤 시리 기능을 사용해 돈을 불법적으로 송금하는 걸 허용해주는 취약점들이었다. 공격자가 reply-to-pay 메시지를 피해자의 아이폰으로 보낸 뒤, 피해자 아이폰의 시리로 이를 최종 승인하는 식의 공격 시나리오가 성립 가능하다는 것이 증명됐는데, 결국 벤모 측은 SMS 기반의 reply-to-pay 기능을 삭제했다.

작년에는 모질라의 한 전문가인 항 도 티 둑(Hang Do Thi Duc)이라는 인물이 벤모에서 발생한 거래 행위 207,984,218건을 수집하는 데 성공했다고 발표하기도 했다. 당연히 거래와 관련된 어마어마한 양의 개인정보가 같이 수집됐다. 이 정보들을 분석한 결과 개인에 대한 다양한 면모를 파악하는 게 가능했다고 한다.

“예를 들어 한 사용자의 경우, 대마초 사업자가 분명하다는 걸 알 수 있었습니다. 각종 거래 내역은 물론 개인정보인 이름을 조합했을 때, 그가 남성이며, 캘리포니아의 산타 바바라 지역에서 활동하고 있다는 걸 알 수 있었습니다. 어떻게 거래 내역과 이름만 가지고 여기까지 알 수 있었을까요? 고객들 중 일부가 프로파일에 페이스북 URL을 첨부해뒀더군요. 따라가보니 여러 페이스북 계정이 나왔고, 여기서부터 생각지도 못한 정보들을 얻어낼 수 있었습니다. 거주지와 주요 거래자들까지도 나왔죠.”

이런 식의 상세한 추적이 가능한 건 벤모에서 제공하는 개발자용 API와 거래 기록 공유 옵션의 디폴트 값이 ‘전체 공개’이기 때문이다. 벤모 측에 위와 같은 사실을 알렸지만, 벤모는 프라이버시 가이드만을 조금 변경했을 뿐이었다. 그리고 사용자가 ‘전체 공개’에서 ‘비밀’로 옵션을 바꿀 때 경고 메시지를 띄우지 않도록 조정한 것이 추가된 정도였다. 벤모에서는 여전히 사용자의 거래 내용을 공개하는 것이 ‘디폴트’로 남아있다.

즉, 누군가 거래 내용을 대거 수집해 사용자 한 사람 한 사람을 상세히 추적하는 게 가능하다는 사실이 작년부터 공개되었지만 벤모는 별다른 조치를 취하지 않은 것이다. 그리고 지난 주 또 다른 보안 전문가 댄 살몬(Dan Salmon)은 벤모 내에서 진행된 거래 내역 7백만 건을 수집해 깃허브에 올렸다. 2018년 7~9월 사이, 2018년 10월 1일, 2019년 1~2월에 생성된 정보였다.

살몬은 “이 방대한 분량의 데이터를 공개하는 건, 벤모 사용자들에게 ‘모든 거래 내역이 API 키를 가지고 있는 사람들에게 전부 공개되고 있다’는 걸 알려주고 주의를 주기 위해서”라고 밝혔다. “개발자 API를 보유한 사람이 가져갈 수 있는 정보의 양이 많기도 할 뿐 아니라, 굉장히 민감한 성격의 것도 포함되어 있습니다. 공개 출처 정보(OSINT) 조사를 하는 공격자들에게 있어 상당히 귀한 자료가 될 수 있습니다.”

살몬은 항 도 티 둑의 경우에서처럼 자료를 더 깊이 분석하지는 않은 것처럼 보인다. 하지만 깃허브에 전체 공개 해두었기 때문에 누구나 이 자료를 가져다가 분석을 이어갈 수 있다. 그리고 온갖 교묘한 방법으로 진행되어온 불법 거래 혹은 개인적으로 숨기고 싶었던 은밀한 거래의 내용이 원치 않게 드러나는 것도 가능하다. 항 도 티 둑에 의하면 “자주 등장하는 메시지들을 분석했을 때 많은 힌트를 얻어갈 수 있다”고 한다. 위에 언급된 마리화나 거래자의 경우, “거래 내역 중에 ‘delivery, order, pill, deciduous_tree, evergreen_tree, headband(마리화나의 일종이라고 한다)’ 등의 표현들이 자주 나왔다.”

그러면서 항 도 티 둑은 “조사를 더 해보지는 않았지만 ‘grocery(식료품)’라는 키워드를 가진 거래도 상당히 눈에 많이 띈다”고 덧붙인 바 있다. “마약이나 비슷한 성분을 가진 약초를 거래할 때 자기들끼리 grocery라는 단어를 쓰는 경우가 있지 않을까, 하는 의심이 들기도 합니다. 제 주변 사람들 중에는 채소나 과일 등 진짜 식료품을 이런 온라인 지불 앱으로 빈번하게 구매하는 사람이 한 사람도 없거든요. 누군가 이런 부분을 더 조사해봤으면 합니다.”

참고로 항 도 티 둑이 추적했던 마리화나 상인은 ‘합법적으로’ 장사를 하고 있던 것으로 보인다. 캘리포니아에서는 마리화나의 유통이 법으로 허용되어 있기 때문이다. “그렇지만 누군가 벤모의 자료를 긁어다가 저처럼 추적을 했을 때, 마리화나가 불법인 지역에서 거래되는 상황을 파악하는 게 가능합니다. 그러면 추가 협박 범죄가 발생하거나, 호기심 많은 청소년들이 쉽게 마리화나를 접하게 될 수 있습니다.”

