Home > 전체기사

클럽하우스의 사용자와 그 지인들 전화번호 38억 개 유출?

  |  입력 : 2021-07-26 12:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
클럽하우스 사용자의 전화번호 38억 개가 다크웹에 나타났다. 클럽하우스가 사용자의 주소록 정보까지 저장하고 있기 때문에 클럽하우스 미사용자의 전화번호도 여기에 다수 포함되어 있을 것으로 보인다. 다만 이 DB가 처음부터 가짜일 거라는 주장도 나오고 있다.

[보안뉴스 문가용 기자] 인기 소셜미디어인 클럽하우스(Clubhouse)의 DB가 유출됐다고 외신인 인디아타임즈가 보도했다. 다크웹에 누군가 “클럽하우스 사용자의 전화번호 38억 개”를 판매용으로 올려놓은 것이다.

[이미지 = utoimage]


마크 러프(Marc Reuf)라는 보안 전문가가 트위터에 올린 글과 스크린샷에 의하면 가이 포크스(Guy Fawkes) 가면을 프로파일 사진으로 사용하고 있는 한 다크웹 사용자가 클럽하우스의 전화번호 38억 개가 넘는 데이터베이스를 보유하고 있다고 글을 올렸다고 한다. 스크린샷에는 다크웹 게시자의 추가 정보까지도 포함되어 있다.

이 ‘정보’에 의하면 해당 DB에는 클럽하우스를 직접 이용하는 사용자들의 전화번호만이 아니라 그 사용자들의 지인들의 것까지도 포함되어 있다고 한다. 판매자의 주장에 따르면 “클럽하우스가 사용자의 전화번호부에까지 연결되는 방식으로 운영되기 때문”이라고 한다. 이 익명의 판매자는 “클럽하우스에 사용자가 추가될 때마다(누군가 등록할 때마다) 해당 사용자의 주소록 정보가 클럽하우스의 비밀 DB에 저장된다”고 썼다.

이 부분은 클럽하우스의 취약한 보안 특성으로 지적되기도 했었다. 클럽하우스의 취약점 관련 소식은 본지에서 연초에 다루기도 했었다(https://www.boannews.com/media/view.asp?idx=94900). 보안 전문가들은 당시부터도 클럽하우스가 사용자의 주소록 정보까지 가져가는 것을 지적한 바 있다. 따라서 다크웹 판매자의 주장이 마냥 허위로 보이지는 않는다.

이 소식이 나간 후 여러 보안 전문가들이 다크웹을 확인했고, 비슷한 내용을 트위터에 올리고 있다. 트리뷴인디아(Tribune India)는 지텐 제인(Jiten Jain)이라는 보안 전문가의 트위터를 인용하며 “38억 개의 클럽하우스 사용자 전화번호가 유출됐다”고 보도했다. 제인도 역시 “사용자 주소록에 저장됐던 번호들도 이 DB에 포함되어 있다”고 경고했다. 즉 “클럽하우스에 로그인해 본적이 없다고 하더라도 이번 사고의 피해자가 될 가능성이 다분하다”는 것이다.

주말 동안 이 내용이 적잖은 논란이 되자 클럽하우스 측에서도 조사에 들어갔다. 그리고는 “자사에서 데이터 침해 사고가 발생했다는 흔적을 찾을 수 없었다”고 발표했다. 그러면서 “산업 내 가장 높은 보안 수준을 유지하고자 투자를 아끼지 않고 있다”도 덧붙였다.

클럽하우스 측은 해당 판매자가 팔고 있는 것이 가짜 DB일 가능성을 높게 보고 있다. 인도아시안 뉴스서비스(IANS)와의 인터뷰를 통해 클럽하우스 측은 “한 번에 수십 억 개의 전화번호를 무작위로 생성해 주는 봇들이 이미 여러 개 개발돼 시중에 나와 있는 상태”라고 주장했다. 그러나 어느 쪽의 주장도 아직 명확한 근거를 갖고 있지 못하다.

다만 프리프레스저널과의 인터뷰를 통해 보안 전문가 라지셰카 라자하리아(Rajshekhar Rajaharia)는 “해당 DB에는 다른 어떤 정보도 없이 그저 전화번호만 쭈욱 나열되어 있다”고 설명하며 “자동 번호 생성 봇으로 전화번호를 뽑아냈을 때도 이런 DB가 나온다”고 주장했다. 클럽하우스의 손을 들어주는 내용이다.

이번 사건을 통해 지인 중 클럽하우스 사용자가 있다는 것만으로 개인의 전화번호가 덩달아 위험해질 수 있다는 사실이 다시 한 번 상기되고 있다. 따라서 정말로 보안이 중요한 상황에 처해 있는 인물이라면 클럽하우스를 사용하는 지인들은 모르는 번호를 새로 마련하는 게 앞으로도 안전할 것으로 보인다.

기사 추가 : 클럽하우스 측은 다음과 같은 입장문을 보도 후에 보내왔다.
“클럽하우스에서 전화번호가 유출된 사례는 없습니다. 수십억 개의 전화번호를 무작위로 생성하는 봇들이 있으며, 이렇게 생성된 임의의 번호 중 하나가 플랫폼에 존재하는 번호와 일치한 경우입니다. 이 경우 클럽하우스의 인터페이스(Application Programming Interface, API)는 사용자 식별 가능 정보를 보내지 않습니다. 따라서 이는 클럽하우스의 해킹 사례가 아닌 일반적인 자동화된 API 악용 사례라고 볼 수 있습니다.

클럽하우스는 해당 사건으로 인해 사용자 개인 정보가 손상되었다는 어떤 증거도 찾지 못했습니다. 클럽하우스는 개인 정보 보호 및 고객 안정성을 유지하기 위해 업계 최고의 보안을 위해 지속적으로 투자하고 있습니다. 아울러 클럽하우스는 쿠키를 사용하지 않으며, 웹사이트 간에 사용자를 추적 하지도 않고, 제3자에게 개인 정보를 판매하지 않음을 말씀드립니다.”


3줄 요약
1. 클럽하우스의 사용자 전화번호 38억 개가 다크웹에서 판매되는 상황.
2. 문제는 여기에 비사용자의 전화번호도 다수 포함되어 있다는 것.
3. 해당 DB가 가짜라는 주장도 나오고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)