Home > 전체기사
주말 동안 사용자 정보 유출사고 두 건 : 에잇트랙스와 구글
  |  입력 : 2017-07-03 10:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
라디오 서비스 에잇트랙스, 직원의 깃허브 계정 통해 해킹 발생
구글은 여행 및 숙박 대행 파트너사 통해 일부 정보 유출돼


[보안뉴스 문가용 기자] 인터넷 라디오 서비스이자 소셜미디어 사이트인 에잇트랙스(8tracks)가 해킹을 당해 1천 8백만 건의 사용자 이메일 주소와 암호화된 비밀번호가 유출됐다. 이는 비즈니스타임즈(Business Times)가 보도했고, 에잇트랙스 역시 자사 블로그를 통해 사용자들에게 해당 사실을 고지했다. 구글 계정이나 페이스북 계정으로 로그인을 했던 사용자들은 무사하다고 한다.

[이미지 = iclickart]


또한 에잇트랙스는 “당사는 비밀번호를 평문으로 저장하지 않는다”며 “일방향 해시를 사용한다”고 설명했다. 일방향 해시를 사용할 경우 무작위 대입 공격만이 유일한 복호화 방법으로, 이는 시간도 많이 들고 따라서 비용이 크게 올라간다고 에잇트랙스는 강조하며 고객들을 안심시켰다. “단 하나의 비밀번호를 취득하려는 시도도 높은 대가를 지불해야 하는 것입니다.”

하지만 아무리 해시가 강력하게 적용되어 있다고 하더라도 이메일 계정과 비밀번호가 유출되었다는 건 결국 에잇트랙스의 데이터베이스가 뚫렸다는 걸 암시할 수도 있다. 이에 대해 에잇트랙스는 “그런 건 아니”라며 “신용카드 번호, 전화번호, 주거지 주소 등은 안전하다”고 설명했다. 그렇기 때문에 지금이라도 서둘러서 에잇트랙스의 비밀번호는 물론 같은 비밀번호를 사용하는 타 웹 서비스의 로그인 정보도 바꾸면 괜찮을 것이라는 말도 덧붙였다.

“에잇트랙스는 사용자들에게 같은 비밀번호를 여러 서비스에 똑같이 사용하지 말 것을 권고합니다. 특히 금융 서비스와 관련된 민감한 서비스라면 말입니다. 이중인증 옵션을 최대한 활용하는 것이 안전하고, 여의치 않다면 라스트패스(LastPass)나 원패스워드(1password)와 같은 암호 관리자 툴을 사용하는 것도 좋은 방법입니다.”

한편 에잇트랙스는 유출 경위의 조사에 나섰고, 직원 중 한 명의 깃허브(GitHub) 계정에서 최초 공격이 발생한 것으로 파악했다고 발표했다. “해당 깃허브 계정은 이중인증으로 보호받고 있지 않았는데, 누군가 그 깃허브 계정을 통해 비정상적인 방법으로 비밀번호를 변경하려는 시도를 했습니다. 그때 내부적으로 경보가 울렸습니다. 동시에 다른 언론 매체나 보안 업체들도 해당 사실을 파악했고요.”

깃허브를 통한 공격이 맞다면, 데이터베이스나 내부 서버 등은 안전할 수 있다. 에잇트랙스도 이 점을 강조했다. “저희 데이터베이스와 서버는 공공 SSH 키와 비밀 SSH 키 한 쌍으로 보호조치 되어 있습니다. 공격자가 여기를 직접 타격하지는 못했습니다. 그러나 데이터베이스 테이블의 백업에는 도달할 수 있었던 것 같습니다. 거기에 이번에 유출된 사용자 정보가 담겨 있거든요.”

그래서 에잇트랙스는 “현재의 보안 상태에 대한 감사를 실시하고 있으며 깃허브에서는 이중인증 시스템을 마련할 계획”이라고 한다.“

구글 역시 직원 중 일부의 정보가 유출된 것으로 보인다. 더 레지스터(The Register)에 의하면 직접 해커들의 공격을 당한 것은 세이버 호스피탈리티 솔루션즈 신시스(Sabre Hospitality Solutions SynXis)라는 예약 시스템이다. 이 예약 시스템은 다양한 여행 에이전시나 숙박 산업 시설에서 사용되고 있는데, 구글 직원들의 출장을 위한 호텔 예약을 대행해주는 칼슨 웨곤릿 트래블(Carlson Wagonlit Travel)사가 여기에 포함되어 있다. 공격자들의 손에 구글 정보가 일부 넘어간 것이다.

이 사안에 대해 구글은 직원들에게 알리며, 세이버 및 칼슨 측과 협의하며 정확히 어느 직원의 정보가 유출된 것인지 파악하기에 나섰다. 구글은 “연락처 정보나 지불카드 정보 이상의 위험한 정보가 유출된 것 같지는 않다”고 보고 있는데, 이는 “세이버의 데이터 유지 정책 덕분”이라고 설명했다. “사회보장 번호나 여권 번호, 면허증 번호 등은 유출되지 않은 것이 거의 확실합니다.”

하지만 세이버 측은 고객이 숙박을 하고 난 후 여행 정보를 60일 안에 삭제하는 것을 원칙으로 삼고 있다. 이 때문에 특정 정보에 대한 확인 작업을 좀 더 진행해야만 한다. 구글은 이번 사건에 영향을 받은 것으로 보이는 임직원들에 대해 2년 간 아이덴티티 및 신용 모니터링 서비스를 제공할 것이라고 밝혔다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)