보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

인도의 간편 결제 앱 BHIM, S3 설정 오류로 수백만 정보 유출

입력 : 2020-06-02 11:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
설정 잘못해 인터넷에 노출된 DB...409GB의 개인정보와 민감 정보 저장해
발견자가 알려줘도 묵묵부답...오히려 ‘가짜뉴스에 속지 말라’고 대응


[보안뉴스 문가용 기자] 수백 만 명의 인도인들의 개인정보 및 민감 정보가 모바일 결재 앱인 BHIM을 통해 노출됐다. 민감한 정보임에도 암호화 되지 않은 채 아마존 S3 스토리지에 저장되어 있던 데이터들이었다. 해당 데이터베이스는 설정마저 잘못 되어 있었다고 한다.

[이미지 = utoimage]


이를 처음 밝혀낸 건 VPN 평가 전문 업체인 vpn멘토(vpnMentor)였다. vpn멘토가 발표한 내용에 따르면 문제가 된 스토리지에는 409GB의 데이터가 저장되어 있었고, 이는 약 726만 명의 개인정보로 구성된 것이었다고 한다. 전부 BHIM에 가입하기 위해 사용자들이 입력한 정보였다.

이 정보들은 다음과 같다.
1) 주민등록증 사본
2) 거주지를 증명하기 위한 사진 자료
3) 자격증, 인증서, 학위
4) 이름
5) 생년월일
6) 종교
7) 지문 스캔본 등 생체 인식 식별자
9) 금융 및 자산 정보와 은행 거래 기록

vpn멘토 측은 “한 개인을 온전히 특정 짓기에 충분한 정보가 죄다 노출된 것”이라고 주장하고 있으며, “이 정보가 해커들에게 넘어갔을 경우, 매우 쉽게 각종 추가 공격을 이어갈 수 있게 된다”고 경고했다.

개인정보만이 아니었다. CSV 번호가 대량으로 기록된 목록들도 같은 스토리지 안에서 발견됐다. BHIM과 협약을 맺은 기업들의 것이었다. 일부 기업들의 경우 BHIM 앱에 등록된 ID까지도 노출됐다. “이런 정보를 해커가 보유하게 된다면 기업이나 개인을 사칭해 은행 계좌에 접근하는 것도 가능합니다.” vpn멘토의 설명이다.

BHIM은 인도의 국가지불법인(NPCI)이 2016년 출시한 앱이다. NPCI 측은 이런 사건이 발생하자 “사용자 데이터는 하나도 침해되지 않았다”고 전면 부인했다. 그러면서 고객들에 “가짜뉴스에 속지 말라”고 당부했다. “NPCI는 강력한 보안 수칙을 항상 지키고 있으며, 지불 및 사용자 정보를 보호하기 위한 ‘통합적 접근법’을 활용하고 있습니다.” BHIM의 안드로이드 버전은 1억 3400만 회, iOS 버전은 280만 회 다운로드를 기록 중에 있다.

최근 AWS S3 버킷의 설정 오류로 인한 대규모 유출 사고가 잣다. 3월에는 금융 정보와 개인정보가 포함된 50만 건의 문서가 한 모바일 앱의 S3 버킷을 통해 노출된 일이 있었다. 해당 앱은 대형 펀드 회사에서 개발 및 운영하던 것이었다. 2월에는 한 시장 조사 전문 업체의 데이터베이스가 노출됐었다. 또 작년에는 태국의 라이온에어가 AWS 스토리지 버킷 2개를 노출시키는 바람에 수백만 명의 고객 정보가 노출되기도 했었다.

이처럼 기본적인 설정 오류를 통해 일어나는 정보 유출 사고가, 실제 해킹 사고보다 많아지고 있다. “아직 관리자들이 클라우드 스토리지의 사용에 능숙하지 못하기 때문입니다. 또한 클라우드 서비스의 사용이 간편해지고 있고, 그런 쪽으로만 서비스가 발전하기 때문에 사람들이 보안 설정에 대해서 간과하기도 합니다.” vpn멘토 측의 설명이다.

vpn멘토가 BHIM의 문제를 발견한 건 4월의 일이다. “곧바로 BHIM 웹사이트를 통해 이 사실을 알렸습니다. 하지만 아무런 답장을 얻을 수가 없었고, 문제가 개선되지도 않았습니다. 그래서 인도의 CERT에 연락했지만 역시나 아무런 변화가 없었습니다. 5월에 다시 한 번 CERT에 연락을 취하자 문제가 해결됐습니다.”

3줄 요약
1. 인도의 간편 결제 앱 BHIM에서 수백만 고객 정보 유출됨.
2. BHIM의 아마존 S3 스토리지를 관리자가 제대로 설정하지 않아서임.
3. 하지만 BHIM의 개발사는 ‘가짜뉴스에 속지 말라’고 대응 중.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)