Home > 전체기사
마이크로소프트 빙의 데이터베이스, 고스란히 노출됐다
  |  입력 : 2020-09-23 11:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
개인 식별 정보 노출되지 않았다는 이유로 MS는 “제한적”이라고 사건 축소
하지만 민감한 검색 이력과 위치 정보까지 유출...심각한 추가 범죄 가능해


[보안뉴스 문가용 기자] 마이크로소프트의 검색엔진인 빙(Bing)의 모바일 애플리케이션의 데이터베이스가 설정 오류로 노출되는 바람에 민감한 정보가 다량으로 공개되는 사건이 발생했다. 이 때문에 위치 좌표, 검색 키워드 등이 평문으로 유출됐다. 개인을 식별할 수 있는 직접적인 정보가 노출된 건 아니지만 워낙 다량의 정보가 공개된 터라 ‘어느 장소의 어떤 사람이 어떤 검색을 했다’는 걸 꿰어 맞춰내는 게 가능하다고 한다.

[이미지 = utoimage]


이 사건으로 노출된 데이터는 마이크로소프트 빙의 모바일 앱 버전과 관련된 것이며 6.5 테라바이트 서버 내에 하우싱 된 상태였다. 이 서버는 9월 10일까지 비밀번호로 보호되어 있었던 것으로 보인다. 하지만 이틀 뒤인 9월 12일 비밀번호 설정이 사라진 채 발견됐고, 이 사실이 마이크로소프트에 제보된 건 13일이었다. 마이크로소프트가 조치를 취한 건 9월 16일이었다.

정확한 피해 규모는 아직 집계되지 않았지만 구글 플레이 스토어만을 기준으로 해도 빙 앱의 다운로드 수는 1천만을 넘는다. 또한 이 앱을 통한 검색은 하루에도 수천만 번 이뤄진다고 한다. 이를 발견한 보안 업체 위즈케이스(Wizcase)는 지난 월요일 자사 블로그 포스트를 통해 “사실상 모바일 빙을 설치해 검색해본 모든 사람이 영향을 입었다고 볼 수 있다”고 밝혔다.

하지만 MS는 데이터의 양이 ‘적다’고 표현했다. MS의 대변인이 공식 발표를 통해 “서치 요청 데이터 소량이 실수로 노출됐다”고 말한 것이다. 또한 “분석을 통해 노출된 데이터는 제한적이며 식별이 불가능하다”고 강조하기도 했다.

MS가 말하는 제한적이며 적은 양의 정보는 다음과 같다.
1) 사용자의 검색어(평문)
2) 검색이 이뤄진 시간
3) 개발자들이 특정 장비들에 알림을 보낼 수 있게 해주는 파이어베이스 알림 토큰(Firebase Notification Tokens)
4) 장비 모델 정보
5) 검색 후 방문한 URL 목록 일부
6) 쿠폰 코드가 복사된 경우 쿠폰 정보
7) OS 정보
8) 고유 ID 번호(ADID 등)
9) 정확한 위치 정보(500m 범위 내) - 사용자가 위치 정보 공유를 설정한 경우
검색자의 이름은 이번 사건으로 노출되지 않았다. 프라이빗 모드로 검색을 실시한 경우에도 정보가 노출되지 않은 것으로 나타났다.

보안 전문가 밥 디아첸코(Bob Diachenko)에 의하면 “9월 10일부터 12일, 그리고 14일에 해당 서버는 미오우 공격(Meow Attack)에 당했다”고 한다. 미오우 공격은 7월 초부터 시작된 것으로, 현재까지 약 1천 개의 잘못 설정된 데이터베이스가 이 공격을 통해 영구적으로 삭제됐다. 삭제된 DB에는 ‘미오우’라는 단어만 남는다고 해서 이런 이름이 붙었다. 위즈케이스 측도 “미오우 공격이 있었고, 데이터베이스 거의 전체를 지울 뻔 했다”고 설명했다.

그 외에도 다양한 목적을 가진 공격자들이 이 데이터베이스에 접근했을 가능성이 높다고 전문가들은 경고하고 있다. “검색 요청과 관련된 정보는 각종 사기와 피싱 공격에 활용될 수 있어 꽤나 유용하다고 평가 받고 있습니다. 게다가 그 자체로 민감한 정보가 될 수 있죠. 예를 들어 은밀하게 특정 성적 취향에 대해 검색을 자주 했다거나, 극단적인 정치 성향을 가진 검색을 주로 해왔다면 이런 사건이 특히 위험할 수 있습니다. 협박 공격에 취약하게 되기도 하고요.”

500m 내외의 위치 정보가 노출되었다는 것은 물리적인 공격에 대한 피해자가 생겨날 수 있다는 뜻이기도 하다. 위즈케이스는 “사용자의 일상적인 동선을 공격자들이 파악하는 것도 가능하다”며 “이를 통해 어떤 장소에서 돈과 관련된 행동을 하는지도 짐작해 범행을 계획할 수도 있다”고 경고했다. “만약 누군가 사치품 검색을 자주 했다면, 범인들이 그 사람의 동선을 추적해 강도 행위를 벌일 수도 있죠. 이번 사건은 꽤나 심각한 사고로 이어질 수 있습니다.”

3줄 요약
1. 마이크로소프트 빙의 모바일 애플리케이션 데이터베이스가 노출됨.
2. 비밀번호로 보호되어 있었는데 어느 날 사라짐. 약 1주일 만에 고쳐지긴 했음.
3. 검색 데이터는 민감한 정보 담고 있어, 각종 협박 및 물리 공격으로까지 이어질 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상