Home > 전체기사
50억 건 기록이 저장된 DB, 설정 오류로 고스란히 노출
  |  입력 : 2020-03-23 12:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
어도비, 트위터, 링크드인, 텀블러 등에서 발생했던 유출 사고 통해 나온 정보
과거에 공개된 정보지만, 열람과 검색하기에 편하게 수집 및 정리되어 있어


[보안뉴스 문가용 기자] 50억 개의 기록이 저장된 엘라스틱서치(Elasticsearch) 인스턴스가 인터넷에 노출되어 있는 것이 발견됐다. 이 기록들은 과거에 발생한 정보 유출 사건 당시 나온 것으로 밝혀졌으며, 인터넷에 연결된 사람이라면 누구라도 이 기록들에 접근할 수 있다고 한다. 보안 업체 시큐리티 디스커버리(Security Discovery)가 발표했다.

[이미지 = iclickart]


문제의 데이터베이스는 영국의 보안 업체인 킵넷 랩스(Keepnet Labs)의 것으로 분석됐다. 킵넷 랩스는 이메일 기반 사이버 공격에 대한 방어를 위주로 하는 회사로, 해당 DB에는 2012년부터 2019년 사이에 발생한 보안 사고의 정보가 담겨져 있는 것으로 분석됐다. 시큐리티 디스커버리에 의하면 DB는 크게 두 개로 구분되어 있는데, 하나는 5,088,635,374개의 기록이, 다른 하나는 1500만 개의 기록이 저장되어 있으며 후자는 계속해서 업데이트 되는 중이라고 한다.

DB는 정성스레 구조화 되어 있었고, 해시타입, 유출 사고 연도, 비밀번호, 이메일 주소, 이메일 도메인, 원출처 등이 포함되어 있었다. 비밀번호는 해시 처리된 것, 암호화 된 것, 평문으로 보관된 것으로 나뉠 수 있다. 어도비(Adobe), 라스트에프엠(Last.fm), 트위터(Twitter), 링크드인(LinkedIn), 텀블러(Tumblr), VK 등과 같은 회사에서 발생한 사고들로부터 나온 기록들이 대부분이었다.

시큐리티 디스커버리는 이러한 사실을 킵넷 랩스 측에 전달했고, DB는 한 시간도 되지 않아 차단됐다. 데이터 대부분 이전에 공개된 것들이며, 따라서 킵넷 랩스가 독자적인 활동을 통해 수집한 것으로 보이지는 않는다. 그렇다고 하더라도 사이버 범죄자들에게는 여전히 유용한 재료가 될 수 있음은 분명하다. 특히 피싱 공격이나 아이덴티티 탈취 공격에 사용될 수 있다.

킵넷은 해당 DB가 “이미 공개된 정보들만으로 구성된 것”이라고 해명하며 “일부 고객사들을 위해 수집 및 재구성 한 것”이라고 발표했다. 특히 “이전 침해 사고 때 자신들이 피해를 입었는지 정확히 알고자 하는 고객들에게 제공하고자 마련된 프로젝트”라는 설명도 덧붙었다. 그러면서 “기밀에 해당하는 고객정보가 새나가지 않았다”고 강조했다.

이 DB가 처음 발견된 건 3월 16일의 일이다. 시큐리티 디스커버리 측은 3월 15일 바이너리에지(BinaryEdge)라는 검색 엔진을 통해 인덱싱을 실시했다고 한다. 그러나 해당 DB가 언제부터 노출된 상태였는지는 확실히 알 수 없다고 한다. 당연히 어떤 누군가가 얼마나 접근했는지도 지금으로서는 알 수 없다.

킵넷 랩스는 “한 외주 업체가 또 다른 엘라스틱서치 서버로 인덱스를 옮기다가 발생한 일”이라고 설명했다. “이러한 작업을 진행하는 중에 방화벽을 약 10분 정도 비활성화 한 적이 있었는데, 이 시간 동안 데이터베이스를 온라인 서비스에서 인덱싱 하기에 충분했을 것”이라는 설명도 보충됐다.

시큐리티 디스커버리 측은 “이전에 공개된 데이터가 다시 한 번 노출된 것이라고 해서 이 사건이 의미를 갖지 않는다고 볼 수 없다”고 주장했다. 데이터의 양 자체가 어마어마할 뿐만 아니라 접근과 검색 등의 작업도 간편할 수 있도록 다듬어져 있기 때문이다. “따라서 가능하다면 누가 언제 얼마나 이 데이터에 접근했는지 파악하는 게 중요합니다.”

3줄 요약
1. 50억 개가 넘는 기록이 저장된 DB가 노출되어 있었음.
2. 어도비, 트위터 등 유명 회사들의 과거 유출 사고와 관련 있는 데이터들이었음.
3. 영국의 보안 회사가 소유한 DB로 파악됨. DB는 곧 닫혔음.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)