Home > 전체기사
사물인터넷 제조사 와이즈, DB 실수로 240만명 데이터 노출
  |  입력 : 2019-12-31 11:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사물인터넷 제조사, 최근 성장세에 맞추려 내부 프로젝트 진행하다가 실수
240명 고객들의 정보가 노출된 것으로 보여...조만간 모두에게 이메일 갈 것


[보안뉴스 문가용 기자] 사물인터넷 전문 업체인 와이즈(Wyze)가 소유한 엘라스틱서치(Elasticsearch) 데이터베이스가 인터넷을 통해 활발히 공개되어 있는 게 발견됐다. 이를 통해 수백만 고객의 기기 및 이메일 정보가 외부로 유출되었을 가능성이 높은 것으로 보인다.

[이미지 = iclickart]


와이즈는 스마트 홈 카메라와 커넥티드 장비들을 만드는 회사다. 스마트 홈 어시스턴트인 아마존 알렉사나 구글 어시스턴트와 연계되는 제품을 주로 생산한다. 이번에 문제가 된 데이터베이스는 12월 4일부터 열렸고, 12월 26일에 닫혔다. 고객들의 이메일, 카메라 장비의 이름, 와이파이 SSID, 와이즈 장비 정보, 일부 베타 테스터들을 위한 추가 정보 등이 저장되어 있었다.

약 240만 와이즈 사용자들이 이 사건으로 인해 영향을 받을 수 있는 것으로 보인다. 하지만 와이즈 측은 아직까지 정확한 수를 공개하지 않고 있다. “일부 와이즈 고객의 데이터”라고만 표현하고 있을 뿐이다.

와이즈는 자사 블로그를 통해 “최근 가파른 성장을 하고 있어 회사 내부적으로 장비 활성화, 연결 실패율 감소 등을 위한 새로운 프로젝트를 시작했었다”고 자초지종을 설명했다. 그 프로젝트의 일환으로 보다 유연한 데이터베이스를 활용하는 것이 검토됐고, 그 과정에서 민감한 데이터가 노출되는 일이 실수로 벌어졌다는 것이다. “한 직원의 실수로 일어난 일이고, 현재 어떤 과정을 통해서 일이 벌어졌는지 조사 중에 있습니다.”

문제의 DB에는 2만 4천명 사용자의 알렉사 토큰도 저장되어 있었다. 이 토큰을 가지고 사용자들은 와이자 카메라를 알렉사 장비와 통합시킬 수 있게 되며, 따라서 굉장히 사적인 정보라고 볼 수 있다.

또한 와이즈 측은 “iOS와 안드로이드용 API 토큰들이 유출되거나 악용된 것 같지는 않지만, 이번 사건을 통해 새롭게 바꾸기로 결정했다”고 발표했다. “다행히 이번 데이터베이스에는 사용자들의 비밀번호나 정부가 지정한 개인정보 및 금융 정보가 저장되어 있지 않았습니다.”

와이즈에 의하면 제일 처음 해당 사실을 인지한 건 12월 26일이라고 한다. 해외의 보안 매체인 IPVM.com 측에서 연락을 해 알게 된 거라고 한다. IPVM은 와이즈에 이 사실을 알리자마자 관련 기사를 사이트에 올렸다. IPVM은 텍사스의 컨설팅 업체인 트웰브 시큐리티(Twelve Security)의 블로그를 취재해서 기사를 작성했다고 한다. 이 블로그 포스트 역시 12월 26일에 올라온 것으로 되어 있다.

와이즈는 트웰브 시큐리티의 블로그나 IPVM의 기사에 잘못된 내용이 있다고 강조했다. 특히 와이즈가 데이터를 알리바바 클라우드(Alibaba Cloud)로 전송하며, 골밀도, 일일 단백질 섭취량 등과 같은 데이터를 수집한다는 것과, 6개월 전에도 비슷한 일이 있었다는 내용은 사실 무근이라고 주장했다.

와이즈는 이번 사건과 관련된 모든 고객들에게 이메일을 보내 사과를 함은 물론 앞으로의 절차에 대해서도 안내할 예정이라고 한다. “수사가 진행되면서 새롭게 밝혀지는 사실이 있다면, 그에 대해서도 투명하게 공개할 것입니다.”

3줄 요약
1. 사물인터넷 장비 제조사의 DB, 인터넷에 노출됨.
2. 노출된 기간은 12월 4일부터 26일까지, 약 240만 명이 영향을 받음.
3. 일부 기사에 잘못된 내용 있다고 회사는 반박.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)