웰스파고와 캐피탈원에서의 대출 관련 정보 2400만 건 유출
파트너사의 실수인 듯...비밀번호도 설정되어 있지 않고 암호화도 되지 않아

[보안뉴스 문가용 기자] 웰스파고(Wells Fargo)와 캐피탈원(CapitalOne) 등이 발행한 대출 및 저당과 관련된 수만 건의 데이터가 유출되는 사고가 발생했다. 특정 해커 그룹의 공격으로 인한 게 아니라 관리자의 실수로 발생한 사건이다.


이는 보안 전문가인 볼로디미르 디아첸코(Volodymyr Diachenko)가 발견해 알린 것으로, 디아첸코는 1월 10일 엘라스틱서치(Elasticsearch) 데이터베이스 하나가 인터넷에 노출되어 있는 것을 우연히 알게 되었다고 한다. 비밀번호와 같은 기본적인 보안 장치도 없었다. 현재 이 데이터베이스는 삭제된 상태다.

디아첸코는 IT 매체인 테크크런치(TechCrunch)와 함께 이 사건을 수사했고, 그 결과 어센션 데이터 앤 애널리틱스(Ascension Data & Analytics)라는 기업이 이러한 실수를 저지른 것이라는 걸 알아냈다. 어센션은 대출 관련 데이터를 바탕으로 고객 정보 분석을 대행해주는 업체였다. 하지만 캐피탈원이나 웰스파고 측은 어센션과 직접적인 사업 파트너십을 맺지 않고 있다고 한다.

디아첸코가 발견한 데이터베이스에는 총 2400만 건의 기록이 저장되어 있었다. 용량으로 따지면 51GB였다. 이름, 주소, 사회보장 번호, 신용 관련 이력, 대출 금액, 지불 일정 등 주택 저당이나 은행 대출과 관련된 모든 시시콜콜한 세부 정보가 전부 기록되어 있는 문건들이 대다수였다. 이런 정보는 사이버 범죄자들에게 매우 유용하다.

디아첸코는 쇼단이나 센시스(Censys)와 같은 검색 엔진을 사용해 유출된 데이터베이스를 자주 찾아내는 인물로, 이번 발견도 그런 행위들을 통해 이뤄낸 것이라고 밝혔다. “관리나 설정의 실수로 데이터를 노출시키고 있는 사례를 자주 발견하는 편입니다만, 2천만 건의 기록을 저장하고 있는 데이터베이스를 찾아내는 건 흔치 않은 일입니다. 그것도 로그인이나 비밀번호 같은 장치도 없이 말이죠.”

그러면서 디아첸코는 “이런 식의 해프닝은 대부분 인간의 실수로 인해 벌어지는 것이지, 기술적인 오류나 생산자 측에서의 부주의 등으로 일어나는 게 아니”라고 강조했다. “해커들도 이를 잘 알고 열린 데이터베이스를 저처럼 검색하고 데이터를 확보하는 것으로 알고 있습니다.”

또한 테크크런치는 추적을 통해 어센션과 함께 일하는 또 다른 회사인 옵틱스ML(OpticsML)이 이번 데이터 유출 사고와 연루되어 있다는 걸 알아내기도 했다. 하지만 아직까지 옵틱스ML의 정확한 관련성에 대해서는 다 파악하지 못했다고 한다. 어센션 측은 아무런 대응을 하지 않고 있으며, 외신들의 질문에도 아무런 답을 하지 않고 있는 상황이다.

사이버 범죄자들과 국가 지원 해커들에 대한 염려가 높아지는 때이지만 데이터 유출의 상당 부분은 아직 사용자들의 기본적인 실수에 의해 벌어진다고 클라우드 보안 업체 사이퍼클라우드(CipherCloud)의 CEO 프라빈 코타리(Praveen Kothari)는 설명한다. “그렇다는 건 데이터 침해 사고의 대부분은 일어나지 말았어야 한다는 겁니다. 불가항력적이다 뭐 이런 말은 전혀 말도 안 되는 겁니다.”

코타리는 “여태까지 공개된 내용을 보자면 관리자 측의 설정 오류나 실수일 가능성이 높아 보인다”고 덧붙였다. “이런 식으로 새나간 데이터가 작년 한 해동은 전체 유출 사고의 54.7%를 차지하기도 했습니다.”

AG의 데이터 보호 책임자인 조나단 드보(Jonathan Deveaux)는 “가장 흔히 저질러지는 설정 오류는 비밀번호를 걸어놓지 않거나, 접근 제한을 설정하지 않거나, 데이터 암호화를 하지 않는 것”이라고 정리한다. “이런 오류는 대부분 민감한 데이터가 있다는 걸 인지하지 못하거나, 민감한 데이터가 무엇인지 모르거나, 민감한 데이터를 지켜야 한다는 걸 배우지 못했을 때 발생합니다. 보안이 자기를 포함한 모든 사람의 일이라는 걸 모르는 것이죠.”

보안 업체 루시 시큐리티(Lucy Security)의 CEO인 콜린 바스터블(Colin Bastable)은 “결국 이러한 사건은 교육과 훈련의 문제”라며, “이런 사건이 너무 빈번하게 일어난다는 건, 교육과 훈련이 부실하다는 뜻밖에 되지 않는다”고 말한다. “이렇게 치명적인 개인정보를 암호도 없이 인터넷에 놔둔다고요? 그런 일을 할 수 있는 사람은 보안을 전혀 모르거나 전혀 신경 쓰지 않을 때 생기는 일입니다.”

또한 이번 사건은 파트너사 혹은 서드파티를 통한 보안 사고의 또 다른 사례가 되기도 한다. 물론 캐피탈원이나 웰스파고가 직접적으로는 어센션과 사업을 벌이지는 않았다고는 하지만, 분명 어센션을 통해 유출된 건 캐피탈원과 웰스파고의 고객 데이터라는 사실은 확실하다. 보안 업체 사이버GRX(CyberGRX)의 CEO인 프레드 네이프(Fred Kneip)는 “그래서 파트너사 관리가 중요하다”며 “파트너십 체결 시 보안 세부 사항을 잘 파악해야 한다”고 강조한다.

3줄 요약
1. 웰스파고와 캐피탈원의 대출 관련 개인정보 2400만 건 유출됨.
2. 클라우드 계정 하나가 이 모든 정보를 담은 채 인터넷에 노출되어 있던 것임.
3. 유출 사고의 절반 이상은 실수로 인한 것. 보안 교육과 파트너사 관리가 필요한 때.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>