Home > 전체기사
이메일 주소 7억 건 담긴 개인정보 DB 유출... 한국인 정보도 다수
  |  입력 : 2019-01-22 09:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이메일 및 비밀번호 침해 여부 확인 서비스 제공하는 트로이 헌트가 발견
2008~2015년 사이에 발생한 각종 사고를 통해 유출된 정보로 보여
국내 보안전문가 “유출된 개인정보 DB 일부에 한국인 정보 100만개 포함”


[보안뉴스 문가용 기자] 폴더 하나가 인터넷 공간에 올라왔다. 7억 7천 3백만 개의 이메일 주소와 2천 1백만 개의 고유한 비밀번호들이 저장되어 있는 1만 2천 개의 파일들이 이 폴더 안에 저장되어 있었다. 2008년부터 발생한 여러 건의 데이터 침해 사고로부터 나온 정보들로 보인다.

국내 보안전문가에 따르면 유출된 개인정보 DB 일부 중에는 지자체 산하기관을 포함한 한국 웹사이트 50곳에서 유출된 개인정보 등 한국인 정보 100만건 이상이 포함된 것으로 추정된다. 더욱이 한국인 정보는 DB 일부에서 나온 것이라 해당 DB 전체를 확인할 경우 유출 피해 한국인은 훨씬 더 많을 것으로 우려된다.

[이미지 = iclickart]


이 폴더는 총 87GB에 달했고, 보안 전문가 트로이 헌트(Troy Hunt)가 메가(Mega)라는 클라우드 서비스에서 발견했다. 그리고 자신이 운영하는 무료 이메일 침해 여부 확인 사이트인 ‘해브 아이 빈 폰드(Have I Been Pwned, HIBP)’의 데이터베이스에 업로드했다. 비밀번호들은 폰드 패스워즈(Pwned Passwords, PP)라는 비밀번호 유출 여부 확인 사이트의 데이터베이스에 업로드했다.

이런 방대한 데이터 중 1억 4천만 건의 이메일 주소들과 비밀번호의 절반 정도는 여태까지 한 번도 등장하지 않았던 새로운 것으로, 그 동안 유지되어 왔던 HIBP 및 PP 데이터베이스에 처음으로 등록됐다. 이제 PP의 데이터베이스에는 5억 개가 넘는 비밀번호들이 저장되어 있다고 한다.

헌트는 블로그 게시글을 통해 자신이 메가에서 발견한 폴더에는 침해되거나 해시 처리가 무력화된 데이터베이스 2000개 이상으로부터 나온 정보가 저장되어 있었다고 설명했다. “대략적으로 확인한 결과 2008년에서 2015년 사이에 벌어진 침해 사고로 유출된 정보임을 알 수 있었습니다. 그러나 침해 사고만이 데이터 유출의 원인은 아닐 가능성이 높습니다.”

아직까지 누가 이 많은 정보를 한 폴더에 체계적으로 정리해 놓았는지는 밝혀지지 않았다. 공격자들은 이러한 데이터셋을 클라우드 서비스에 마련해놓고, 자동화된 크리덴셜 스터핑(credential stuffing) 공격을 즐겨 실행한다. 즉, 이런 데이터를 기반으로 특정 기업이나 기관에 무작위로 로그인을 시도해보는 것이다. 85GB나 되는 데이터를 손으로 입력하기는 힘들었지만 최근 자동화와 클라우드 기술이 발전하면서 크리덴셜 스터핑 공격이 매우 간단해졌다.

메가에서 발견된 이 폴더와 파일들은 헌트의 발견 이후 사라졌다. 헌트에 의하면 “이 데이터셋은 한 인기 높은 해커 포럼에서 판매 중에 있다”고 한다. “파일들이 저장된 루트 폴더의 이름은 ‘1번 컬렉션(Collection #1)’이었습니다. 그래서 저는 이 침해 사고를 ‘1번 컬렉션’이라고 언급하기 시작했습니다.

1번 컬렉션 사건은 이메일 주소와 비밀번호로 이뤄진 침해 사건 중 가장 큰 규모에 속한다. 얼마 전 메리어트 인터내셔널(Marriott International)에서 발생한 사고에서는 3억 8천만 개의 기록이 새나갔었다. 야후의 명성과 회사 가치를 크게 떨어트린 유출 사고에서는 30억 개의 사용자 계좌가 도난당했었다. 성인 사이트인 애덜트 프렌드 파인더(Adult Friend Finder)에서는 4억 1천 2백만 개의 계좌에서 피해가 발생하기도 했다.

