포토스퀘어드, 구글 플레이 스토어에서 유통 중...DB에 비밀번호도 없어

[이미지 = iclickart]

이러한 내용은 VPN 보안 전문 업체인 vpn멘토(vpnMentor)의 전문가들이 발견한 것으로, S3 데이터베이스가 잘못 설정되어 있고, 비밀번호도 마련되어 있지 않아 적잖은 양의 데이터가 인터넷에 고스란히 노출되어 있었다고 한다. 데이터베이스는 포토스퀘어드(PhotoSquared)라는 회사의 것이었다. 포토스퀘어드는 사진 관련 서비스를 제공하는 앱을 개발한 회사다.

해당 데이터베이스에는 1만 개가 넘는 기록들이 저장되어 있었는데, 총 용량이 94.7GB였다. 2016년 11월부터 2020년 1월까지 생성된 데이터가 포함되어 있었다. 기록들 내에는 앱 사용자들의 사진, 주문 기록, 영수증, 배송지와 같은 정보가 있는 것으로 분석됐다. 공격자들이 이 데이터베이스를 찾아냈다면, 개인의 이름과 주소를 정확하게 수집하는 게 가능한 상태였다.

이런 사고는 포토스퀘어드라는 회사의 명성만 하락시키는 게 아니라고 vpn멘토는 강조했다. “이렇게 DB를 실수로 열어두시면 어떤 일이 일어날까요? 실질적으로는 규정 위반으로 인한 벌금을 받을 가능성이 대단히 높고, 경쟁자가 치열한 시장에서는 경쟁력을 크게 상실할 수도 있습니다. 하지만 그 무엇보다, 고객들 개개인들이 대단히 위험해집니다.”

그러면서 vpn멘토는 “이번에 공개된 정보만을 가지고도 각종 피싱 및 신원 사기 범죄를 일으킬 수 있다”고 강조했다. “심지어 물리적인 피해를 입힐 수도 있습니다. 주소와 주문 내역 등을 통해 피해자의 생활 수준을 어느 정도 가늠할 수 있고, 사진까지 있으니 식별 또한 가능하죠. 그러면 그 사람을 추적할 수 있고, 집을 비우는 때를 노려 강도짓을 할 수도 있습니다.”

고객들의 사이버 공격에 대한 피해도 당연히 예상해볼 수 있다. “포토스퀘어드 고객들은 온라인 범죄에도 충분히 노출될 수 있습니다. 사진과 주소를 가지고 소셜 미디어 계정을 찾아낼 수 있고, 이를 통해 이메일 주소도 알아낼 수 있습니다. 그러면서 정교한 피싱 공격을 할 수 있게 되죠. 혹은 SNS 같은 곳에 피해자의 것처럼 보이는 가짜 계정을 만들 수도 있습니다.”

vpn멘토는 간단한 포트 스캔을 통해 해당 DB의 존재를 알아낼 수 있었다고 한다. “매우 간단하게 찾아냈고, 따라서 공격자들 중에서 이미 이 데이터를 가져간 이들이 있을 가능성이 높습니다.” vpn멘토 측은 이 사실을 포토스퀘어드 측에 2월 4일에 알렸고, 포토스퀘어드 측은 열흘이 지난 2월 14일 이 문제를 해결했다.

현재 포토스퀘어드 앱은 구글 플레이 스토에어서 유통되고 있으며 현재까지 약 10만 번 다운로드 된 것으로 나타난다.

vpn멘토는 이러한 사건 사고를 찾아내는 것에 능숙한 업체로, 현재까지 이브로셰(Yves Rocher), 프리덤 모바일(Freedom Mobile), 라이트인더박스(LightInTheBox)와 같은 기업들의 DB가 활짝 열려 있는 것을 발견하고, 그 문을 닫아주는 데 일조했다.

3줄 요약

1. 구글 안드로이드 앱 중 하나인 포토스퀘어드, 개발사가 DB 관리를 잘 못함.

2. 이 때문에 90GB 넘는 개인 식별 정보와 민감 정보가 노출됨.

3. 사용자들은 물리적인 강도 범죄나 인터넷 통한 사이버 범죄의 대상이 될 수 있음. 

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=86452&page=2&mkind=1&kind=1]​