Home > 전체기사
인도의 간편 결제 앱 BHIM, S3 설정 오류로 수백만 정보 유출
  |  입력 : 2020-06-02 11:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
설정 잘못해 인터넷에 노출된 DB...409GB의 개인정보와 민감 정보 저장해
발견자가 알려줘도 묵묵부답...오히려 ‘가짜뉴스에 속지 말라’고 대응


[보안뉴스 문가용 기자] 수백 만 명의 인도인들의 개인정보 및 민감 정보가 모바일 결재 앱인 BHIM을 통해 노출됐다. 민감한 정보임에도 암호화 되지 않은 채 아마존 S3 스토리지에 저장되어 있던 데이터들이었다. 해당 데이터베이스는 설정마저 잘못 되어 있었다고 한다.

[이미지 = utoimage]


이를 처음 밝혀낸 건 VPN 평가 전문 업체인 vpn멘토(vpnMentor)였다. vpn멘토가 발표한 내용에 따르면 문제가 된 스토리지에는 409GB의 데이터가 저장되어 있었고, 이는 약 726만 명의 개인정보로 구성된 것이었다고 한다. 전부 BHIM에 가입하기 위해 사용자들이 입력한 정보였다.

이 정보들은 다음과 같다.
1) 주민등록증 사본
2) 거주지를 증명하기 위한 사진 자료
3) 자격증, 인증서, 학위
4) 이름
5) 생년월일
6) 종교
7) 지문 스캔본 등 생체 인식 식별자
9) 금융 및 자산 정보와 은행 거래 기록

vpn멘토 측은 “한 개인을 온전히 특정 짓기에 충분한 정보가 죄다 노출된 것”이라고 주장하고 있으며, “이 정보가 해커들에게 넘어갔을 경우, 매우 쉽게 각종 추가 공격을 이어갈 수 있게 된다”고 경고했다.

개인정보만이 아니었다. CSV 번호가 대량으로 기록된 목록들도 같은 스토리지 안에서 발견됐다. BHIM과 협약을 맺은 기업들의 것이었다. 일부 기업들의 경우 BHIM 앱에 등록된 ID까지도 노출됐다. “이런 정보를 해커가 보유하게 된다면 기업이나 개인을 사칭해 은행 계좌에 접근하는 것도 가능합니다.” vpn멘토의 설명이다.

BHIM은 인도의 국가지불법인(NPCI)이 2016년 출시한 앱이다. NPCI 측은 이런 사건이 발생하자 “사용자 데이터는 하나도 침해되지 않았다”고 전면 부인했다. 그러면서 고객들에 “가짜뉴스에 속지 말라”고 당부했다. “NPCI는 강력한 보안 수칙을 항상 지키고 있으며, 지불 및 사용자 정보를 보호하기 위한 ‘통합적 접근법’을 활용하고 있습니다.” BHIM의 안드로이드 버전은 1억 3400만 회, iOS 버전은 280만 회 다운로드를 기록 중에 있다.

최근 AWS S3 버킷의 설정 오류로 인한 대규모 유출 사고가 잣다. 3월에는 금융 정보와 개인정보가 포함된 50만 건의 문서가 한 모바일 앱의 S3 버킷을 통해 노출된 일이 있었다. 해당 앱은 대형 펀드 회사에서 개발 및 운영하던 것이었다. 2월에는 한 시장 조사 전문 업체의 데이터베이스가 노출됐었다. 또 작년에는 태국의 라이온에어가 AWS 스토리지 버킷 2개를 노출시키는 바람에 수백만 명의 고객 정보가 노출되기도 했었다.

이처럼 기본적인 설정 오류를 통해 일어나는 정보 유출 사고가, 실제 해킹 사고보다 많아지고 있다. “아직 관리자들이 클라우드 스토리지의 사용에 능숙하지 못하기 때문입니다. 또한 클라우드 서비스의 사용이 간편해지고 있고, 그런 쪽으로만 서비스가 발전하기 때문에 사람들이 보안 설정에 대해서 간과하기도 합니다.” vpn멘토 측의 설명이다.

vpn멘토가 BHIM의 문제를 발견한 건 4월의 일이다. “곧바로 BHIM 웹사이트를 통해 이 사실을 알렸습니다. 하지만 아무런 답장을 얻을 수가 없었고, 문제가 개선되지도 않았습니다. 그래서 인도의 CERT에 연락했지만 역시나 아무런 변화가 없었습니다. 5월에 다시 한 번 CERT에 연락을 취하자 문제가 해결됐습니다.”

3줄 요약
1. 인도의 간편 결제 앱 BHIM에서 수백만 고객 정보 유출됨.
2. BHIM의 아마존 S3 스토리지를 관리자가 제대로 설정하지 않아서임.
3. 하지만 BHIM의 개발사는 ‘가짜뉴스에 속지 말라’고 대응 중.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)