Home > 전체기사
혼다 북미 지부, DB 관리 소홀로 9억 건 넘는 정보 노출시켜
  |  입력 : 2019-12-24 11:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
개인정보와 차량의 세부 정보도 포함되어 있어...표적화 된 피싱 공격 가능
중복 기록 제거하고 집계할 경우 피해자의 수는 2만 6천명이라고 혼다 측은 주장


[보안뉴스 문가용 기자] 북미의 혼다 차량 소유주 개인정보가 저장된 엘라스틱서치(Elasticsearch) 클러스터가 인터넷에 노출된 채로 운영되고 있다는 사실이 발견됐다. 비밀번호조차 필요없을 정도로 훤하게 공개되어 있었다고 한다.

[이미지 = iclickart]


이 클러스터를 12월 11일 제일 처음 발견한 건 보안 전문가 밥 디아첸코(Bob Diachenko)로, 해당 DB는 혼다 북미(Honda North America)가 보유하고 있던 사업 인프라의 일부였으며, 9억 7600만 건의 기록이 저장되어 있었다고 한다.

이 기록들 중 100만 건 정도는 혼다 소유주의 개인정보와 차량 정보도 포함하고 있었다. “아직 중복 정보 등을 전부 제거한 순수 건수를 집계하지는 못했습니다. 즉, 100만 건의 기록에 개인정보가 포함되어 있었다고 해서, 피해자가 100만명이라는 건 아닐 수 있다는 겁니다.”

여기서 말하는 개인정보란 이름, 연락처 상세 정보, 차량 상세 정보 등을 말한다. 전부 개인의 사적인 정보이지만, 비밀번호와 같은 기본적인 보호 장치조차 존재하지 않았다. 불행 중 다행이라면 디아첸코가 이를 혼다 측에 알리자 수시간 만에 조치가 취해졌다는 것이라고 한다.

혼다에 의하면 해당 DB는 원격 계측과 관련된 서비스를 제공하기 위해 마련된 것으로, 데이터 로깅과 서버 모니터링과 관련된 기능을 수행하고 있었다고 한다. 또한 이 사건의 영향을 받은 고객은 2만 6천명 정도일 뿐이라고 주장하기도 했다.

혼다는 “문제가 된 데이터베이스를 상세하게 검토했고, 그 과정에서 중복되는 기록들과 개인 식별 정보가 포함되지 않은 기록들을 전부 제거했다”며 2만 6천 명을 집계한 근거를 제시했다. 또한 “환경설정 실수로 인한 사건”이라며 “실수가 발생한 일자는 2019년 10월 21일인 것으로 나타났다”고 공개했다.

금융 정보나 신용카드, 비밀번호와 같은 데이터는 해당 DB에 저장되지 않았다는 것도 혼다는 재차 강조했다.

디아첸코는 “해당 DB가 노출되어 있었던 시간은 약 1주일로, 악성 행위자들이 이를 발견했다면 정보를 복제하고도 남았을 시간”이라고 경고했다. 혼다는 “데이터가 실제로 유출되었다는 증거가 나온다면 법과 정책에 맞는 보상을 하는 등 모든 조치를 취하겠다”고 발표했다. 그러면서 “앞으로 이런 사건이 또 다시 벌어지지 않도록 여러 가지 보안 강화 대책을 마련할 것”이라고도 말했다.

해당 DB가 검색엔진인 바이너리에지(BinaryEdge)에 처음 색인화 된 건 12월 4일이고, 디아첸코가 이 사실을 발견한 건 12월 11일이다. 디아첸코가 혼다에 알리고, 혼다의 일본 본사에 있는 보안 팀이 DB를 차단한 건 12월 13일이었다.

이 기간 동안 DB를 다운로드 하는 데 성공한 악성 행위자가 있다면 고도로 표적화 된 피싱 메일을 만들어 전송하는 게 가능하다고 한다. 따라서 북미에서 혼다 소유주로 등록되어 있다면 피싱 메일에 유의하여야 할 것이라고 디아첸코는 경고한다.

한편 지난 7월에도 혼다의 네트워크 및 내부 시스템들에 대한 정보가 엘라스틱서치 DB를 통해 고스란히 노출된 사건이 있었다. 당시 호스트 이름, 맥 주소, 내부 IP 주소, OS 버전, 패치 버전 등 대단히 민감한 정보들이 인터넷을 통해 공개된 바 있다.

3줄 요약
1. 지난 7월, 회사 내부 IT 인프라 정보 고스란히 노출시킨 혼다.
2. 이번에는 북미 고객들의 개인정보도 고스란히 노출.
3. 순수 노출된 기록은 9억 건 넘지만 혼다는 ‘진짜 피해자는 2만 6천명’이라고 주장.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)