평문 비밀번호 포함, 대규모 2차 피해 우려 확대

[보안뉴스 김형근 기자] 중국인과 기업의 정보를 담은 87억건 이상의 방대한 데이터베이스(DB)가 보안 설정 없이 인터넷에 노출되는 심각한 사고가 발생했다.


해당 데이터는 약 160개의 인덱스로 구성된 초고속 검색 엔진인 엘라스틱서치(Elasticsearch) 시스템에 저장돼 있었으나, 수주 동안 보안 설정 없이 무방비로 방치됐다.

유출된 정보에는 피해자의 이름, 전화번호, 생년월일, 주소는 물론 국가신분증번호(ID)와 이메일, 소셜미디어 계정까지 포함됐다. 개인뿐만 아니라 기업의 등록 정보와 법적 대표자 연락처 등 중요한 비즈니스 데이터도 함께 유출된 것으로 확인됐다.

특히 암호화되지 않아 보호받지 못하는 ‘평문 비밀번호’(Plaintext password)도 다수 포함돼 다른 서비스 계정까지 탈취당할 심각한 위험이 있다.

보안 전문가들은 이렇게 유출된 데이터가 단순한 관리 실수라기보다 여러 소스에서 정밀하게 수집된 ‘의도적인 집합체’라고 분석했다. 특히 유출된 데이터가 공격자들이 추적을 피하려고 사용하는 불렛프루프(Bulletproof) 호스팅 인프라에 저장돼 있었다는 점도 주목할 부분이다.

유출 데이터 중에는 2025년 최신 정보까지 포함돼 있어 과거의 자료가 아니라 현재 진행형 위협임을 시사한다. 또 데이터 규모로 볼 때 수억명의 중국인이 영향을 받았을 것으로 추정된다. 그러나 아직 데이터의 소유주나 배후는 밝혀지지 않았다.

중국은 과거에도 상하이 경찰 데이터(23TB)나 위챗·알리페이(40억건) 유출 등 심각한 대규모 보안 사고를 여러 번 겪은 바 있다. 이번 사고는 데이터 브로커나 불법적인 단체가 정보를 큐레이션 하다가 보안 관리에 실패하며 터진 것으로 보인다.

전문가들은 이미 사이버 범죄자들이 해당 데이터를 이미 탈취했을 가능성이 매우 높다며 철저한 주의를 당부했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>