Security

미국 입양 단체, 110만 개인 민감 정보 노출시켜

문가용 기자

문가용 기자

미국 입양 단체, 110만 개인 민감 정보 노출시켜
Photo by Sandy Millar / Unsplash
💡
Editor's Pick
- 텍사스의 글래드니입양센터, DB 관리 실패
- 110만 명의 개인정보와 개인사, 각종 평가지 노출
- 데이터 암호화는 기본...비밀번호 설정과 주기적 점검도 기본

미국의 한 입양 단체가 110만 건이 넘는 개인정보를 노출시키고 있다는 사실이 밝혀졌다. 이를 처음 발견한 보안 전문가 제레마이아 파울러(Jeremiah Fowler)는 “해당 데이터들은 암호화로 보호되지도 않았고, 데이터베이스 자체에도 암호가 걸리지 않았다”며 “기본적인 방어 조치가 하나도 이뤄지지 않은 채, 누구나 접속할 수 있는 상태로 열려 있었다”고 자신의 블로그를 통해 알렸다.

문제의 입양센터는 ‘글래드니입양센터(Gladney Center for Adoption)’로, 미국 텍사스에 위치해 있었다. 파울러는 총 2.49GB의 데이터를 찾아냈는데, “입양된 아동과 입양한 부모, 생물학적 부모와 가족 등 매우 민감한 정보로 구성돼 있었다”고 한다. 심지어 “센터 직원들의 개인정보도 포함돼 있었다”고 그는 밝혔다. 여기에는 아동과 가정에 대한 비공개 평가 자료와, 입양에 이르기까지 있었던 과정들을 모아둔 사건 일지까지 있었다. 

파울러는 “데이터의 양도 양이지만, 노출되어 있던 데이터의 성격 때문에 더 우려되는 사건”이라고 지적한다. “어떤 아동이나 가족이 어떤 성향을 가지고 있는지, 과거 개인사가 어땠는지, 입양 사유, 파양 사유, 각종 약물 복영 이력 등 어쩌면 이름이나 연락처보다 더 치명적일 수 있는 비밀들이 전부 열람 가능했습니다. 개개인에 따라 이는 평생 숨기고 싶은 정보일 수도 있는데 말이죠.”

공격자들도 이런 정보들을 선호한다. 개인 식별 정보에 더해 개인사와 관련된 민감 정보를 손에 넣게 되면 대단히 설득력 있는, 진짜보다 더 진짜 같은 사회 공학 공격을 실시할 수 있기 때문이다. 파울러도 이 점을 우려했다. “너무나 그럴 듯한 사기 시나리오를 짜기에 알맞은 정보들이 DB에 저장돼 있었습니다. 누군가 이 정보를 이미 가져갔다면, 이 센터를 사용해본 적 있는 사람들은 위험에 처할 수 있습니다.”

파울러는 이 DB를 발견하자마자 해당 센터로 메일을 보내 상황을 알렸다. 다행히 글래드니 측은 즉각 DB를 비공개로 전환했다. 지금은 해당 DB에 접근할 수 없는 상태다. “하지만 그 전까지 DB가 얼마나 전체 공개 상태로 유지되어 있었는지, 그 기간 동안 누가 얼마나 접근해 어떤 데이터를 열람하거나 가져갔는지 아무도 알 수 없습니다. 이러한 종류의 사건에서는 늘 이러한 내용을 뚜렷하게 알 수 없어 찝찝합니다.”

보안의 기본, 암호화와 비밀번호

사용자 기업이나 단체가 DB를 제대로 관리하지 못해 유출되는 데이터의 규모는 천문학적이다. 해커들 중에 이런 식으로 ‘그냥 노출된’ 상태의 DB를 전문적으로 찾아내는 부류들이 존재할 정도다. 해킹 공격을 할 필요도 없이, 그저 URL만 알아내 접속하면 끝이기 때문에 해커들로서는 숨겨진 노다지를 찾는 것과 다름 없다. 이렇게 다크웹으로 흘러들어간 데이터가, 실제 정보 탈취 공격을 통해 입수된 데이터보다 더 많다는 주장도 존재한다.

파울러도 이런 DB를 찾아내는 전문가로서 오랜 시간 보안 업계에서 활동해 왔다. 그는 “저장하는 정보 자체를 암호화 하는 게 기본이 되어야 한다”는 입장이다. “특히 개인정보나 아동들의 민감 정보만큼은 반드시 암호화 된 상태로 관리하는 게 맞다고 봅니다. 그러면 DB 관리에 실패해 정보가 노출된다 하더라도 피해를 최소화할 수 있기 때문입니다. 이런 파일 암호화 습관과 정책이 좀 더 보편화 될 필요가 있습니다.”

중요한 DB라면(즉, 민감 정보를 가득 담고 있는) 주기적으로 비밀번호를 확인하는 것도 중요하다고 파울러는 재차 강조한다. “어쩌다 비밀번호를 걸지 않는 실수를 할 수 있습니다. 그건 사람이라면 누구나 해봄직한 실수에요. 하지만 DB를 주기적으로 점검했다면 빠르게 알아낼 수 있는 실수이기도 하죠. 많은 회사나 단체들이 DB를 전체 공개로 해두고 있다는 건, 대부분 ‘주기적인 점검’을 하지 않는다는 뜻입니다.” 그리고 주기적 점검이 되지 않는다는 건 ‘보안 기본기’가 갖춰져 있지 않다는 뜻이기도 하다.

Read more

반년 넘게 휴식한 친러 랜섬웨어 조직, 마스터 키를 같이 배포

반년 넘게 휴식한 친러 랜섬웨어 조직, 마스터 키를 같이 배포

💡Editor's Pick - 친러 랜섬웨어 조직 사이버포크, 6개월 만에 등장 - 새로운 랜섬웨어 대여 사업 시작 - 하지만 마스터 키가 삽입돼 있어...그래도 살 사람은 살 것 친러 성향을 가진 랜섬웨어 조직인 사이버포크(CyberVolk)가 활동을 재개했다. 2025년 상반기 대부분의 시간을 조용히 지내더니, 8월에 다시 나타난 것이다. 반년

By 문가용 기자
VS코드 개발자 노린 악성 캠페인, 의존성 교묘히 조작

VS코드 개발자 노린 악성 캠페인, 의존성 교묘히 조작

💡Editor's Pick - 플러그인으로 풍부해진 시장, 플러그인으로 흔들려 - 이번 캠페인, 최소 10개월 동안 무탈하게 진행 - 개발자들도 주의해야 하지만 MS 측에서 보안 강화해야 개발자들을 노린 악성 캠페인이 발견됐다. 이미 적잖은 시간 진행된 후에 발견된 것이라, 피해자 역시 상당할 수 있다는 예측도 나오고 있다. 이 캠페인에 노출되어 있던

By 문가용 기자
랜섬웨어 흉내만 내는 새 안드로이드 멀웨어, 드로이드록

랜섬웨어 흉내만 내는 새 안드로이드 멀웨어, 드로이드록

💡Editor's Pick - 랜섬웨어는 아닌데, 랜섬웨어의 모든 특징 가지고 있어 - 파일 암호화 기능만 빠져...피해자가 느끼는 압박감은 같아 - 금전 요구가 진짜인지 허풍인지는 아직 확인 어려워 안드로이드 생태계를 위협하는 멀웨어가 새롭게 등장했다. 보안 기업 짐페리움(Zimperium)이 발견한 것으로, 이름은 드로이드록(DroidLock)이라고 한다. 이것에 감염되면 사용자는

By 문가용 기자