HAURI

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

보안매체 기사

미국의 GovPayNet.com, 영수증 통해 1천 4백만 정보 노출
등록일 :
2018.09.19
영수증 URL 바꿔 입력하면 다른 사람 영수증 열람 가능해
현재는 패치된 상태...모기업의 잦은 보안 사고가 더 걱정되는 사건


[보안뉴스 문가용 기자] 미국의 수많은 연방 정부 및 주립 정부 기관들에서 사용하는 지불 시스템인 GovPayNet.com에서 1천 4백만 명의 고객 정보가 노출되는 대형 사고가 발생했다. GovPayNet.com은 최근 감옥 보안 업체인 시큐러스 테크놀로지스(Securus Technologies)가 인수한 바 있다.

[이미지 = iclickart]


현재까지 노출된 정보는 지불카드 번호의 마지막 네 자리 수, 이름, 전화번호, 주소 등이라고 한다. 이 사건은 보안 전문 블로거인 브라이언 크렙스(Brian Krebs)가 최초로 보도했다. 그에 따르면 누구라도 쉽게 이 정보를 열람할 수 있다고 한다.

방법은 다음과 같다.
1) GovPayNet.com에서 발행하는 온라인 영수증을 받는다.
2) 서비스 사용자가 주차비나 벌금 등 거래를 할 때마다 영수증은 발급된다.
3) 이 영수증의 URL에 첨부되어 있는 숫자를 살짝 바꾼다.
4) 그러면 해당 숫자와 일치하는 다른 사용자의 영수증도 열람할 수 있다.

GovPayNet.com 측은 브라이언 크렙스 측에 “사용자들이 영수증 사본에 접근하는 방식으로 정보를 열람할 수 있다는 해당 문제를 해결했다”고 알렸으나, “아직까지 이러한 점을 악용해 정보를 악의적으로 탈취한 사례를 찾을 수 없다”고 주장했다. 또한 “불법적인 거래를 시작할 수 있게 해주는 그 어떤 정보도 영수증 내에는 포함되어 있지 않았다”고 덧붙이기도 했다.

뿐만 아니라 GovPayNet.com은 “노출되었다고 하는 정보는 다른 경로를 통해서도 열람이 가능한 공문서들에도 포함된 것”이라고 말했다. “그렇지만 GovPayNet은 만전을 기하고 사용자들의 안전에 최선을 다하자는 의미에서 시스템을 업데이트 했습니다. 현재는 영수증에 승인되지 않은 사용자가 접근할 수 없습니다.”

보안 업체 주니퍼 네트웍스(Juniper Networks)의 사이버 전략가인 닉 빌로고르스키(Nick Bilogorskiy)는 이번 사건을 두고 “다른 정보 유출 사건에 비해 그리 소란 떨 것 없는 일”이라고 말했다. “온라인 지불 서비스 제공업자들, 특히 정부 기관과 협력 관계에 있는 업체들은 고객이 받는 영수증에 대해 특별한 관심을 갖고 보안을 철저히 해야 합니다. HTTPS를 사용하고, 해당 사용자가 로그인 되어 있는지도 확인하고, 영수증 열람 권한이 있는지 확인하는 것이 기본입니다.”

그러면서 빌로고르스키는 “이번 사건과 같은 방식의 정보 노출 및 디렉토리 접근 문제를 방지하려면 익명의 웹 방문자들이 민감한 데이터 파일에 대한 읽기 권한을 허용하지 않으면 된다”고 말한다. 또한 웹으로 접근 가능한 디렉토리들에서 불필요한 파일들을 제거하는 것도 좋은 방법이라고 제안한다.

또 다른 보안 업체 사이버클라우드(CipherCloud)의 CEO 프라빈 코타리(Pravin Kothari)는 “시큐러스 테크놀로지스에서 이런 식의 사건이 발생한 게 처음이 아니”라고 지적한다. 시큐러스는 GovPayNet.com을 올해 1월에 인수한 회사다.

“시큐러스는 지난 몇 년 동안 사이버 보안 사고를 제법 겪었던 곳입니다. 유죄 판결을 받은 범죄자들의 핸드폰을 추적하는 서비스를 남용한 해커들이 시스템에 파고들어 크리덴셜을 다량으로 훔친 적도 있고, 바로 지난 5월에는 계정 보안 힌트 문제를 쉽게 풀 수 있게 하는 바람에 계정에 불법적인 접근이 이뤄지기도 했었죠.” 또한 올 봄에는 한 해커가 시큐러스의 로그인 및 비밀번호 2800개를 훔쳐내기도 했다.

코타리는 “이번 사건 자체가 굉장히 심각한 건 아니”라는 데 동조한다. “쉽게 찾아냈고, 쉽게 해결이 가능합니다. 회사가 주장한 대로 피해가 실제적으로 발생한 것도 아니고요. 진짜 문제는 시큐러스가 자꾸만 이런 식의 사고를 일으킨다는 겁니다. 이번에 발견된 문제를 해결한다고 해도, 또 뭔가를 고치지 않거나 허술하게 설정해서 새로운 보안 구멍을 만들 것이라고 봅니다.”

그러면서 코타리는 “오늘날과 같은 상황에서 데이터를 안전하게 지키려면, 가장 기본적으로는 익명화 형태로 데이터를 저장하는 건 기본”이라고 권장한다. “이렇게 하면 해커들이 정보에 접근한다고 하더라도 유용하게 사용하기는 어려워집니다. 더 많은 자원을 투자해야 하는데, 그렇게 되면 공격이 비싸지므로 꺼려지게 됩니다.”

3줄 요약
1. 미국 정부 기관과 관련된 지불 시스템, 영수증 관리 잘 못해서 1천 4백만 명 개인정보가 노출됨.
2. 다행히 실제 공격 및 피해 사례는 없는 것으로 나타남.
3. 그러나 이 시스템을 보유한 회사는 보안 사고 자주 일으키는 곳. 그러니 앞으로가 더 걱정.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top