세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사
개인정보 유출사고 올스타빗, 이전부터 계속 ‘불안’했다
  |  입력 : 2018-10-18 17:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
긴급 서버 점검만 수차례... 보이스피싱 및 거래소 사칭한 이벤트, 그누보드 사용 등
거래소 운영에 불안정한 모습 지속적으로 포착...예견된 보안사고 가능성 제기


[보안뉴스 김경애 기자] 지난 17일 긴급 서버 점검에 들어간 국내 암호화폐 거래소 올스타빗이 결국 개인정보가 유출됐다고 인정했다. 하지만 어떤 개인정보가 유출됐는지, 유출된 개인정보 규모는 어느 정도인지, 어떤 경위로 개인정보가 유출된 건지 등 여러 사안에 대해 명확한 입장을 밝히지 않고 있다. 이러한 가운데 개인정보 유출사고가 발생하기 전에도 수차례 긴급 서버 점검에 들어가는 등 거래소 운영에 있어 불안정한 모습을 여러 차례 보여왔다는 지적이다. 또한, 보이스피싱 시도와 함께 거래소를 사칭한 이벤트 글이 유포되는 등 여러 이상 징후가 포착돼 이번 사건과의 연관 가능성에 대해서도 관심이 모아지고 있다.

[이미지=올스타빗 공지사항 목록 화면]


올스타빗은 긴급 서버 점검 공지 이후 “며칠 전부터 임직원들의 개인 연락처로 회원님들의 자산과 정보를 빌미로 금전 요구와 협박을 받고 있는 상태”라며, “해당 연락을 받은 시점부터 사실관계 확인을 위해 내부 조사를 실시한 결과, 17일 협박범이 커뮤니티를 통해 올스타빗 내부 직원들의 정보와 일부 회원님의 개인정보를 유포해 이로 인해 올스타빗 거래소 운영에 차질이 생겼다”고 밝혔다.

하지만 유출 사건 경위에 대해서는 자세히 밝히지 않고 있다. 개인정보 유출 규모나 피해 상황, 어느 정도의 금전을 요구했는지 등을 구체적으로 공지하지 않은 상태다.

석연찮은 점은 이 뿐만 아니다. 올스타빗은 지난 9월 28일 “최근 검증되지 않은 허위사실에 대해 인터넷상의 카페, 커뮤니티에 올리거나 유포하는 행위로 인해 혼란을 초래하고 있다”며 “최초 허위 글 작성자를 포함하여 내용을 옮겨 피해를 확산한 대상자(들)에게 업무방해죄 및 명예훼손으로 법적 대응 조치할 것”이라고 밝혔다.

하지만 해당 이슈 역시 구체적으로 어떤 허위사실에 대한 유포가 있었는지 정확히 설명하지 않았다. 그러면서 올스타빗 측은 “고객센터 이용시 발생한 불편함을 해소하기 위해 이번 기회에 고객센터를 새롭게 운영할 예정”이라고 밝혔다.

이는 최근 올스타빗 회원을 대상으로 올스타빗 거래소를 사칭한 허위 이벤트 글이 유포된 것과 올스타빗 임직원 정보 및 일부 회원정보가 유출된 데 대한 강경 대응 입장을 천명한 것으로 풀이된다.

이번 사건과 관련해 한 보안전문가는 “자칭 해커라는 인물은 오픈 대화방을 개설해 일부 회원 정보로 추정되는 자료를 공개하는 등 의도적으로 관심 끌기를 시도했다”며 “보통의 해커와 다르게 자신의 활동을 일부러 노출해 협박의 수위를 높이고 협상의 주도권을 가지고자 했던 것으로 분석된다”고 말했다.

하지만 이에 앞서 올스타빗의 취약한 보안현황에 대한 지적도 잇따르고 있다. 올스타빗은 지난 8월부터 최근까지 긴급 서버 안정화와 입· 출금 지연와 관련된 공지가 수차례 올라왔기 때문이다.

지난 9월 29일에는 ‘올스타빗 고객센터 정상화 예정 일자’ 공지가 홈페이지에 올라왔다. 고객센터 정상화 예정 일자는 2018년 10월 2일(화) 10시로 안내됐으며, 오픈 카카오톡 상담 및 고객센터 전화번호 등 고객센터 정보는 추후 안내하겠다고 공지했다.

같은 날 저녁 6시에는 ‘KRW 입금 처리 지연 안내’를 공지하며 ‘현재 입금대기가 많이 밀려 있는 상황으로 순차적으로 처리가 진행되고 있다. 추가 인력 구성을 통해 입금 서비스가 빠르게 운행될 수 있도록 조치하겠다’고 밝혔다.

하지만 4시간 이후인 밤10시 49분 올스타빗은 ‘[긴급]서버 안정화를 위한 긴급 서버 점검 안내(시간 추가 연장)’를 공지했다. ‘서버 안정화를 위한 긴급 점검이 현시간부로 진행된다며 원활한 거래소 서비스 이용을 위한 점검으로 점검 시간은 2018년 9월 29일(토) 22시 50분~23시 10분(약 20분간) 2018 9월 30일(일) 00시 30분(약 1시간 40분간)으로 안내했다.

이처럼 지속적인 긴급 서버 점검, 입금지연 등 지속적인 문제가 발생했다. 특히, 지난 9월 한 달 동안에만 6일, 7일, 8일, 9일, 10일, 14일, 17일, 18일, 19일, 20일, 23일 29일 등 총 12차례 긴급 점검을 진행하며, 불안정한 운영 상태를 보였다.

더욱이 8월 22일에는 몇몇 사람들에 의해 자금 세탁 및 보이스피싱에 대한 허위 신고로 다수의 피해가 발생하고 있다는 공지가 올라온 바 있으며, 오픈소스인 그누보드 사용으로 인한 보안위협도 도마 위에 오르는 등 여러가지 문제가 제기된 바 있다.

이와 관련 공공기관의 한 보안담당자는 “올스타빗은 게시판으로 오픈소스인 그누보드를 사용했다”며 “오픈소스의 경우 소스코드가 인터넷에 공개되어 있기 때문에, 오픈소스를 기반으로 시스템을 구축할 경우 해커는 소스코드를 보면서 수월하게 공격을 시도할 수 있다. 실제로 그누보드는 올해에만 7번의 취약점 패치를 발표한 바 있는데, 거액의 돈이 거래되는 암호화폐 거래소가 오픈소스로 시스템을 구축했다는 건 사실상 보안을 포기한 것이나 다름없다”고 지적했다.

그러면서 그는 “실제 그누보드의 취약점을 악용해 해킹을 당한 건지는 알 수 없지만, 해킹 여부를 떠나 거래소 시스템이 보안을 염두에 두고 개발된 것은 아닌 것 같다”며 “개인정보 유출경위에 따라 추가적인 피해가 발생할 수 있는 만큼 체계적인 사고대응이 필요하다”고 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 공공 및 민간의 클라우드 컴퓨팅 도입이 더욱 활발해질 것으로 보입니다. 보안성과 효율성을 고려할 때 자사의 클라우드 도입시 가장 우선적으로 검토할 기업 브랜드는?
아마존웹서비스(AWS)
마이크로소프트 애저(MS Azure)
IBM 클라우드
오라클 클라우드
NHN엔터테인먼트 토스트 클라우드
NBP 네이버 클라우드 플랫폼
기타(댓글로)