Home > 전체기사

2018년을 얼룩지게 했던 대규모 정보 유출 사건들

  |  입력 : 2018-12-26 19:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
숫자로만 보면 메리어트 호텔이 1위...영향력은 페이스북
각종 정보 조합했을 때 정교한 소셜 엔지니어링 공격 가능하게 돼


[보안뉴스 문가용 기자] 이 말을 몇 년 째 하는지 기억도 나지 않지만, 2018년 또한 “기록적인 유출 사고의 해”로 기록될 전망이다. ‘올해가?’라는 의문이 먼저 들었다면, 그건 반복된 유출 사고 때문에 그런 소식들에 아무런 반응도 하지 않게 되었기 때문이다. 무감각해진 것이다. 하지만 개인정보, 신용카드 정보, 비밀번호 등은 여전히 공격자들의 좋은 먹잇감이다. 올해 일어난 대형 유출 사고들을 간략하게 정리해본다.

[이미지 = iclickart]


구글 플러스 : 5250만
구글의 소셜 미디어 프로그램인 구글 플러스에서 소프트웨어 취약점 두 개로 인해 커다란 프라이버시 침해가 발생했다. 먼저는 구글 플러스의 API에서 소프트웨어 버그가 하나 발견됐다. 구글 내부 보안 팀이 발견한 것으로, 외부 개발자들이 구글 플러스 프로파일 데이터에 접근할 수 있도록 해주는 것이었다. 이 취약점은 3년이나 존재했던 것으로 나타났다. 심지어 구글은 이 사실을 외부에 알리지 않기로 했으나 월스트리트저널이 10월에 보도했다. 구글의 평판은 크게 떨어졌다. 거기다가 두 번째 API 버그가 11월에 발견됐다. 사용자의 구글 플러스 프로파일 정보를 열람하는 것을 허용해주는 버그였다. 사용자가 공개하지 않은 내용도 열람 가능했다.

메이지카트 사건 - 족히 수천만
메이지카트(Magecart)라는 범죄 단체가 등장해 올해 내내 여러 웹사이트들을 털고 정보들을 가져갔다. 티켓마스터(Ticketmaster)의 디지털 카드 리더기가 제일 먼저 당하더니 영국항공, 뉴에그(Newegg), 피디파이(Feedify), 쇼퍼어프루브드(Shopper Approved), 비전다이렉트(VisionDirect)가 차례로 당했다. 메이지카트는 여러 범죄 단체의 연합으로, 주로 웹사이트에 스크립트를 주입하는 기법을 통해 온라인 지불 정보를 훔쳐냈다. 피해자들의 목록만 봐도 이 방법이 얼마나 효과적이었는지 알 수 있다. 게다가 메이지카트는 12월부터 관리자 크리덴셜 정보도 훔치기 시작했다.

메리어트 호텔 - 5억
11월, 메리어트 호텔 측은 약 5억 명의 숙박객 데이터가 노출된 채 유지되어 있었다고 밝혔다. 그것도 무려 2014년부터 말이다. 해커들은 메리어트 소속 스타우드(Starwood)의 예약 정보 데이터베이스에 접근해 소셜 엔지니어링 공격자들이라면 누구나 군침을 흘릴만한 정보 패키지를 얻어내는 데 성공했다. 즉, 이름, 우편 주소, 전화번호, 이메일 주소, 여권 번호, 스타우드에서 발급해주는 숙박객 계정 정보, 생년월일, 성별, 도착 및 출발 일자, 예약 일자, 선호하는 연락 방법 등이 공격자들의 손에 넘어간 것이다. 심지어 일부는 지불카드 정보도 도난당했다.

언더 아머 / 마이피트니스팔 - 1억 5천만
피트니스 관련 제품 제조사인 언더 아머(Under Armour)가 지난 3월 마이피트니스팔(MyFitnessPal) 앱의 사용자 1억 5천만 명의 정보가 침해됐다고 발표했다. 해커들이 가져간 정보는 사용자 이름, 이메일 주소, 해시 처리된 비밀번호였다. 이 사건의 경우 회사가 침해 사실을 파악하고 불과 4일 뒤에 고객들에게 알리기 시작했기 때문에, 소비자들의 반응이 그리 나쁘지만은 않았다. 하지만 비밀번호를 해시 처리한 것이 SHA-1이라는, 약하기로 유명한 알고리즘이었기 때문에 비판도 받았다.

걸스카우트 - 2800명
‘대규모’라고 이름 붙이기에는 어울리지 않는 숫자다. 하지만 이 사건은 그 적은 숫자에도 불과하고 많은 이들의 관심을 모았다. 지난 10월 아메리카 걸스카우트(Girl Scouts of America)의 캘리포니아 지부에서 ‘해킹을 당했다’고 발표했다. 공격자는 스카우트 사무실에서 사용하던 이메일 주소 하나에 접근했고, 이를 이용해 메일을 발송했다. 걸스카우트 측이 어떤 메일인지 정확하게 밝히지 않아서 확실하게 알 수 없지만, 피싱 이메일 공격을 펼치기 위한 것이라고 보였다. 수사를 더 진행했을 때 해당 메일 계정으로 걸스카우트 멤버들의 여행 일정을 짠 것으로 나타났다. 따라서 메일보관함에 개인정보들이 가득히 들어있었다. 걸스카우트 멤버 및 가족 구성원 2800명의 것이었다. 다행히 쿠키는 안전했다.

