엘라스틱서치에서 발견된 전체 공개 DB, 해시로 정리된 27억개 이메일 주소 있어

[이미지 = iclickart]

문제는, 클라우드 사용자 기업들이 클라우드 서버를 잠그지 않는다는 것. 그러면서 민감한 정보들이 인터넷에 고스란히 노출되고 있다. 이런 조직들은 갈수록 늘어나고 있어, 올 한 해 클라우드 설정 오류로 노출된 정보가 작년의 그것보다 50% 증가했다고 한다(5월, 디지털 셰도우즈 보고서).

“클라우드 서비스들은 과거 비싼 돈을 주고 도입해야만 가능했던 서비스를 비교적 저렴한 가격에 누릴 수 있게 해줍니다. 그러니까 조직들이 클라우드로 점점 더 많이 옮기는 것이지요. 그 과정에서 클라우드란 환경을 낯설어 하는 사람들이 실수로 설정을 잘못하는 겁니다.” 보안 업체 쓰레트스톱(ThreatStop)의 부회장인 존 밤바넥(John Bambanek)의 설명이다.

사건 1
지난 주 보안 전문가 밥 디아첸코(Bob Diachenko)는 27억 개가 넘는 이메일 주소를 공개된 엘라스틱서치 DB에서 발견한 바 있다. 이중 10억 개 정도에는 평문으로 된 비밀번호까지 부착되어 있었다. 이메일 주소의 도메인들은 텐센트(Tencent), 시나(Sina), 소후(Sohu), 넷이즈(NetEase) 등 중국 업체의 것이었다. 물론 야후, 지메일 등 다른 나라의 것도 섞여 있긴 했다. 알고 보니 2017년에 발생한 대규모 정보 유출 사건 후 다크웹에서 거래되던 품목들이었다.

해당 엘라스틱서치 DB는 미국에 위치한 코로케이션 서비스에 호스팅되어 있었다. 디아첸코는 이 사실을 엘라스틱서치 측에 알렸고, 엘라스틱서치는 12월 9일 해당 DB를 차단했다. 디아첸코는 “순수 숫자만으로 따졌을 때 가장 큰 정보 노출 사건”이라고 말한다. 그는 지난 5월 2억 7500만 인도인의 개인정보가 저장된 DB가 노출된 것을 발견하기도 했다. “이번 엘라스틱 DB의 경우, 공공 클러스터에 호스팅되어 있었고, 누군가 실시간으로 DB를 업데이트 하는 것처럼 보였습니다.”

디아첸코는 해당 이메일 주소들이 올바른 것인지, 혹은 아직까지도 사용되고 있는 것이지 다 확인해볼 수는 없었다. 다만 이전 사고를 통해 노출된 데이터와 상호 참조 정도는 진행했다. 그는 “확실한 건, 피해자들 대부분 자신들의 이메일이 그런 식으로 노출되었다는 걸 모르고 있다는 것”이라고 지적했다. “중국의 ‘만리방화벽’에 막혀서 경고가 사용자들에게 도달하기가 힘들기 때문이죠. 그러므로 이런 이메일 주소들이 아직까지 사용되고 있으며, 따라서 해당 사용자들이 아직 위험에 노출되어 있을 가능성이 높습니다.”

또한 해당 DB의 주인이 누구인지도 아직 명확히 밝혀지지 않은 상태다. 그러나 유출 사고를 통해 거래된 메일 주소가 실시간으로 업데이트 되고 있었다는 걸 봐서, 사이버 범죄자나 보안 연구자일 가능성이 가장 높아 보인다. “누가 됐든, 일반 사용자들과 똑같은 실수를 저질렀다는 것이 재미있습니다. 즉, 환경설정에서 오류를 범했다는 것이죠.”

힌트가 아예 없지는 않았다. “DB 주인이 이메일 주소들을 MD5와 SHA1, SHA256 해시들로 해시 처리를 했더군요. 모든 주소를 하나하나 말이죠. 이건 분명히 검색을 용이하게 만들기 위한 것입니다. 누군가 다크웹에서 데이터를 사고, 이걸 검색하기 좋게 정리해둔 것이 이 DB의 정체입니다. 다만 그 궁극적인 목적 자체는 불확실합니다.”

사건 2
영국의 모의 해킹 전문 업체인 피두스 인포메이션 시큐리티(Fidus Information Security)에 소속된 연구원들도 이런 DB를 이번 주 찾아냈다. 미국 출생신고서 사본 80만부가 저장된 AWS S3 버킷을 발견한 것이다. 출생신고서 및 사망신고서 사본을 취급하는 한 기업의 것이었다. 해당 DB는 비밀번호조차 걸려있지 않은 채 인터넷을 향해 문을 활짝 열고 있었다. 재미있게도 이 DB에 저장되어 있던 94000개의 사망신고서 사본은 열람이 불가능한 상태였다.

DB 내 출생신고서들은 2017년생의 것부터 저장되어 왔으며, 이름, 생년월일, 주소, 이메일 주소, 전화번호, 기타 다른 개인정보 등을 포함하고 있었다. 피두스의 총괄인 앤드류 마빗(Andrew Mabbitt)은 “S3 관련 프로젝트를 진행하다가 해당 DB를 우연히 발견했다”고 밝혔다. “전체 공개로 설정되어 있어서, 누구라도 URL만 있으면 접속할 수 있는 상태였습니다.”

문제는 이 서버가 아직도 인터넷에 노출된 상태로 있다는 것이다. “회사로 여러 번 연락을 했습니다. 하지만 아직까지도 아무런 답도 없고 대응도 하지 않고 있습니다. 그래서 아마존 AWS 보안 팀에 연락을 했습니다. AWS도 버킷 소유자에게 알린다고만 했지 아직 실제적인 조치를 취하지는 않고 있더군요. AWS는 분명 회사에 알리긴 했을 겁니다. 하지만 회사 측이 아직도 이 연락을 무시하고 있는 듯합니다.”

이런 식으로 노출되는 정보는 여러 가지 온라인 사기와 아이덴티티 도난 사고로 이어질 수 있다. 공격자들은 표적화 된 피싱 공격을 실시할 수도 있고, 개인 식별 정보를 가지고 은행을 해킹하거나 여러 전자상거래 사이트를 뚫어낼 수도 있다. 보안 업체 비트글래스(BitGlass)의 CTO인 아누락 카홀(Anurag Kahol)은 “데이터의 위치와 흐름에 대한 실시간 가시성을 항상 유지하는 게 클라우드 시대에서는 가장 중요하다”고 조언한다. “데이터에 대한 주인의식이 그 어느 때보다 요구되고 있습니다.”

3줄 요약

1. 엘라스틱서치 DB에 저장된 27억개 이메일 주소, 인터넷에 노출.

2. AWS S3에 저장된 80만부 출생신고서, 인터넷에 노출.

3. 클라우드 시대가 되면서 이런 식의 정보 노출 사건이 심각한 수준으로 발생하고 있음. 

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=85119&page=1&mkind=1&kind=1]​