• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

에퀴팩스 뛰어넘는 정보 유출 사건, 3억 4천만 명 피해 2018.06.29

은밀한 마케팅 데이터 수집 및 분석, 제공 회사 이그잭티스
종합적이고 상세하게 정리된 개인정보 데이터베이스 인터넷에 열어놔

[보안뉴스 문가용 기자] 개인정보가 가득한 데이터베이스를 인터넷에 그냥 열어둔 채 놔두면 어떻게 될까? 사람들이 찾아내고 만다. 마케팅 데이터를 전문적으로 다루는 회사 이그잭티스(Exactis)에서 이런 일이 발생했는데, 이 때문에 피해를 본 사람들의 수가 3억 4천만 명이라고 한다.

[이미지 = iclickart]


보안 전문 업체 나이트 라이온 시큐리티(Night Lion Security)의 창립자인 비니 트로이아(Vinnie Troia)는 쇼단 검색엔진을 통해 개인정보가 가득하고 인터넷에 활짝 열려 있는 이그잭티스의 데이터베이스를 찾아냈다. 포춘지에 의하면 이그잭티스는 “사람들 뒤에서 은밀히 데이터를 거래, 수집, 분석해 광고 회사들에게 제공해 표적 광고를 가능하게 하는 사업체”라고 설명한다.

와이어드지는 3억 4천만 명이라는 데이터 유출 규모 외에, “2테라바이트”라는 숫자도 보도하고 있다. 또한 트로이아는 와이어드지를 통해 “사실상 미국 모든 시민들의 정보가 들어있는 데이터베이스”라고 설명했으며, “이러한 정보들의 출처가 어디인지는 모르겠지만, 이렇게 많은 사람들의 개인정보가 종합적으로 정리된 데이터베이스는 처음 본다”고 밝혔다.

이 ‘종합적으로 정리된’ 데이터베이스 안에는 신용카드 정보와 사회보장번호는 들어있지 않았다. 하지만 그것 외에는 이름, 주소, 이메일 주소, 정치적 성향, 인터넷 브라우징 기록과 구매 이력, 가족 관계, 취미, 관심사 등 거의 전부 들어있었다고 한다. 광고 회사가 충분히 표적 광고를 기획할 수 있을 정도로, 상세한 프로파일링이다.

보안 업체 코펜스(Confense)의 전략가인 존 로빈슨(John Robinson)은 “이번에 노출된 데이터의 규모도 어마어마하지만, 그렇게까지 상세하고 통합적으로 정리되어 있다는 것이 충격적”이라고 밝힌다. “광고사들의 표적 광고 운영에도 유용하겠지만, 해커들의 정교한 피싱 공격에도 큰 쓸모를 발휘할 것입니다. 정교하게 개인화된 피싱 공격은 값비싼 보안 장비들을 무력화시키는 공격법입니다.”

규모로서도 이 사건은 역대 최악의 해킹 사건으로 꼽히는 에퀴팩스(Equifax)를 훌쩍 뛰어넘는다. ‘미국 성인 거의 전부’의 개인정보가 유출됐다고 묘사되는 에퀴팩스 해킹 사건 때의 피해자는 1억 4천 6백명으로 집계되고 있기 때문이다.

트로이아는 와이어드지에 “개인적으로 아는 사람들을 데이터베이스에서 검색했을 때 거의 대부분을 찾을 수 있었다”고 설명했다. 이에 와이어드지는 무작위로 10명의 인물들을 선정해 검색해달라고 요청했고, 트로이아는 순식간에 6명을 찾아낼 수 있었다고 한다.

아직까지 사이버 범죄자들이나 악성 해커들이 이 데이터베이스에 접근했는지는 확실히 파악되지 않고 있다. 그러나 트로이아는 “그런 사람들이라면 쉽게 찾고도 남았을 것”이라고 말한다. “저만해도 간단한 쇼단 검색으로 찾아냈거든요. 뭐, 대단한 해킹을 한 게 아닙니다. 그냥 인기 높은 데이터베이스인 엘라스틱서치(ElasticSearch)의 보안 상태가 궁금했고, 그래서 쇼단을 이용해 조사를 한 것뿐입니다.”

그러면서 트로이아는 “엘라스틱서치를 알아보자고 생각한 보안 전문가나 해커가 세상에 저 하나만은 아니었을 것”이라고 지적한다. “솔직히 제가 이 데이터베이스를 처음 발견했다면, 그게 더 놀랄 일이라고 생각합니다.”

트로이아는 이 사실을 파악해내고는 이그잭티스와 FBI 모두에 연락을 취했다. 이그잭티스는 데이터베이스를 오프라인으로 만들었다. 현재 이 상세하고 통합적으로 정리된 개인정보 데이터베이스는 인터넷으로 접근할 수 없다. 하지만 이그잭티스는 아무런 입장 발표도 하고 있지 않은 상황이다. 와이어드지와 포춘지는 수차례 연락을 시도했지만 모두 실패했다고 보도하고 있다. 심지어 이그잭티스는 잠시 공식 웹사이트를 닫아두기도 했다.

이그잭티스는 홈페이지를 통해 “2억 1천 8백만 명 개인의 정보와 35억 건의 소비자 및 사업체의 기록들을 보유하고 있다”고 광고하고 있는 회사다. 그러면서 “데이터를 연료로 삼고 있는 회사”라고 스스로를 소개하고 있기도 하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>