페이스북, 페이스북, 페이스북 - 7천만 명 이상
올해는 아마도 페이스북 최악의 해였을 것이다. 지난 5월에는 소프트웨어 버그 때문에 사용자들이 게시글을 올릴 때 ‘대상 제안(suggested audience)’으로 조정했던 것이 전부 ‘전체 공개’로 전환됐다. 1천 4백만 사용자가 여기에 영향을 받았다. 즉, 1천 4백만 명이 ‘친구들에게만’ 공개하려고 했던 내용을 원치 않게 모두에게 보여주게 된 것이다. 또한 9월에는 View As 기능의 오류를 해커가 익스플로잇 했다는 발표가 있었다. 사용자 5천만 명의 접근 토큰이 도난당했다. 12월에는 서드파티 앱이 사용자가 공개하지 않은 사진에 접근할 수 있게 해주는 버그도 발견됐다. 이 때문에 680만명 사용자가 피해를 입었다.

NASA의 데이터 유츨 사건 - 아직 수사 중
12월에 발표된 사건으로, 해커가 10월에 네트워크에 침투했음이 공개됐다. 아직 수사가 진행 중이긴 하지만, 침해된 데이터베이스는 인사과의 것으로 보인다. 이 때문에 NASA에서 근무한 경험이 있던 사람들과 현재 근무자 수천 명의 개인식별 정보가 유출됐다. 사회보장번호도 여기에 포함되어 있는 것으로 알려져 있다. 아직 정확한 피해 규모는 밝혀지지 않았다. 하지만 적지 않은 것으로 보인다. 2006년 7월부터 2018년 10월까지의 정보가 전부 침해됐기 때문이다.

T모바일 - 230만
지난 8월 무선 통신 사업자인 T모바일(T-Mobile)이 수백만 고객들에게 경고 메시지를 보냈다. 자사 웹사이트가 침해되었고, 가입자의 이름, 우편번호, 전화번호, 이메일 주소, 계좌 번호가 전부 도난당했다는 내용이었다. 처음에는 7천 7백만 고객들에게 경고가 날아갔으나, 알고보니 영향을 받은 건 3%에 불과했다. 그래도 약 230만 명이라 적은 숫자는 아니었다. T모바일 측은 웹사이트의 한 API를 통해 정보가 유출된 것으로 보인다고 밝혔다. 그러나 상세 내용은 공개하지 않았다.

티켓플라이 - 2600만
티켓플라이는 각종 행사의 표의 판매와 구매를 대행해주는 사이트로 티켓마스터와의 경쟁자답게, 침해 사고도 같은 해에 겪었다. 해커가 사이트를 장악한 시간 동안 티켓플라이 웹사이트를 방문하면, 화면에 “Ticketfly HacKeD By IsHaKdZ”라는 글자가 뜨는 걸 볼 수 있었다. 또한 “당신의 보안은 형편없습니다. 다음에도 이렇다면 데이터베이스를 공개할 겁니다”라는 협박 메시지도 포함되어 있었다. 티켓플라이는 공격자들이 취약점을 알려주는 대신 7500달러를 달라고 요구했다고 밝혔다. 하지만 거래에 응하지 않았기 때문에 취약점이 무엇인지는 아직까지 모르고 있다.

오비츠 - 88만
엑스피디아(Expedia)가 소유한 여행 사이트 오비츠(Orbitz)는 지난 3월 소비자와 파트너 플랫폼이 전부 침해됐다고 발표했다. 메인 사이트인 Orbitz.com은 아니었다. 아무튼 이 때문에 88만 건의 지불 정보가 유출됐는데, 소비자 플랫폼의 경우는 2016년 전반기 동안에 실제 공격이 일어났고, 파트너 플랫폼은 2016년 1월부터 12월 22일까지 공격이 진행된 것으로 나타났다. 공격에 꽤나 긴 시간 노출되어 있었던 것이다. 노출된 데이터는 카드 정보를 비롯해 이름, 전화번호, 이메일 주소, 영수증 청구 주소였다. 다행히 비밀번호는 무사했다.

쿼라 - 1억
크라우드소싱 Q&A 서비스인 쿼라(Quora)가 12월 대규모 침해 사고의 주인공이 됐다. 1억 명의 사용자에게 영향을 줄 수 있는 사건으로, 사용자의 이름, 이메일 주소, 해시 처리된 비밀번호, 메시지 함 내용물, 사용자가 연결한 외부 계정으로부터 임포트 된 데이터가 전부 유출된 것이다. 해커들은 심지어 사용자들이 했던 질문들과 대답들, 댓글, 좋아요 및 싫어요 투표 기록들에 대한 정보도 가지고 갔기 때문에 정교한 소셜 엔지니어링 공격이 원활할 것으로 예상된다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

kim 2020.12.08 12:40

ㅎ핳ㅎㅎㅎㅎ헣 렛추 티모


exp 2019.05.03 09:47

우와


  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)