익명의 전문가가 이메일로 제보...확인 후 해당 API 삭제
컴캐스트는 “해커의 손에 넘어가지 않았을 것”이라고 자신하지만

[보안뉴스 문가용 기자] 미국의 다국적 미디어 기업 컴캐스트(Comcast)가 운영하는 엑스피니티(Xfinity) 웹사이트에서 제공되는 API를 하나 셧다운시켰다. 해당 API를 통해 집 주소, 계정 번호 등의 고객 정보가 유출되고 있다는 사실이 밝혀졌기 때문이다.


API가 식별할 수 있는 IP 주소를 보유하고 있으면 유출된 계정을 통해 제공되던 모든 서비스들 역시 열람이 가능하다. 이러한 사실은 익명의 전문가들이 이메일을 통해 제보함으로써 밝혀졌다. 이후 두 명의 전문가들이 이 사안에 대한 확인을 추가로 하기도 했다. 컴캐스트는 “문제가 된 API를 통해 고객 정보를 다른 사람들과 공유하는 게 가능하다는 사실을 확인했다”고 발표했다.

컴캐스트의 대변인은 “이러한 긴급 상황에 대해 인지하자마자 내부 엔지니어들이 해당 기능을 비활성화 시켰다”고 강조했다. 또한 “해당 기능은 고객의 가정에서 혹은 고객이 와이파이 네트워크에 로그인 했을 때에만 사용이 가능한 것이었다”고도 말했다. 즉, 해당 API를 통해 고객이 이미 유출되어 나쁜 의도로 사용되었을 가능성이 0에 가깝다는 것이다.

하지만 보안 업체 옵시디언 시큐리티(Obsidian Security)의 CTO 벤 존슨(Ben Johnson)은 “기본적인 API 인증 절차를 무시했다는 건, 컴캐스트라는 커다란 회사에 있어 부끄러워 해야 할 일”이라고 지적한다. “결국 또 위험에 처한 건 컴캐스트를 먹여 살리는 고객들이어야 했으니까요.”

존슨의 설명은 계속된다. “공격자들에게 필요했던 건 와이파이 비밀번호 뿐이었습니다. 이는 여러 방법을 통해 손쉽게 얻어낼 수 있는 것이고요. 그 정보 하나만 있으면 이번에 발견된 API를 통해서 민감한 고객 정보를 얻어갈 수 있었습니다. 여기에는 위치 정보도 포함되는데, 컴캐스트 입장에서는 가장 귀중한 자산 중 하나죠. 이런 간단한 일이 한 건도 발생하지 않았다고 어떻게 그렇게 자신할 수 있는지 모르겠습니다.”

존슨은 “각종 기업과 조직들을 관장하는 보안 팀이라면 인증과 허용에 대한 모든 측면을 고려해야 한다”고 주장한다. “컴캐스트의 오늘 발표처럼, 어떤 영역에서는 침투가 불가능하다고 전제를 깔아버리는 건 굉장히 위험하고, 전혀 보안에 대해 모르는 사람의 행동일뿐입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>