이런 대규모 유출 사고가 자꾸만 발생하는 것에 대해 전문가들은 “비밀번호로만 보호되는 계정이 얼마나 약한지를 드러낸다”고 분석한다. 최근 마케츠 앤 마케츠(MarketsandMarkets)에서 조사, 발표한 보고서에 의하면 이러한 이유로 다양한 산업과 정부 기관들에서 다중 인증를 요구하는 목소리가 높아지고 있다고 한다. 그래서 앞으로 다중 인증 시장은 매년 15.5% 성장할 것으로 예상되며, 2022년 120억 달러 규모가 될 것이라고 보고 있다.

ID 관리 및 접근 제어 전문 기업인 유니켄(Uniken)의 CEO 비말 간디(Bimal Gandhi)는 “크리덴셜의 대량 유출은 조직들에 있어 다채로운 위협을 가할 수 있다”고 말한다. “인터넷 사용자 대부분 비밀번호를 재사용합니다. 개인적인 뭔가에 접근할 때나, 공공의 자산에 접근할 때 구분하지 않고 말입니다. 이것만으로도 이번 유출 사건의 잠재적 위험성은 크다고 볼 수 있습니다.”

그러면서 간디는 “일부 고객이 A라는 회사에서 사용하는 크리덴셜을, B라는 회사에 적용시킬 수 있다”고 설명한다. “무사히 통과될 가능성이 높습니다. 그러면 B라는 회사는 계정 탈취 공격을 당해, 사실상 악성 내부자를 가지게 되는 것과 다름이 없습니다. 게다가 이 공격은 자동으로 실행될 때가 많기 때문에 공격자들로서는 많은 자원을 투자할 필요도 없습니다. 성공 시 효과는 매우 좋지만요.”

게다가 피싱 공격에도 이 크리덴셜 정보는 귀중한 가치를 발휘한다. 보안 업체 트립와이어(Tripwire)의 부회장인 팀 얼린(Tim Erlin)은 “침해된 크리덴셜을 가지고 이메일 협박 공격을 시도하는 사례가 늘어나고 있다”며 “헌트가 메가에서 발견한 데이터를 누군가 먼저 확보했다면 앞으로 또 새로운 이메일 협박 공격이 등장할 수 있다”고 설명했다.

그나마 이번에 발견된 데이터가 비교적 오래되었다는 것이 조금은 긍정적이다. 비밀번호를 주기적으로 변경해왔던 조직이라면 오래된 비밀번호의 유출이 크게 위협적으로 다가오지 않을 것이라고 얼린은 말한다. “사실 기업에서 사용하는 비밀번호는 그래도 잘 바꾸는 편입니다. 개인용 이메일 비밀번호는 정말 안 바꿔요. 이번 데이터에 개인 이메일 크리덴셜이 있다면, 아마 오래되었어도 잘 작동하는 것이 많을 겁니다.”

3줄 요약
1. 최근 메가라는 클라우드에서 한 폴더가 발견됨. 85GB의 이메일 주소와 비밀번호 저장되어 있었음.
2. 이 데이터는 ‘해브 아이 빈 폰드’와 ‘폰드 패스워즈’라는 서비스에 업로드 됨.
3. 2008~2015년 사이에 발생한 유출 사고 및 데이터 관리 오류로 침해된 2000여 개 데이터베이스에서 나온 정보로 보임.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

코맥스
홈시큐리티 / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

동양유니텍
IR PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

보쉬시큐리티시스템즈
CCTV / 영상보안

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

두현
DVR / CCTV / IP

테크어헤드
얼굴인식 소프트웨어

옵티언스
IR 투광기

엔토스정보통신
DVR / NVR / CCTV

구네보코리아
보안게이트

비전정보통신
IP카메라 / VMS / 폴

디케이솔루션
메트릭스 / 망전송시스템

씨오피코리아
CCTV 영상 전송장비

KPN
안티버그 카메라

세종텔레콤
스마트케어 서비스

진명아이앤씨
CCTV / 카메라

티에스아이솔루션
출입 통제 솔루션

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

신우테크
팬틸드 / 하우징

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

창우
폴대

케이티앤씨
CCTV / 모듈 / 도어락

유시스
CCTV 장애관리 POE

지에스티엔지니어링
게이트 / 스피드게이트

인터코엑스
영상 관련 커넥터

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

대원전광
렌즈

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향