이 문제는 쉽게 해결이 가능하다. 벤모가 ‘거래 내역 공개’ 옵션의 디폴트 값을 ‘비밀’로 바꾸기만 하면 된다. 하지만 벤모 측은 그렇게 할 의지가 없어 보인다. 그렇다면 사용자가 할 수 있는 일은 무엇일까? 그 옵션을 자신이 바꾸면 된다. 벤모가 일괄적으로 바꿔주기를 기다릴 게 아니라, 스스로 옵션 하나만 변경하면 되는 것이다. 거래 내역을 전체 공개로 했을 때 얻을 수 있는 이득이 무엇인지는 아직 아무도 알지 못한다.

한편 토스에서는
6월 17일자로 한 인터넷 카페에서 토스와 관련된 성토 글이 올라왔다. 현재는 연락처도 모르고, 소식도 오래 전에 끊겼고, 아무런 접점도 없는 이가 자기 번호로 연락을 해왔다는 것이다. 알고 보니 “토스 거래내역을 조회했고, 상담문의를 남겼더니 상담원이 알려준 것.” 이에 글 작성자는 토스 측에 항의를 했고, 토스는 “전화번호 전체를 유출한 것이 아니고, 뒷번호만 알려드렸기에 번호 유출로 보기는 어렵다”고 답했다고 한다.

하지만 거듭된 항의에 “토스 상담원은 전화번호가 유출된 것을 인정했고, (카페를 통해) 공론화시키는 것에도 알겠다고 답했다”고 한다. 그런 후 토스는 “새벽에도 문의량이 많다며 글 작성자의 전화를 일절 받지 않는” 상태라고 한다. 해당 글 작성자는 문제의 연락자와 주고받은 문자 내용, 토스 측과 통화한 시간 등을 캡쳐한 화면을 같이 올려 자신의 주장이 사실임을 증명하기도 했다.

이 내용이 사실인지 확인하기 위해 본지는 토스의 여러 창구로 연락을 시도했으나 연결에 성공할 수 없었다. 공식 상담 창구로 전화를 했을 땐 ARS로 반복될 뿐, 그 누구와도 연결이 되지는 않았다. 추후 연락을 취할 수 있게 된다면 기사를 업데이트할 계획이다.

하지만 이 내용이 허위가 아니라면, 토스 내부의 고객정보 관리 실태와 상담원들의 보안 교육 현황, 고객 상담과 개인정보 처리와 관련된 내부 규정에 대한 점검이 필요해 보인다. 한국의 대표 핀테크 앱이자, 젊은 기업 문화의 선두주자 격으로 자리를 잡아가고 있는 토스가 ‘직원 한 명의 개인적인 일탈이자 실수’라는 구태의연한 방식으로 대처하지 않기를 기대한다.

* 기사 업데이트 :

토스는 본지와의 통화를 통해 “변명할 여지가 없는, 우리의 명백한 실수”임을 거듭 강조했다. 그러면서 “피해자에게 바로 연락을 취한 상황이며, 진심으로 사과를 드렸고, 필요한 조치를 하기 위해 계속해서 연락을 주고받는 중”이라고 밝혔다. 다만 “아직 이야기가 조율되고 있는 중이라 조치에 대한 자세한 내용을 밝히기는 어렵다”고 양해를 구했다.

토스는 콜센터를 외부에 두고 있지 않는다. 모든 전화 상담 업무도 내부적으로 처리하며, 따라서 상담 직원을 현장에 투입시킬 때 금융 거래 기술 회사로서 토스가 유지하고 있는 내부 방침을 그대로 반영한 보안 교육을 시키고 보안 조치 사항에 관한 수칙을 명확히 숙지시킨다고 한다.

기자가 확인한 보안 내부 수칙에는 타 고객의 개인정보를 넘기지 않는다는 부분이 정확히 존재하고 있었다. “이번 사안의 경우 상담원 분의 순간적 판단에 의한 실수로 발생한 일이지만, 결국 회사 차원의 책임으로 엄중하게 받아들이고 있습니다.”

현장에서 발생하는 일종의 ‘인간적 오류’라는 설명이다. 그렇기에 이번 일을 계기로 보안 규정이나 상담원 매뉴얼을 개편하려는, 즉 틀을 바꾸는 차원의 계획은 없다. “전체적으로 보안 교육과, 규정의 시행 부분을 더 강화할 예정입니다.” 해당 직원에 대한 조치도 “아직 외부적으로 공개할 단계는 아니”라며 양해를 구했다.

토스 측은 “대량의 고객의 정보가 유출되었다거나, 지속적으로 이런 사건이 발생해온 것이 아니며, 따라서 토스의 시스템에 결점이 있는 건 아니”라는 것을 강조하며, “앞으로 이런 사건이 재발하지 않도록 전사적인 노력을 기울이겠다”고 말했다.


3줄 요약
1. 핀테크 앱 벤모와 토스에서 보안 문제 발생함.
2. 벤모는 거래 내역 공개하는 문제 때문에 두 번째로 시끌시끌해짐. 깃허브에까지 번짐.
3. 토스는 상담원의 고객 개인정보 유출로, 카페는 난리, 회사 상담 창구는 조용해짐.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

베일리테크
랜섬웨어 방어솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향