일반 기업의 인사부에서부터 전문 헤드헌팅 기업들까지
기업 보관용 이력서는 링크드인과 같은 온라인용 이력서보다 더 민감해
[보안뉴스 문가용 기자] 중국 기업들이 5억 개의 이력서를 웹에 노출시키고 있다는 충격적인 소식이 전해졌다. 이 업체들은 엘라스틱서치(ElasticSearch)와 몽고DB(MongoDB) 데이터베이스를 보안 장치 없이 운영하다가 이런 실수를 저지른 것이라고 한다.
[이미지 = iclickart]
이력서를 유출시킨 기업들은 오로지 중국의 기업들로, 크고 작은 기업들의 인사부에서부터 대형 헤드헌팅 전문 기업들까지 아우른다고 한다. 이러한 사태를 발견한 건 독립적으로 활동하는 보안 전문가 사냠 자인(Sanyam Jain)이다.
보안 업체 트립와이어(Tripwire)의 전문가들은 “이력서의 정보는 링크드인과 같은 소셜 미디어에 원래부터 공개되어 있는 것이라고 볼 수 있지만, 인사부나 헤드헌터들이 보관하고 있는 이력서는 소셜 미디어를 통해 노출되어 있는 정보보다 민감한 내용들을 많이 담고 있기 때문에 이번 사건은 결코 작다고 볼 수 없다”고 설명한다.
이 점에 대해서는 독립적인 보안 전문가 그래함 클룰리(Graham Clueley)도 동의한다. “인사부나 헤드헌터가 가지고 있는 이력서에 개인적이거나 사적일 수 있는 정보가 더 풍부하게 들어있습니다. 링크드인에 공개된 정보는 굉장히 많이 걸러진 것이죠. 계정 주인이 개인정보에 대해 완전히 무딘 사람이 아닌 이상 말입니다.”
그러면서 클룰리는 “특정 인물이나 부서에만 제출하는 이력서라고 한다면, 집 주소, 개인적인 성향이나 취향, 급여 수준, 생년월일, 가족관계 등의 민감한 정보를 제공하는 게 한결 편한 게 사실”이라고 설명을 추가했다. “이런 걸 링크드인에 공개하는 사람은 몇 없을 겁니다.”
사냠 자인이 찾아낸 건 무엇일까? 3300만 명의 이력서 정보가 저장된 엘라스틱서치 서버 하나, 8480만 명의 이력서가 저장된 또 다른 엘라스틱서치 서버 하나, 9300만 명의 이력서가 담겨 있던 엘리스틱서치 데이터베이스 하나다. 이 모든 발견이 3월의 어느 한 주 만에 이뤄졌다.
여기에 더해 또 다른 보안 전문가들이 비슷한 발견을 해냈다. 900만 개의 이력서가 저장된 서버 하나, 129개의 이력서가 저장되어 있던 서버 클러스터 하나, 18만 개의 이력서가 있던 엘라스틱서치 서버 하나, 1만 7천 개의 이력서가 있던 또 다른 엘라스틱서치 서버 하나였다.
이런 발견이 알려지고 나서 일부 서버들은 다시 보안이 강화되거나 폐쇄됐다. 그러나 여전히 노출된 채 남아있는 DB들도 아직 있다. 그런 가운데 또 다른 보안 전문가 밥 디아첸코(Bob Diachenko)는 4월 2일 2050만 개의 이력서가 저장되어 있는 서버를 다시 발견하기도 했다.
이런 서버들에는 이력서만 저장되어 있던 게 아니다. 각 이력서 주인들의 프로파일 정보가 함께 저장된 경우도 많았다. 현재 직장, 회사와의 최근 대화 내용, 운영진 혹은 면접자의 평가, 이수 훈련 과정, 해당 인물에 관심을 보인 업체 목록 등이 여기에 포함된다. DB의 보안 문제가 해결될 기미를 보이지 않는다.
3줄 요약
1. 엘라스틱서치와 몽고DB 사용하던 기업들, 서버 관리 잘못하여 5억 개 이력서 노출시킴.
2. 이력서만이 아니라 이력서 주인을 프로파일링 하는 데 사용되는 정보들도 함께 노출.
3. 온라인에 올리는 이력서보다 훨씬 민감한 개인정보 풍부하게 저장되어 있었음.
