주말 동안 사용자 정보 유출사고 두 건 : 에잇트랙스와 구글

라디오 서비스 에잇트랙스, 직원의 깃허브 계정 통해 해킹 발생
구글은 여행 및 숙박 대행 파트너사 통해 일부 정보 유출돼

[보안뉴스 문가용 기자] 인터넷 라디오 서비스이자 소셜미디어 사이트인 에잇트랙스(8tracks)가 해킹을 당해 1천 8백만 건의 사용자 이메일 주소와 암호화된 비밀번호가 유출됐다. 이는 비즈니스타임즈(Business Times)가 보도했고, 에잇트랙스 역시 자사 블로그를 통해 사용자들에게 해당 사실을 고지했다. 구글 계정이나 페이스북 계정으로 로그인을 했던 사용자들은 무사하다고 한다.

[이미지 = iclickart]

또한 에잇트랙스는 “당사는 비밀번호를 평문으로 저장하지 않는다”며 “일방향 해시를 사용한다”고 설명했다. 일방향 해시를 사용할 경우 무작위 대입 공격만이 유일한 복호화 방법으로, 이는 시간도 많이 들고 따라서 비용이 크게 올라간다고 에잇트랙스는 강조하며 고객들을 안심시켰다. “단 하나의 비밀번호를 취득하려는 시도도 높은 대가를 지불해야 하는 것입니다.”

하지만 아무리 해시가 강력하게 적용되어 있다고 하더라도 이메일 계정과 비밀번호가 유출되었다는 건 결국 에잇트랙스의 데이터베이스가 뚫렸다는 걸 암시할 수도 있다. 이에 대해 에잇트랙스는 “그런 건 아니”라며 “신용카드 번호, 전화번호, 주거지 주소 등은 안전하다”고 설명했다. 그렇기 때문에 지금이라도 서둘러서 에잇트랙스의 비밀번호는 물론 같은 비밀번호를 사용하는 타 웹 서비스의 로그인 정보도 바꾸면 괜찮을 것이라는 말도 덧붙였다.

“에잇트랙스는 사용자들에게 같은 비밀번호를 여러 서비스에 똑같이 사용하지 말 것을 권고합니다. 특히 금융 서비스와 관련된 민감한 서비스라면 말입니다. 이중인증 옵션을 최대한 활용하는 것이 안전하고, 여의치 않다면 라스트패스(LastPass)나 원패스워드(1password)와 같은 암호 관리자 툴을 사용하는 것도 좋은 방법입니다.”

한편 에잇트랙스는 유출 경위의 조사에 나섰고, 직원 중 한 명의 깃허브(GitHub) 계정에서 최초 공격이 발생한 것으로 파악했다고 발표했다. “해당 깃허브 계정은 이중인증으로 보호받고 있지 않았는데, 누군가 그 깃허브 계정을 통해 비정상적인 방법으로 비밀번호를 변경하려는 시도를 했습니다. 그때 내부적으로 경보가 울렸습니다. 동시에 다른 언론 매체나 보안 업체들도 해당 사실을 파악했고요.”

깃허브를 통한 공격이 맞다면, 데이터베이스나 내부 서버 등은 안전할 수 있다. 에잇트랙스도 이 점을 강조했다. “저희 데이터베이스와 서버는 공공 SSH 키와 비밀 SSH 키 한 쌍으로 보호조치 되어 있습니다. 공격자가 여기를 직접 타격하지는 못했습니다. 그러나 데이터베이스 테이블의 백업에는 도달할 수 있었던 것 같습니다. 거기에 이번에 유출된 사용자 정보가 담겨 있거든요.”

그래서 에잇트랙스는 “현재의 보안 상태에 대한 감사를 실시하고 있으며 깃허브에서는 이중인증 시스템을 마련할 계획”이라고 한다.“

구글 역시 직원 중 일부의 정보가 유출된 것으로 보인다. 더 레지스터(The Register)에 의하면 직접 해커들의 공격을 당한 것은 세이버 호스피탈리티 솔루션즈 신시스(Sabre Hospitality Solutions SynXis)라는 예약 시스템이다. 이 예약 시스템은 다양한 여행 에이전시나 숙박 산업 시설에서 사용되고 있는데, 구글 직원들의 출장을 위한 호텔 예약을 대행해주는 칼슨 웨곤릿 트래블(Carlson Wagonlit Travel)사가 여기에 포함되어 있다. 공격자들의 손에 구글 정보가 일부 넘어간 것이다.

이 사안에 대해 구글은 직원들에게 알리며, 세이버 및 칼슨 측과 협의하며 정확히 어느 직원의 정보가 유출된 것인지 파악하기에 나섰다. 구글은 “연락처 정보나 지불카드 정보 이상의 위험한 정보가 유출된 것 같지는 않다”고 보고 있는데, 이는 “세이버의 데이터 유지 정책 덕분”이라고 설명했다. “사회보장 번호나 여권 번호, 면허증 번호 등은 유출되지 않은 것이 거의 확실합니다.”

하지만 세이버 측은 고객이 숙박을 하고 난 후 여행 정보를 60일 안에 삭제하는 것을 원칙으로 삼고 있다. 이 때문에 특정 정보에 대한 확인 작업을 좀 더 진행해야만 한다. 구글은 이번 사건에 영향을 받은 것으로 보이는 임직원들에 대해 2년 간 아이덴티티 및 신용 모니터링 서비스를 제공할 것이라고 밝혔다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)