설정 잘못해 인터넷에 노출된 DB...409GB의 개인정보와 민감 정보 저장해

[이미지 = utoimage]

이를 처음 밝혀낸 건 VPN 평가 전문 업체인 vpn멘토(vpnMentor)였다. vpn멘토가 발표한 내용에 따르면 문제가 된 스토리지에는 409GB의 데이터가 저장되어 있었고, 이는 약 726만 명의 개인정보로 구성된 것이었다고 한다. 전부 BHIM에 가입하기 위해 사용자들이 입력한 정보였다.

이 정보들은 다음과 같다.
1) 주민등록증 사본
2) 거주지를 증명하기 위한 사진 자료
3) 자격증, 인증서, 학위
4) 이름
5) 생년월일
6) 종교
7) 지문 스캔본 등 생체 인식 식별자
9) 금융 및 자산 정보와 은행 거래 기록

vpn멘토 측은 “한 개인을 온전히 특정 짓기에 충분한 정보가 죄다 노출된 것”이라고 주장하고 있으며, “이 정보가 해커들에게 넘어갔을 경우, 매우 쉽게 각종 추가 공격을 이어갈 수 있게 된다”고 경고했다.

개인정보만이 아니었다. CSV 번호가 대량으로 기록된 목록들도 같은 스토리지 안에서 발견됐다. BHIM과 협약을 맺은 기업들의 것이었다. 일부 기업들의 경우 BHIM 앱에 등록된 ID까지도 노출됐다. “이런 정보를 해커가 보유하게 된다면 기업이나 개인을 사칭해 은행 계좌에 접근하는 것도 가능합니다.” vpn멘토의 설명이다.

BHIM은 인도의 국가지불법인(NPCI)이 2016년 출시한 앱이다. NPCI 측은 이런 사건이 발생하자 “사용자 데이터는 하나도 침해되지 않았다”고 전면 부인했다. 그러면서 고객들에 “가짜뉴스에 속지 말라”고 당부했다. “NPCI는 강력한 보안 수칙을 항상 지키고 있으며, 지불 및 사용자 정보를 보호하기 위한 ‘통합적 접근법’을 활용하고 있습니다.” BHIM의 안드로이드 버전은 1억 3400만 회, iOS 버전은 280만 회 다운로드를 기록 중에 있다.

최근 AWS S3 버킷의 설정 오류로 인한 대규모 유출 사고가 잣다. 3월에는 금융 정보와 개인정보가 포함된 50만 건의 문서가 한 모바일 앱의 S3 버킷을 통해 노출된 일이 있었다. 해당 앱은 대형 펀드 회사에서 개발 및 운영하던 것이었다. 2월에는 한 시장 조사 전문 업체의 데이터베이스가 노출됐었다. 또 작년에는 태국의 라이온에어가 AWS 스토리지 버킷 2개를 노출시키는 바람에 수백만 명의 고객 정보가 노출되기도 했었다.

이처럼 기본적인 설정 오류를 통해 일어나는 정보 유출 사고가, 실제 해킹 사고보다 많아지고 있다. “아직 관리자들이 클라우드 스토리지의 사용에 능숙하지 못하기 때문입니다. 또한 클라우드 서비스의 사용이 간편해지고 있고, 그런 쪽으로만 서비스가 발전하기 때문에 사람들이 보안 설정에 대해서 간과하기도 합니다.” vpn멘토 측의 설명이다.

vpn멘토가 BHIM의 문제를 발견한 건 4월의 일이다. “곧바로 BHIM 웹사이트를 통해 이 사실을 알렸습니다. 하지만 아무런 답장을 얻을 수가 없었고, 문제가 개선되지도 않았습니다. 그래서 인도의 CERT에 연락했지만 역시나 아무런 변화가 없었습니다. 5월에 다시 한 번 CERT에 연락을 취하자 문제가 해결됐습니다.”

3. 하지만 BHIM의 개발사는 ‘가짜뉴스에 속지 말라’고 대응 중.​

[국제부 문가용 기자(globoan@boannews.com)] 

​[https://www.boannews.com​, https://www.boannews.com/media/view.asp?idx=88396&page=1&mkind=1&kind=1​]​