[국제부 문가용 기자(globoan@boannews.com)]
기업 보관용 이력서는 링크드인과 같은 온라인용 이력서보다 더 민감해
[보안뉴스 문가용 기자] 중국 기업들이 5억 개의 이력서를 웹에 노출시키고 있다는 충격적인 소식이 전해졌다. 이 업체들은 엘라스틱서치(ElasticSearch)와 몽고DB(MongoDB) 데이터베이스를 보안 장치 없이 운영하다가 이런 실수를 저지른 것이라고 한다.
[이미지 = iclickart]
이력서를 유출시킨 기업들은 오로지 중국의 기업들로, 크고 작은 기업들의 인사부에서부터 대형 헤드헌팅 전문 기업들까지 아우른다고 한다. 이러한 사태를 발견한 건 독립적으로 활동하는 보안 전문가 사냠 자인(Sanyam Jain)이다.
보안 업체 트립와이어(Tripwire)의 전문가들은 “이력서의 정보는 링크드인과 같은 소셜 미디어에 원래부터 공개되어 있는 것이라고 볼 수 있지만, 인사부나 헤드헌터들이 보관하고 있는 이력서는 소셜 미디어를 통해 노출되어 있는 정보보다 민감한 내용들을 많이 담고 있기 때문에 이번 사건은 결코 작다고 볼 수 없다”고 설명한다.
이 점에 대해서는 독립적인 보안 전문가 그래함 클룰리(Graham Clueley)도 동의한다. “인사부나 헤드헌터가 가지고 있는 이력서에 개인적이거나 사적일 수 있는 정보가 더 풍부하게 들어있습니다. 링크드인에 공개된 정보는 굉장히 많이 걸러진 것이죠. 계정 주인이 개인정보에 대해 완전히 무딘 사람이 아닌 이상 말입니다.”
그러면서 클룰리는 “특정 인물이나 부서에만 제출하는 이력서라고 한다면, 집 주소, 개인적인 성향이나 취향, 급여 수준, 생년월일, 가족관계 등의 민감한 정보를 제공하는 게 한결 편한 게 사실”이라고 설명을 추가했다. “이런 걸 링크드인에 공개하는 사람은 몇 없을 겁니다.”
사냠 자인이 찾아낸 건 무엇일까? 3300만 명의 이력서 정보가 저장된 엘라스틱서치 서버 하나, 8480만 명의 이력서가 저장된 또 다른 엘라스틱서치 서버 하나, 9300만 명의 이력서가 담겨 있던 엘리스틱서치 데이터베이스 하나다. 이 모든 발견이 3월의 어느 한 주 만에 이뤄졌다.
여기에 더해 또 다른 보안 전문가들이 비슷한 발견을 해냈다. 900만 개의 이력서가 저장된 서버 하나, 129개의 이력서가 저장되어 있던 서버 클러스터 하나, 18만 개의 이력서가 있던 엘라스틱서치 서버 하나, 1만 7천 개의 이력서가 있던 또 다른 엘라스틱서치 서버 하나였다.
이런 발견이 알려지고 나서 일부 서버들은 다시 보안이 강화되거나 폐쇄됐다. 그러나 여전히 노출된 채 남아있는 DB들도 아직 있다. 그런 가운데 또 다른 보안 전문가 밥 디아첸코(Bob Diachenko)는 4월 2일 2050만 개의 이력서가 저장되어 있는 서버를 다시 발견하기도 했다.
이런 서버들에는 이력서만 저장되어 있던 게 아니다. 각 이력서 주인들의 프로파일 정보가 함께 저장된 경우도 많았다. 현재 직장, 회사와의 최근 대화 내용, 운영진 혹은 면접자의 평가, 이수 훈련 과정, 해당 인물에 관심을 보인 업체 목록 등이 여기에 포함된다. DB의 보안 문제가 해결될 기미를 보이지 않는다.
3줄 요약
1. 엘라스틱서치와 몽고DB 사용하던 기업들, 서버 관리 잘못하여 5억 개 이력서 노출시킴.
2. 이력서만이 아니라 이력서 주인을 프로파일링 하는 데 사용되는 정보들도 함께 노출.
3. 온라인에 올리는 이력서보다 훨씬 민감한 개인정보 풍부하게 저장되어 있었음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
