Home > 전체기사
인기 디지털 지갑 애플리케이션 키링, 수백만 사용자 정보 노출
  |  입력 : 2020-04-07 16:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
GDPR 시행되자 컴플라이언스 체제 갖추느니 유럽 시장에서 발 끊기로 결정
S3 버킷 5개 설정 잘못해 수백만 사용자들의 민감 정보 다량으로 노출시켜


[보안뉴스 문가용 기자] 인기 높은 디지털 지갑 애플리케이션인 키링(Key Ring)에서 사용자 정보 유출 사고가 발생했다고 VPN 보안 업체 vpn멘토(vpnMentor)가 발표했다. 키링은 사용자의 핸드폰에 디지털 지갑을 생성해 주는 앱이며, 회원증이나 고객 카드의 사진을 찍거나 스캔해서 업로드 하는 기능도 가지고 있다. 사용자들은 주로 이 기능을 활용해 신분증과 면허증, 신용카드 등을 보관한다.

[이미지 = iclickart]


키링이 창립된 건 2009년의 일이다. 그로부터 현재까지 약 1400만 명의 사용자를 확보했으며, 6000만 장의 카드를 저장하고 있다고 키링 측은 웹사이트를 통해 홍보하고 있다. 하지만 GDPR이 등장한 이후 유럽연합 국가들의 사용자들에게는 서비스를 제공하지 않고 있기도 하다. 애초부터 GDPR에 맞추기 힘들다는 판단 때문이었다.

그런데 vpn멘토에 의하면 키링이 회사 차원에서 관리하고 있는 AWS S3 버킷이 잘못 설정되어 사용자들이 업로드하고 있는 데이터들이 전부 노출된 상태라고 한다. 이 때문에 조사를 확대시킨 vpn멘토는 키링 소유의 S3 버킷을 네 개 더 찾아냈고, 전부 설정이 잘못 되어 있는 상태였다. 하나 같이 민감한 데이터를 저장하고 있었다. 이를 공격자들이 찾아냈다면 금광을 공짜로 거머쥔 것이나 다름없다고 vpn멘토 측은 표현했다.

vpn멘토 측의 상세 발표문은 여기(https://www.vpnmentor.com/blog/report-keyring-leak/)서 열람이 가능하다.

S3 버킷은 AWS 생태계에서 가장 인기가 높은 스토리지 솔루션으로, 자체 보안 기능을 다양하게 탑재하고 있으나 설정 오류 한두 가지로 전부 무용지물이 된다. 그래서 모든 정보가 인터넷을 통해 고스란히 노출되는 사고가 유독 자주 일어난다. 키링에서 발생한 사건도 그런 흔한 ‘실수로 인한 정보 유출 사고’ 중 하나다.

언제부터 S3 버킷이 인터넷에 노출되어 있었는지는 확실히 알 수 없다. vpn멘토가 스캔을 통해 민감한 데이터가 버젓이 공개되어 있는 걸 발견한 건 지난 1월의 일이다. 정확한 사태를 파악하고 키링과 AWS 측에 이를 알린 건 2월 18일이고, 해당 버킷들은 20일 즈음 전부 안전한 상태로 전환됐다.

한 AWS S3 버킷에는 4400만 개가 넘는 이미지들이 저장되어 있었다. 전부 키링 사용자들이 업로드한 것들이었다. 이 중에는 정부 요원이 스캔한 정부 기관 출입증도 포함되어 있었다. 각종 상업용 클럽 멤버십카드나 고객 카드, 상품권, 신용카드 등의 이미지들도 다수 저장돼 있었는데, 번호 등의 민감한 정보가 자세하게 스캔돼 악용의 소지가 컸다.

또 다른 버킷에서는 개인 식별 정보가 발견되기도 했다. 이에 영향을 받은 건 대부분 북미 거주자들이며 그 수는 수백만에 달한다고 한다. 가장 많이 발견된 브랜드는 월마트, 클리넥스, 라 마델레인 베이커리, 풋락커, 마텔이었다. 노출된 개인 식별 정보의 경우 사람과 브랜드마다 조금씩 달랐지만 주로 이름, 이메일 주소, 멤버십 번호, 생년월일, 위치 정보, 우편번호 정도로 구성되어 있었다.

그 외 다른 버킷들에는 회사 데이터베이스에 들어가야 할 각종 데이터들도 발견됐다. 사업용 이메일 내용이나 주소, 거래처 주소, 장비의 모델명이나 IP 주소, 심지어 해시된 비밀번호까지, 대단히 민감한 정보들이었고, 경우에 따라 기업이 큰 위기에 빠질 수도 있는 내용들도 있었다.

3줄 요약
1. 인기 높은 디지털 지갑 프로그램 키링, 일찌감치 GDPR 때문에 유럽 시장 포기한 회사.
2. 아니나 다를까, S3 버킷 설정 잘못해 각종 민감한 정보 대량으로 노출시키고 있었음.
3. 그나마 조치를 취해 빠르게 닫긴 했지만, 최소 1달 반 이상은 열린 상태였음.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)