Home > 전체기사
트위터, 기업 고객들에 “요금 정보 새나갔을 수 있다” 경고
  |  입력 : 2020-06-24 15:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
브라우저에 민감한 정보가 저장되는 방식 때문에 생긴 일...실제 피해자는 아직
문제가 해결된 건 한 달 전...공용 컴퓨터로 정보 열람한 후에는 쿠키 삭제 필수


[보안뉴스 문가용 기자] 트위터가 기업 고객들에게 “데이터 보안 사고로 인해 요금 관련 정보가 노출되었을 수 있다”는 사실을 이메일로 고지하기 시작했다. analytics.twitter.com과 ads.twitter.com 서비스와 연루된 개인정보 문제라고 트위터는 설명했다. “이 서비스를 통해서 요금 정보를 열람했다면, 해당 정보가 웹 브라우저를 통해 캐시되었을 수 있다”는 것.

[이미지 = utoimage]


“만약 공용 컴퓨터로 요금 정보를 열람했다면 브라우저의 캐시에 저장된 것을 누군가 열람했을 가능성이 있습니다. 캐시 데이터는 보통 30일 정도만 저장되어 있습니다만, 그 30일 안에 누군가 정보를 열람할 수 있습니다.” 그러면서 트위터는 “이메일 주소, 전화번호, 청구서 발송 주소, 지불카드 마지막 네 자리 수가 노출되었을 수 있지만 카드 만료일과 보안 코드는 안전하다”고 강조했다.

문제는 이미 5월 20일 경에 해결된 상태다. 트위터 측은 “아직 정보가 실제로 침해되었다는 사례나 증거는 찾을 수 없었다”고 주장했다. “요금 정보가 침해되었다고 보기는 힘들지만, 그래도 이러한 문제가 있었다는 걸 고객이 알면 앞으로 스스로를 보호할 대책을 강구하는 데 도움이 될 것입니다. 앞으로도 공용 컴퓨터에서 민감한 정보를 열람한다면 반드시 브라우저 캐시를 삭제하시기 바랍니다.”

하지만 트위터에서 브라우저 캐시와 관련된 문제가 불거진 건 이번이 처음이 아니다. 지난 4월 초, 파이어폭스 브라우저의 캐시 저장 방식 때문에 일부 트위터 사용자들의 개인정보가 새나갔을 수 있다는 가능성이 제기됐다. 각종 메시지와 다운로드 아카이브가 유출됐을 수 있다고 당시 트위터는 경고했다.

“브라우저 쿠키들은 양날의 검과 같습니다.” 보안 업체 시놉시스(Synopsys)의 수석 보안 전략가인 팀 맥키(Tim Mackey)가 외신인 시큐리티위크와의 인터뷰를 통해 언급한 내용이다. 사용자 식별 과정을 간소화 해준다는 점에서는 대단히 편리한 기능이지만, 동시에 그 간소화를 위해 여러 정보를 노출시킬 수 있다는 위험성을 내포하고도 있기 때문이다.

이번에 불거진 문제는 기업용 트위터 서비스인 트위터 비즈니스(Twitter Business)의 브라우저 쿠키 저장 방식으로부터 나온 것으로 보인다. 특히 민감한 개인정보가 담긴 브라우저 쿠키를 데이터베이스 캐시로 변환시킨다는 발상이 문제였던 것으로 지적되고 있다.

이러한 방식은 사용자가 계속 같은 장비로만 트위터 비즈니스에 접속한다면 괜찮을 수 있지만, 그렇지 않은 환경에서는 큰 문제로 발전할 수 있다. 보안 전문가들은 안전하게 데이터가 저장된 데이터베이스에서 필요할 때만 민감한 정보를 호출해 쓰고, 로컬에서는 데이터 복제본을 마련하지 않는 게 안전한 방법이라고 권장한다.

3줄 요약
1. 트위터 비즈니스 서비스 사용하는 사람들, 일부 정보 노출됐을 수도.
2. 민감한 요금 관련 정보를 열람할 때 민감한 정보가 브라우저에 저장되기 때문.
3. 공용 컴퓨터 등 통해 정보 열람한 후에는 브라우저 캐시 삭제 필수.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)