유출 데이터 가치 수천만 달러에 달해...사용자의 부주의 때문에 발생

[보안뉴스 홍나경 기자] 금융 컨설팅 업체인 아메리프라이즈 파이낸셜(Ameriprise Financial)의 고객 350명의 중요한 재정관련 데이터가 의도치 않게 유출됐다. ZDnet에 따르면 현재 아메리프라이즈의 프랜차이즈를 운영하고 있는 재무설계사가 자신의 집에서 인터넷에 연결된 드라이브에 자료를 백업하던 중 일어난 일로 드러났다. 이렇게 유출된 데이터는 수천만 달러에 달하는 가치를 지닌 것으로 밝혀졌다.

ZDnet에 따르면, 유출된 고객정보들은 네트워크에 연결된 저장장치에서 유출됐다. 아메리프라이즈의 네트워크 스토리지(NAS)는 아이디와 비밀번호 설정이 되어 있지 않는 체계로 이루어져 있고, 이는 안전하지 않은 방법으로 고객자료가 보호되고 있었다는 사실을 의미한다. 또한, 이렇게 안전하지 않은 스토리지가 직원의 사무실뿐만 아니라 그의 집에서도 동기화 되어 인터넷을 통해 사용할 수 있게 됐고, 이로 인해 재무설계사의 집에서 유출사고가 발생했다.

즉, 아메리프라이즈의 직원이 사무실용 백업 드라이브와 동기화되어 있는 드라이브를 집에서 연결했고 이로 인해 자료가 유출된 것이다. 유출된 자료들에는 고객들의 은행정보, 재무계획, 신분증번호(SSIN: Social Security Numbers) 외에도 재무설계사의 개인정보를 포함하고 있는 파일들과 복구화 키도 포함되어 있는 것으로 알려졌다.

이는 맥키퍼(MacKepper)의 보안연구원인 크리스 비커리(Chris Vickery)가 쇼단(Shodan)의 검색엔진을 살피던 중 우연히 발견했다. 아메리프라이즈에는 수천만 명의 계약자들이 직접 자신의 프랜차이즈를 운영하고 있는데, 이 사건으로 인해 미국 전역의 프랜차이즈 운영자들이 준수하고 있는 보안정책에 대한 의문이 제기되고 있다.

비커리에 따르면, 재무설계사는 사무실용 백업 드라이브의 경우 회사 측에서 제공한 것이라고 밝혔으나, 아메리프라이즈는 자사의 온라인 저장소는 안전하다는 입장을 표명한 것으로 전해졌다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 홍나경 기자(hnk726@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>